Windows 도메인 환경에서의 권한 상승 탐지
목차:
사이버 보안 연구자들이 마이크로소프트의 윈도우즈 액티브 디렉토리(AD)에 보안 결함을 발견해, 활성 사용자가 관리자 권한 없이도 도메인에 컴퓨터를 추가할 수 있음 을 밝혔습니다. 이로 인해 권한 상승 공격의 위험에 노출됩니다. 기본 설정에 따르면, AD 사용자는 도메인에 최대 10대의 워크스테이션을 추가할 수 있습니다.
KrbRelayUp 툴을 사용하면 LDAP 서명이 기본 설정에 따라 적용되지 않는 윈도우 도메인 환경에서의 범용 비고정 로컬 권한 상승 공격을 수행할 수 있습니다. 공격자는 코드 실행만으로 도메인에 연결된 호스트에서 공격을 수행할 수 있습니다. 보안 연구자들은 랜섬웨어 운영자들이 이 결함을 광범위하게 활용하여 감염을 진행할 것으로 예상하고 있으며, 이용 절차는 상당히 간단합니다., a universal no-fix local privilege escalation in Windows Domain environments where LDAP signing is not enforced according to the default settings, an adversary simply needs to run code on a domain-joined host to perform an attack. Security researchers expect this flaw extensively leveraged by ransomware operators to proceed with infections as the exploitation rouitine is rather primitive.
KrbRelayUp 동작을 기반으로 한 권한 상승 공격 탐지
AD 환경에서 잠재적인 권한 상승 공격을 탐지하기 위해, 보안 실무자들은 SOC Prime 플랫폼에서 사용할 수 있는 커스텀 Sigma 기반 규칙을 다운로드할 수 있습니다. 탐지 콘텐츠에 접근하려면 반드시 플랫폼에 가입하거나 로그인하시기 바랍니다:
KrbRelayUp 툴을 통한 가능한 로컬 권한 상승 (감사를 통한)
이 Sigma 규칙은 Microsoft Sentinel, Humio, Elastic Stack, Chronicle Security, LimaCharlie, ArcSight, QRadar, Splunk, Devo, Graylog, Sumo Logic, LogPoint, Regex Grep, RSA NetWitness, FireEye, Apache Kafka ksqlDB, Securonix, AWS OpenSearch 등 18개의 SIEM & XDR 솔루션에 번역되어 있습니다.
위에서 언급한 탐지는 MITRE ATT&CK® 프레임워크 v.10과 연계되어 방어 회피 및 자격 증명 접근 전술을 주소하며,
권한 상승 제어 메커니즘 남용(T1548) 및 Kerberos 티켓 탈취 또는 위조(T1558) 기술을 포함합니다.
이 Sigma 규칙은 Microsoft Sentinel, Humio, Elastic Stack, Chronicle Security, LimaCharlie, ArcSight, QRadar, Splunk, Devo, Graylog, Sumo Logic, LogPoint, Regex Grep, RSA NetWitness, FireEye, Apache Kafka ksqlDB, Securonix, 및 Microsoft PowerShell 등 18개의 SIEM & XDR 솔루션에 번역되어 있습니다.
위에서 언급한 탐지는 MITRE ATT&CK® 프레임워크 v.10과 연계되어 방어 회피 및 횡적 이동 전술을 주소하며, 자격 증명 대체 자료 사용(T1550) 및 원격 서비스(T1021) 기술을 포함합니다.
전문성을 기여하고자 하는 사이버 보안 전문가들이 SOC Prime 위협 보상 프로그램의 힘을 모아 전 세계 커뮤니티가 사이버 방어 잠재력을 강화하도록 돕습니다. SOC Prime의 Detection as Code 플랫폼에 기여 콘텐츠를 제공하고 수익화할 수 있는 Threat Bounty 크라우드소싱 이니셔티브에 지원하여 더 안전한 사이버 미래에 기여하십시오.
완화
이 잠재적으로 위험한 보안 문제에 대한 증가된 관심은 인증된 모든 사용자가 도메인에 디바이스를 추가할 수 있는 능력의 위험을 다시 한 번 상기시킵니다. 기본 설정을 변경하고 기본 도메인 컨트롤러 정책에서 인증된 사용자를 제거함으로써 위험을 완화할 수 있습니다. 대안으로는 ‘도메인에 워크스테이션 추가’ 설정을 정의하는 새로운 보안 정책을 도입할 수 있습니다. KrbRelayUp 취약점 완화에 대한 자세한 내용은 Mor Davidovich 의 최신 GitHub 기여
에서 찾을 수 있습니다. 선제적인 사이버 보안 전략은 진보적인 조직들이 사이버 방어 능력을 강화하기 위해 구현하고자 하는 실질적인 해결책입니다. SOC Prime의 Detection as Code 플랫폼 을 탐색하여, 위협 탐지 콘텐츠에 대한 접속을 얻고, 조직이 공격자를 한 발 앞서게 보장하십시오.
