“Domain of Thrones: Part I” 연구에서 다룬 공격 기법을 해결하기 위한 탐지 콘텐츠
목차:
공격 세력은 지속적으로 도메인 환경에 접근하고 그들의 존재를 유지하기 위해 여러 공격 벡터를 활용하고 다양한 적대자 도구와 기술을 실험하면서 새로운 방법을 찾습니다. 예를 들어, 그들은 적대자의 시도가 있었던 경우와 마찬가지로 드러난 보안 결함을 악용할 수 있습니다. 2023년 중반에 마이크로소프트의 윈도우 AD의 취약점을 악용하다가잠재적인 권한 상승 공격으로 이어질 수 있습니다.
이 글은 Nico Shyne와 Josh Prager의 연구 에 기반하여, 도메인 환경 내에서 접근 및 유지하기 위해 활용되는 공격자 TTP(전술, 기술, 절차)에 대한 통찰력을 얻습니다. 예를 들어, 도메인 컨트롤러에서의 자격 증명 도용, AD(Active Directory) 구성 동기화, 케르베로스 인증 프로토콜 조작, 그리고 인증서 착취 등이 있습니다. 관련 공격을 저지하기 위해, 우리는 업계 동료들과 함께 SOC Prime Platform으로부터의 감지 콘텐츠 목록을 공유하고 있습니다.
“Domain of Thrones: Part I” 시리즈에 설명된 적대자 TTP 감지
적대자들은 조직 네트워크 내에 은밀히 침투하고 지속성을 유지하기 위한 새로운 방법을 끊임없이 찾고 있습니다. 도메인 지속성이 매력적인 목표로 부각됨에 따라 위협 행위자들은 여러 케르베로스 악습 기법을 활용하여 악성 목표를 달성합니다. 사이버 수호자들은 진화하는 공격 방법을 주의 깊게 관찰하여 초기 단계에서 침입을 식별하고 방지할 수 있어야 합니다.
보안 전문가들이 도메인 지속성 공격을 철저히 파악할 수 있도록 SOC Prime Platform은 주된 공격 기법을 다루는 특정 탐지 규칙 세트를 제공합니다. 여기에는 도메인 컨트롤러에서 자격 증명 도용, 케르베로스 프로토콜 조작 또는 Active Directory 악용 등이 포함됩니다.
모든 탐지는 28개의 SIEM, EDR, XDR 및 데이터 레이크 솔루션과 호환되며 위협 조사를 간소화하고 플랫폼 간 쿼리 번역 시간을 절감하기 위해 MITRE ATT&CK 프레임워크에 매핑되어 있습니다. 또한 각 탐지 항목은 광범위한 메타데이터와 함께 제공되며, 여기에는 CTI 링크, ATT&CK 참조, 감사 구성, 거짓 양성 컨텍스트 및 선별 권장사항이 포함됩니다. Uncoder AI.
아래의 탐지 탐색 버튼을 클릭하여 당신의 위협 탐지 작업을 간소화할 일련의 선별된 시그마 규칙으로 이동하십시오.
“Domain of Thrones: Part I” 공격자 기법 개요
공격자가 지속적으로 타깃 도메인 환경에 접근하여 지속성을 얻기 위한 방법을 탐색하는 가운데, 수호자들은 주로 적대자의 초기 접근 수단에 집중합니다. 그러나 그들은 조치가 시급한 침해 이후의 도메인 상태를 간과할 수 있습니다. 도메인 환경을 손상시키는 공격적 작업의 증가로 인해, 수호자들은 피해를 입은 도메인에 대한 통제권을 되찾고 신뢰를 회복하며 운영 효율성이 손상되지 않도록 하는 방법에 대해 걱정하고 있습니다.
와 같은 국가 지원 해킹 집단 와 같은 국가 지원 해킹 집단, NICKEL 또는 Emissary Panda, 일명 APT27 은 NTDS.dit 파일, KRBTGT 서비스 계정 또는 AD 인증서와 같은 중요한 Active Directory 자산에 주목하고 있으며 피싱이나 취약점 악용을 통해 초기 접근을 얻습니다. 그들은 일반적인 도구와 맞춤 도구를 모두 적용하여 향상된 권한을 활용하여 도메인에 접근합니다. 침입이 확인된 후, 수호자들의 초점은 추가 손상을 방지하기 위해 접근 차단과 도메인 비밀 회전으로 전환되어야 하며, 감지 엔지니어들은 도메인 지속성의 징후 식별을 우선시해야 합니다.
적대자는 목표한 환경을 손상시키기 위한 폭넓은 도메인 지속성 기법을 갖추고 있습니다. 예를 들어, 관리자 접근 수준을 가진 공격자는 LSASS.exe 프로세스에 접근하기 위해 애플리케이션을 사용하여 자격 증명 도용에 가담할 수 있습니다. 이렇게 부당하게 획득한 자격 증명을 활용하여 위협 행위자는 실행 컨텍스트를 수정할 수 있으며, 이를 통해 중요한 리소스에 도달하고 조직의 업무 연속성에 심각한 영향을 미칠 수 있는 조치를 수행할 수 있습니다. 예를 들어, 그들은 기본 Windows LOLbins예를 들어 터스크 매니저를 이용해 LSASS.exe에 필요한 권한으로 접근하고, 이 프로세스의 가상 메모리를 더 읽을 수 있습니다. 해커는 또한 조직의 NTDS.dit 파일을 대상으로 접근하거나 데이터베이스 파일을 복제하려 시도하여 필요한 자격 증명을 수집할 수 있습니다.
악의적 행위자는 또한 Kerberos 프로토콜 조작을 통해 황금 티켓 기법을 활용하여 검출을 피하고 도메인 환경에서의 지속성을 유지할 수 있습니다. Kerberos 인증 프로토콜은 사용자 인증을 위해 티켓 요청 및 수여를 활용합니다. KRBTGT 서비스 계정의 비밀번호는 암호화 키를 생성하며, 이는 KDC가 원격 리소스에 접근하기 위해 제출된 티켓을 서명하고 암호화하는 데 사용됩니다. 공격자는 이 가짜 TGT를 인증하는 데 사용할 수 있습니다. 대안으로는, 공격자는 합법적으로 발급된 TGT를 도메인 컨트롤러에서 조작하여 직접 만들지 않고도 사용할 수 있는 다이아몬드 티켓 기법을 활용할 수 있습니다. 인증서 악용 기법에서는 해커가 인증 기관(CA)의 개인 키를 획득하여 도난당한 키로 서명된 부정 인증서를 생성할 수 있습니다.
도메인 지속성 공격과 관련된 적대자 기법은 끊임없이 진화하고 있으며, 수호자들은 새로운 공격 흐름을 주시하며 도메인 내의 사이버 방어 역량을 향상시킬 수 있는 도구와 솔루션을 최신 상태로 유지해야 합니다. SOC Prime’s Threat Detection Marketplace를 최대한 활용하여 변화의 곡선을 항상 앞서가며 조직의 도메인 환경을 보호하기 위해 행동 가능한 메타데이터로 풍부하게 만들어진 탐지 콘텐츠를 통해 적시에 수비할 수 있도록 하십시오. SOC Prime’s Threat Detection Marketplace to always stay ahead of the curve and proactively defend your organization’s domain environment with the curated detection content enriched with actionable metadata and continuously updated.
