DFSCoerce 감지: 윈도우 도메인 탈취를 가능하게 하는 새로운 NTLM 릴레이 공격

새로운 공격에 대비하십시오 PetitPotam-와 유사한 NTLM 릴레이 공격은 Microsoft의 분산 파일 시스템(MS-DFSNM) 남용을 통해 전체 Windows 도메인을 장악할 수 있습니다. DFSCoerce로 불리는 새로운 공격 방법은 적들이 해커의 제어 하에 있는 릴레이와 인증하도록 Windows 서버를 강제할 수 있게 합니다. 도메인 컨트롤러(DC)도 취약하여 전체 도메인이 타협될 위험이 큽니다. 개념 증명(PoC) 스크립트 는 DFSCoerce NTLM 릴레이 공격을 시연하기 위해 GitHub에서 공개되어 있으므로, 야생에서의 남용 시도가 곧 예상됩니다.

DFSCoerce NTLM 릴레이 공격 탐지

새로운 DFSCoerce NTLM 릴레이 공격에 대비하고 관련 위협과 연결된 악성 활동을 즉시 식별하기 위해, SOC Prime의 콘텐츠 개발 팀은 최근 전용 Sigma 규칙 을 코드로서의 탐지 플랫폼에서 제공하고 있습니다:

가능성 있는 DFSCoerce / MS-DFSNM NTLM 릴레이 공격 (감사 통해)

이 탐지는 SOC Prime의 플랫폼이 지원하는 17개의 SIEM, EDR 및 XDR 언어 형식에 적용 가능하며, MITRE ATT&CK® 프레임워크 는 적대자 중간에 위치한 전술(T1557) 및 원격 서비스(T1021)와 대응하는 기본 기술로 컬렉션 및 측면 이동 전술을 다룹니다.

사이버 보안 실무자들은 SOC Prime의 플랫폼에서 가입하거나 로그인한 후 이 콘텐츠 항목에 접근할 수 있습니다. 또한, SOC Prime 사용자는 위에 언급된 Sigma 기반의 사냥 쿼리를 사용하여 DFSCoerce 적대적 방법과 관련된 위협을 즉시 검색할 수 있습니다. 빠른 사냥 모듈 을 사용하여 위 Sigma 기반의 사냥 쿼리를 이용합니다.

끊임없이 변화하는 사이버 위협 환경을 항상 따라잡고 귀하의 환경 내의 악성 존재를 적시에 식별하기 위해, SOC Prime의 플랫폼은 조직의 특정 요구에 맞춘 190,000개 이상의 고유한 코드로서의 탐지 콘텐츠 항목을 큐레이션합니다. NTLM 릴레이 공격 탐지에 관련된 더 많은 SOC 콘텐츠를 탐색하려면, 탐지 및 사냥 버튼을 클릭하고 악명 높은 PetitPotam 익스플로잇을 다루는 전체 Sigma 규칙 목록을 세부적으로 살펴보십시오. 선택한 검색 기준과 일치하는 Sigma 규칙과 함께 포괄적인 사이버 위협 컨텍스트로 즉시 잠수하십시오. SOC Prime은 등록 없이 APT, 익스플로잇 또는 기타 관련 위협을 탐색할 수 있는 강력한 도구를 제공합니다.

탐지 및 사냥 위협 컨텍스트 탐색

DFSCoerce 분석

새로운 DFSCoerce NTLM 릴레이 공격이 초래하는 심각한 위험을 설명하기 위해, 보안 전문가 Filip Dragovic 는 MS-DFSNM을 통해 Windows 서버에 인증 시도를 릴레이하는 개념 증명 스크립트를 발표했습니다. 새로운 공격 방법은 실제로 악명 높은 PetitPotam의 파생물로, Microsoft의 Encrypting File System Protocol(MS-EFSRPC)을 남용하여 원격 Windows 인스턴스 내에서 인증 프로세스를 시작하고 적대자에게 NTLM 해시를 공개하도록 강제합니다. 결과적으로, 적대자는 DC를 포함한 모든 도메인 서비스를 액세스할 수 있는 인증서를 얻게 됩니다.

DFSCoerce는 유사한 절차를 따르지만 MS-EFSRPC 대신 MS-DFSNM을 활용하여 적에게 원격 프로시저 호출(RPC) 인터페이스를 통해 Windows 분산 파일 시스템을 운영할 수 있는 능력을 제공합니다. 그 결과, 제한된 액세스를 가진 위협 행위자가 쉽게 도메인 관리자가 되어 원하는 모든 명령을 실행할 수 있습니다.

보안 연구원들은 이러한 공격의 대상이 될 수 있는 사용자는 Windows의 RPC 필터를 활성화하거나 RPC 방화벽을 사용하는 옵션을 선택해야 한다고 제안합니다. 기타 옵션으로는 인증 신임 정보를 보호하기 위해 확장 보호를 활성화하고 서명 기능을 사용하는 것이 포함됩니다.

SOC Prime의 코드로서의 탐지 플랫폼 에 무료로 가입하여 보안 산업의 모범 사례와 공유 전문 지식으로 만들어진 더 안전한 미래를 보장하십시오. 이 플랫폼은 보안 실무자들이 최고의 이니셔티브에 참여하고, 일상 루틴을 조정하여 끊임없이 발생하는 위협으로부터 더 잘 보호하고, 최대 성능을 위한 보안 도구를 통합하여 SOC 운영을 간소화할 수 있게 합니다.