PetitPotam NTLM 릴레이 공격 탐지
목차:
7월은 Microsoft에게 여전히 힘든 달이 되고 있습니다. 중요한 PrintNightmare (CVE-2021-1675) 및 HiveNightmare (CVE-2021-36934) 취약점 이후, 보안 연구원들은 Windows 도메인 전체가 위협받을 수 있는 중요한 보안 격차를 식별했습니다. 이 문제는 PetitPotam으로 불리며, 암호화 파일 시스템 원격 프로토콜 (MS-EFSRPC)을 이용하여 공격자가 NTLM 릴레이 공격을 수행할 수 있게 합니다.
PetitPotam 공격 개요
2021년 7월 23일, Gilles Lionel 은 PetitPotam 보안 취약점에 대한 개념 증명(PoC) 익스플로잇을 공유했습니다. 이 문제는 공용 키 인프라스트럭처(PKI) 서버 기능을 보장하는 데 사용되는 Microsoft Active Directory Certificate Services (AD CS)에 영향을 미칩니다. 이에 따라 PetitPotam 공격 시나리오는 대부분의 기업 환경에서 활용될 수 있습니다.
PetitPotam은 암호화 파일 시스템 원격 프로토콜 (MS-EFSRPC)을 악용하여 원격 Windows 인스턴스 내에서 인증 프로세스를 시작하고, 공격자에게 NTLM 해시를 노출하도록 강요합니다. SANS Institute의 인터넷 폭풍 센터는 설명합니다. 특히, 공격자는 LSARPC를 악용하여 대상 서버(도메인 컨트롤러 포함)를 임의의 악성 서버에 연결시키고 NTLM 인증을 진행하도록 합니다. 결과적으로, 공격자는 도메인 컨트롤러 등을 포함한 모든 도메인 서비스에 접근할 수 있는 인증서를 얻게 됩니다.
PetitPotam 공격은 그 결과가 치명적이고 시작하기 쉬운 반면, 공격자에게는 일부 제한점이 있습니다. 연구원들의 발견에 따르면, 위협 행위자는 시스템/관리자 권한을 획득하거나, LAN 내에 은밀한 악성 인프라를 유지하여 도난당한 자격 증명을 도메인 컨트롤러나 다른 내부 인스턴스에 전송해야 합니다. 그러나 HiveNightmare 및 PrintNightmare의 존재로 인해 공격의 승격 부분은 쉽게 진행됩니다.
PetitPotam 공격 탐지 및 완화
연구원들에 따르면, 지원되는 대부분의 Windows 버전이 PetitPotam에 취약합니다. 현재, 이 기술은 Windows 10, Windows Server 2016, 및 Windows Server 2019에 성공적으로 활용되었습니다.
보안 실무자들이 가능한 PetitPotam 공격을 견디도록 돕기 위해, Microsoft는 전용 보안 권고 를 발표하여 인증을 위한 확장 보호 기능을 발표했습니다. 회사의 인프라를 안전하게 하고, PetitPotam 완화를 보장하기 위해, NTLM 인증을 허용하는 서비스는 SMB 서명 또는 인증 보호를 위한 확장 보호기능을 활용하는 것이 추천됩니다. 이는 AD CS(Active Directory Certificate Services)가 있는 서버가 잠재적인 NTLM 릴레이 공격에 대한 취약성을 완화할 수 있게 합니다.
SOC Prime은 가능한 PetitPotam 공격의 악용을 탐지할 수 있는 사냥 규칙을 발표했습니다.
가능한 PetitPotam 공격 악용 [MS-EFSRPC/ADCS-PKI] (감사를 통해)
환경에 대한 가능한 공격을 탐지하기 위해, 이 규칙은 TGT 요청(이벤트 코드 4768)을 포함한 이벤트를 찾습니다. 즉, 인증서 발행자 이름, 일련 번호, 및 지문에 대한 데이터를 포함하는 인증서 정보 섹션을 찾습니다.
이 사냥 규칙은 다음 SIEM 및 보안 분석 플랫폼에서 사용할 수 있습니다:
Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, Apache Kafka ksqlDB, Securonix
이 규칙은 다음과 매핑됩니다: MITRE ATT&CK 방법론 은 자격 증명 접근 전략 및 강제 인증 기술(t1187), 그리고 LLMNR/NBT-NS 중독 및 SMB 릴레이 서브 기술(t1557.001)을 다룹니다.
2021년 9월 3일의 업데이트:
위협 탐지 마켓플레이스 사용자는 이제 PetitPotam 공격 탐지를 목표로 하는 두 가지 이상의 규칙을 참조할 수 있습니다.
PetitPotam 의심스러운 Kerberos TGT 요청
이 규칙은 Mauricio Velazco, Michael Haag에 의해 작성되었으며, 의심스러운 Kerberos TGT 요청을 탐지합니다. 공격자가 PetitPotam과 결합하여 Active Directory Certificate Services를 악용하여 컴퓨터 인증서를 획득한 후, 다음 단계는 악의적인 목적으로 인증서를 활용하는 것입니다. 이를 수행하는 한 가지 방법은 Rubeus 같은 도구를 사용하여 Kerberos 티켓 발급 요청을 하는 것이며, 이 요청은 환경에 따라 몇 가지 비정상적인 필드를 가진 4768 이벤트를 생성합니다.
이 규칙은 다음 플랫폼에 대한 번역이 있습니다:
Azure Sentinel, ELK Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA Netwitness, Apache Kafka ksqlDB, Securonix
이 규칙은 자격 증명 접근 전략 및 강제 인증 기술(t1187)을 다루는 MITRE ATT&CK 프레임워크와 매핑되어 있습니다.
이 규칙 또한 Mauricio Velazco, Michael Haag에 의해 개발되었으며, PetitPotam 강제 인증 활동을 탐지합니다.
탐지는 다음 플랫폼에서 가능합니다:
Azure Sentinel, ELK Stack, Splunk, Chronicle Security, Sumo Logic, ArcSight, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA Netwitness, Apache Kafka ksqlDB, Securonix
이 규칙은 자격 증명 접근 전략 및 강제 인증 기술(t1187)을 다루는 MITRE ATT&CK 프레임워크와 매핑되어 있습니다.
여기를 참조하여 PetitPotam 공격과 관련된 전체 탐지 목록을 확인하십시오.
위협 탐지 마켓플레이스를 탐색하여 20개 이상의 시장 선도 SIEM, EDR, NTDR, XDR 기술에 맞춘 10만 개 이상의 교차 벤더, 교차 도구 탐지 규칙에 도달하십시오. 또한, SOC Prime의 Threat Bounty 프로그램을 통해 코드로서의 탐지 플랫폼에 자신의 탐지 콘텐츠를 게시하고 기여에 대한 보상을 받을 수 있습니다.
