다음을 통해 공유

Advanced Threat Analytics 의심스러운 활동 가이드

  • 아티클

적용 대상: Advanced Threat Analytics 버전 1.9

적절한 조사에 따라 의심스러운 활동은 다음과 같이 분류될 수 있습니다.

  • 참 긍정: ATA에서 검색한 악의적인 작업입니다.

  • 무해한 참 긍정: 침투 테스트와 같이 실제이지만 악의적이지 않은 ATA에서 검색한 작업입니다.

  • 가양성: 활동이 발생하지 않았음을 의미하는 거짓 경보입니다.

ATA 경고로 작업하는 방법에 대한 자세한 내용은 의심스러운 활동 작업을 참조하세요.

질문 또는 피드백은 ATA 팀에 문의하세요 ATAEval@microsoft.com.

중요한 그룹의 비정상적인 수정

설명

공격자는 높은 권한의 그룹에 사용자를 추가합니다. 이렇게 하면 더 많은 리소스에 액세스하고 지속성을 얻을 수 있습니다. 검색은 사용자 그룹 수정 활동을 프로파일링하고 중요한 그룹에 비정상적인 추가가 표시되면 경고합니다. 프로파일링은 ATA에서 지속적으로 수행됩니다. 경고를 트리거하기 전의 최소 기간은 컨트롤러당 1개월입니다기본.

ATA의 중요한 그룹에 대한 정의는 ATA 콘솔 작업을 참조 하세요.

검색은 do기본 컨트롤러에서 감사되는 이벤트에 의존합니다. 기본 컨트롤러가 필요한 이벤트를 감사하는지 확인하려면 이 도구를 사용합니다.

조사

  1. 그룹 수정이 합법적인가요?
    거의 발생하지 않으며 "정상"으로 학습되지 않은 합법적인 그룹 수정으로 인해 경고가 발생할 수 있으며 이는 무해한 참 긍정으로 간주될 수 있습니다.

  2. 추가된 개체가 사용자 계정인 경우 관리 그룹에 추가된 후 사용자 계정이 수행한 작업을 검사. 더 많은 컨텍스트를 얻으려면 ATA의 사용자 페이지로 이동합니다. 추가가 발생하기 전이나 후에 계정과 관련된 다른 의심스러운 활동이 있었습니까? 중요한 그룹 수정 보고서를 다운로드하여 다른 수정 사항이 무엇이고 같은 기간 동안 누가 수정했는지 확인합니다.

수정

중요한 그룹을 수정할 권한이 있는 사용자 수를 최소화합니다.

해당하는 경우 Active Directory에 대한 Privileged Access Management를 설정합니다.

컴퓨터와 할 일 간의 신뢰가 깨졌습니다기본

참고 항목

컴퓨터와 do기본 경고 간의 끊어진 신뢰는 더 이상 사용되지 않으며 1.9 이전의 ATA 버전에만 표시됩니다.

설명

신뢰가 손상되면 이러한 컴퓨터에 Active Directory 보안 요구 사항이 적용되지 않을 수 있습니다. 이는 기준 보안 및 규정 준수 실패 및 공격자의 소프트 타겟으로 간주됩니다. 이 검색에서는 24시간 이내에 컴퓨터 계정에서 5개 이상의 Kerberos 인증 오류가 표시되는 경우 경고가 트리거됩니다.

조사

조사 중인 컴퓨터에서 기본 사용자가 로그인할 수 있나요?

  • 그렇다면 수정 단계에서 이 컴퓨터를 무시할 수 있습니다.

수정

필요한 경우 컴퓨터를 다시 do기본 다시 연결하거나 컴퓨터의 암호를 다시 설정합니다.

LDAP 단순 바인딩을 사용한 무차별 암호 대입 공격(brute force attack)

설명

참고 항목

의심스러운 인증 실패와 이 검색 간의 기본 차이점은 이 검색에서 ATA에서 다른 암호가 사용 중인지 여부를 확인할 수 있다는 것입니다.

무차별 암호 대입 공격에서 공격자는 하나 이상의 계정에 대해 올바른 암호를 찾을 때까지 다른 계정에 대해 다양한 암호로 인증을 시도합니다. 일단 발견되면 공격자는 해당 계정을 사용하여 로그인할 수 있습니다.

이 검색에서 ATA가 대량의 단순 바인딩 인증을 검색하면 경고가 트리거됩니다. 이것은 많은 사용자에 걸쳐 암호의 작은 집합을 가로로, 또는 수직으로"단지 몇 사용자에 암호의 큰 세트와 함께, 또는 이러한 두 옵션의 조합 중 하나 일 수있다.

조사

  1. 관련된 계정이 많은 경우 세부 정보 다운로드를 선택하여 Excel 스프레드시트의 목록을 봅니다.

  2. 경고를 선택하여 전용 페이지로 이동합니다. 로그인 시도가 성공적인 인증으로 끝났는지 확인합니다. 이 시도는 인포그래픽의 오른쪽에 추측된 계정으로 표시됩니다. 그렇다면 원본 컴퓨터에서 일반적으로 사용되는 추측된 계정이 있나요? 그렇다면 의심스러운 활동을 표시하지 않습니다 .

  3. 추측된 계정이 없는 경우 일반적으로 원본 컴퓨터에서 사용되는 공격된 계정이 있나요? 그렇다면 의심스러운 활동을 표시하지 않습니다 .

수정

복잡하고 긴 암호는 무차별 암호 대입 공격에 필요한 첫 번째 수준의 보안을 제공합니다.

암호화 다운그레이드 작업

설명

암호화 다운그레이드는 가장 높은 수준의 암호화를 사용하여 일반적으로 암호화되는 프로토콜의 다른 필드의 암호화 수준을 다운그레이드하여 Kerberos를 약화시키는 방법입니다. 약화된 암호화된 필드는 오프라인 무차별 암호 대입 시도에 더 쉬운 대상이 될 수 있습니다. 다양한 공격 방법은 약한 Kerberos 암호화 암호화를 활용합니다. 이 검색에서 ATA는 컴퓨터와 사용자가 사용하는 Kerberos 암호화 유형을 학습하고 약한 암호가 사용될 때 경고합니다. (1) 원본 컴퓨터 및/또는 사용자에게는 비정상적입니다. 및 (2)는 알려진 공격 기술과 일치합니다.

다음과 같은 세 가지 검색 유형이 있습니다.

  1. 스켈레톤 키 – do기본 컨트롤러에서 실행되며 암호를 모르고 모든 계정으로 할 일기본 인증을 허용하는 맬웨어입니다. 이 맬웨어는 종종 약한 암호화 알고리즘을 사용하여 do기본 컨트롤러에서 사용자의 암호를 해시합니다. 이 검색에서 do기본 컨트롤러에서 티켓을 요청하는 계정으로의 KRB_ERR 메시지의 암호화 방법이 이전에 학습된 동작에 비해 다운그레이드되었습니다.

  2. 골든 티켓 – 골든 티켓 경고에서 원본 컴퓨터에서 TGS_REQ(서비스 요청) 메시지의 TGT 필드의 암호화 방법이 이전에 학습된 동작에 비해 다운그레이드되었습니다. 이는 시간 변칙을 기반으로 하지 않습니다(다른 골든 티켓 검색에서와 같이). 또한 ATA에서 검색한 이전 서비스 요청과 연결된 Kerberos 인증 요청이 없습니다.

  3. Overpass-the-Hash – 공격자는 약한 도난당한 해시를 사용하여 Kerberos AS 요청과 함께 강력한 티켓을 만들 수 있습니다. 이 검색에서 원본 컴퓨터의 AS_REQ 메시지 암호화 유형이 이전에 학습된 동작(즉, 컴퓨터에서 AES 사용)과 비교하여 다운그레이드되었습니다.

조사

먼저 경고에 대한 설명을 검사 위의 세 가지 검색 유형 중 어떤 것을 처리하고 있는지 확인합니다. 자세한 내용은 Excel 스프레드시트를 다운로드하세요.

  1. 스켈레톤 키 - 스켈레톤 키가 사용자의 할 일기본 컨트롤러에 영향을 주었는지 확인합니다.
  2. 골든 티켓 – Excel 스프레드시트에서 네트워크 활동 탭으로 이동합니다. 관련 다운그레이드된 필드는 요청 티켓 암호화 유형이며 원본 컴퓨터 지원 암호화 유형은 더 강력한 암호화 방법을 나열합니다. 1. 원본 컴퓨터 및 계정을 확인하거나 여러 원본 컴퓨터와 계정이 검사 공통된 내용이 있는지 확인합니다(예: 모든 마케팅 담당자가 경고를 트리거할 수 있는 특정 앱을 사용). 거의 사용되지 않는 사용자 지정 애플리케이션이 낮은 암호화 암호화를 사용하여 인증하는 경우가 있습니다. 원본 컴퓨터에 이러한 사용자 지정 앱이 있는지 확인합니다. 그렇다면 무해한 참 긍정일 수 있으며 이를 억제할 수 있습니다. 1. 해당 티켓에서 액세스하는 리소스를 확인합니다. 모두 액세스하는 리소스가 하나 있는 경우 유효성을 검사하고 액세스해야 하는 유효한 리소스인지 확인합니다. 또한 대상 리소스가 강력한 암호화 방법을 지원하는지 확인합니다. 리소스 서비스 계정의 특성을 msDS-SupportedEncryptionTypes검사 Active Directory에서 이를 검사 수 있습니다.
  3. Overpass-the-Hash – Excel 스프레드시트에서 네트워크 활동 탭으로 이동합니다. 관련 다운그레이드된 필드는 암호화된 타임스탬프 암호화 유형이며 원본 컴퓨터 지원 암호화 유형에는 더 강력한 암호화 방법이 포함되어 있습니다. 1. 스마트카드 구성이 최근에 변경된 경우 사용자가 스마트 카드 사용하여 로그인할 때 이 경고가 트리거될 수 있는 경우가 있습니다. 관련된 계정에 대해 이와 같은 변경 내용이 있는지 확인합니다. 그렇다면 무해한 참 긍정일 수 있으며 이를 억제할 수 있습니다. 1. 해당 티켓에서 액세스하는 리소스를 확인합니다. 액세스하는 리소스가 하나 있는 경우 유효성을 검사하고 액세스해야 하는 유효한 리소스인지 확인합니다. 또한 대상 리소스가 강력한 암호화 방법을 지원하는지 확인합니다. 리소스 서비스 계정의 특성을 msDS-SupportedEncryptionTypes검사 Active Directory에서 이를 검사 수 있습니다.

수정

  1. 기본 키 – 맬웨어를 제거합니다. 자세한 내용은 기본 키 맬웨어 분석을 참조 하세요.

  2. 골든 티켓 – 골든 티켓 의심스러운 활동의 지침을 따릅니다. 또한 Golden Ticket을 만들려면 do기본 관리자 권한이 필요하므로 해시 권장 사항 전달을 구현합니다.

  3. Overpass-the-Hash – 관련 계정이 중요하지 않은 경우 해당 계정의 암호를 다시 설정합니다. 이렇게 하면 기존 티켓이 만료될 때까지 계속 사용할 수 있지만 공격자가 암호 해시에서 새 Kerberos 티켓을 만들 수 없습니다. 중요한 계정인 경우 골든 티켓 의심스러운 활동의 두 배인 KRBTGT 계정을 다시 설정하는 것이 좋습니다. KRBTGT를 두 번 다시 설정하면 이 작업을 수행하면 모든 Kerberos 티켓이 무효화됩니다기본 이렇게 하기 전에 계획합니다. KRBTGT 계정 문서의 지침을 참조하세요. 이는 횡적 이동 기술이므로 해시 권장 사항 전달의 모범 사례를 따릅니다.

Honeytoken 활동

설명

Honeytoken 계정은 이러한 계정을 포함하는 악의적인 활동을 식별하고 추적하기 위해 설정된 디코이 계정입니다. 허니토켄 계정은 공격자를 유인할 수 있는 매력적인 이름(예: SQL 관리)을 가지면서 사용하지 않아야 합니다. 이러한 활동은 악의적인 동작을 나타낼 수 있습니다.

허니 토큰 계정에 대한 자세한 내용은 ATA 설치 - 7단계를 참조하세요.

조사

  1. 원본 컴퓨터의 소유자가 의심스러운 활동 페이지(예: Kerberos, LDAP, NTLM)에 설명된 방법을 사용하여 Honeytoken 계정을 인증하는 데 사용했는지 확인합니다.

  2. 원본 컴퓨터 프로필 페이지로 이동하여 인증된 다른 계정을 검사. Honeytoken 계정을 사용하는 경우 해당 계정의 소유자에게 문의하세요.

  3. 비대화형 로그인일 수 있으므로 원본 컴퓨터에서 실행되는 애플리케이션 또는 스크립트에 대해 검사 합니다.

1~3단계를 수행한 후 양성 사용의 증거가 없는 경우 악성이라고 가정합니다.

수정

Honeytoken 계정이 의도한 용도로만 사용되는지 확인합니다. 그렇지 않으면 많은 경고를 생성할 수 있습니다.

해시 통과 공격을 사용한 ID 도용

설명

Pass-the-Hash는 공격자가 한 컴퓨터에서 사용자의 NTLM 해시를 훔쳐서 다른 컴퓨터에 액세스하는 데 사용하는 횡적 이동 기술입니다.

조사

대상 사용자가 소유하거나 정기적으로 사용하는 컴퓨터에서 해시가 사용되었나요? 그렇다면 경고는 가양성이며, 그렇지 않은 경우 진정한 긍정일 수 있습니다.

수정

  1. 관련 계정이 중요하지 않은 경우 해당 계정의 암호를 다시 설정합니다. 암호를 다시 설정하면 공격자가 암호 해시에서 새 Kerberos 티켓을 만들지 못하게 됩니다. 기존 티켓은 만료될 때까지 계속 사용할 수 있습니다.

  2. 관련 계정이 중요한 경우 골든 티켓 의심스러운 활동에서와 같이 KRBTGT 계정을 두 번 다시 설정하는 것이 좋습니다. KRBTGT를 두 번 다시 설정하면 모두 무효화되므로기본 Kerberos 티켓을 무효화하므로 그렇게 하기 전에 영향을 계획하십시오. KRBTGT 계정 문서의 지침을 참조하세요. 일반적으로 횡적 이동 기술이므로 해시 권장 사항 전달의 모범 사례를 따르세요.

Pass-the-Ticket 공격을 사용한 ID 도용

설명

Pass-the-Ticket은 공격자가 한 컴퓨터에서 Kerberos 티켓을 훔쳐 도난당한 티켓을 다시 사용하여 다른 컴퓨터에 액세스하는 데 사용하는 횡적 이동 기술입니다. 이 검색에서 Kerberos 티켓은 두 대 이상의 다른 컴퓨터에서 사용되는 것으로 표시됩니다.

조사

  1. 세부 정보 다운로드 단추를 선택하여 관련된 IP 주소의 전체 목록을 봅니다. 하나 또는 두 컴퓨터의 IP 주소가 작은 DHCP 풀(예: VPN 또는 WiFi)에서 할당된 서브넷의 일부인가요? IP 주소가 공유되는가요? 예를 들어 NAT 디바이스를 사용하시겠습니까? 이러한 질문에 대한 답변이 '예'이면 경고는 가양성입니다.

  2. 사용자를 대신하여 티켓을 전달하는 사용자 지정 애플리케이션이 있나요? 그렇다면 무해한 참 긍정입니다.

수정

  1. 관련 계정이 중요하지 않은 경우 해당 계정의 암호를 다시 설정합니다. 암호 재설정은 공격자가 암호 해시에서 새 Kerberos 티켓을 만들지 못하게 합니다. 기존 티켓은 만료될 때까지 다시 사용할 수 기본.

  2. 중요한 계정인 경우 골든 티켓 의심스러운 활동의 두 배인 KRBTGT 계정을 다시 설정하는 것이 좋습니다. KRBTGT를 두 번 다시 설정하면 이 작업을 수행하면 모든 Kerberos 티켓이 무효화됩니다기본 이렇게 하기 전에 계획합니다. KRBTGT 계정 문서의 지침을 참조하세요. 이는 횡적 이동 기술이므로 해시 권장 사항 전달의 모범 사례를 따르세요.

Kerberos 골든 티켓 활동

설명

do기본 관리자 권한이 있는 공격자는 KRBTGT 계정을 손상시킬 수 있습니다. 공격자는 KRBTGT 계정을 사용하여 모든 리소스에 대한 권한 부여를 제공하는 Kerberos TGT(티켓 부여 티켓)를 만들 수 있습니다. 티켓 만료는 임의의 시간으로 설정할 수 있습니다. 이 가짜 TGT는 "골든 티켓"이라고 하며 공격자가 네트워크에서 지속성을 달성하고 기본 수 있습니다.

이 검색에서는 Kerberos TGT(티켓 부여) 티켓이 사용자 티켓 보안 정책의 최대 수명에 지정된 허용된 시간 이상으로 사용될 때 경고가 트리거됩니다.

조사

  1. 그룹 정책에서 사용자 티켓 설정의 최대 수명(최근 몇 시간 이내)이 변경되었나요? 그렇다면 경고를 닫습니다 (가양성).

  2. 이 경고에 포함된 ATA 게이트웨이가 가상 머신인가요? 그렇다면 최근에 저장된 상태에서 다시 시작했나요? 그렇다면 이 경고를 닫습니다 .

  3. 위의 질문에 대한 답변이 '아니요'이면 악의적이라고 가정합니다.

수정

KRBTGT 계정 문서의 지침 에 따라 KRBTGT(Kerberos Ticket Granting Ticket) 암호를 두 번 변경합니다. KRBTGT를 두 번 다시 설정하면 이 작업을 수행하면 모든 Kerberos 티켓이 무효화됩니다기본 이렇게 하기 전에 계획합니다. 또한 Golden Ticket을 만들려면 do기본 관리자 권한이 필요하므로 해시 권장 사항 전달을 구현합니다.

악의적인 데이터 보호 개인 정보 요청

설명

DPAPI(데이터 보호 API)는 Windows에서 브라우저, 암호화된 파일 및 기타 중요한 데이터로 저장된 암호를 안전하게 보호하는 데 사용됩니다. Do기본 컨트롤러는 기본 조인된 Windows 컴퓨터에서 DPAPI로 암호화된 모든 비밀을 해독하는 데 사용할 수 있는 백업 마스터 키를 보유합니다. 공격자는 해당 마스터 키를 사용하여 모든 기본 조인된 컴퓨터에서 DPAPI로 보호되는 비밀을 해독할 수 있습니다. 이 검색에서 DPAPI를 사용하여 백업 마스터 키를 검색할 때 경고가 트리거됩니다.

조사

  1. 원본 컴퓨터가 Active Directory에 대해 조직에서 승인한 고급 보안 스캐너를 실행하고 있나요?

  2. 그렇다면 항상 수행해야 하는 경우 의심스러운 활동을 닫고 제외 합니다.

  3. 그렇다면 이 작업을 수행하지 않아야 하는 경우 의심스러운 활동을 닫습니다 .

수정

DPAPI를 사용하려면 공격자가 관리자 권한을 기본 합니다. 해시 권장 사항 전달을 구현 합니다.

디렉터리 서비스의 악의적인 복제본(replica)

설명

Active Directory 복제본(replica)tion은 기본 컨트롤러에서 수행되는 변경 내용이 다른 모든 do기본 컨트롤러와 동기화되는 프로세스입니다. 필요한 권한이 있는 경우 공격자는 복제본(replica) 요청을 시작하여 암호 해시를 포함하여 Active Directory에 저장된 데이터를 검색할 수 있습니다.

이 검색에서 도메인 컨트롤러가 아닌 컴퓨터에서 복제 요청을 시작하면 경고가 트리거됩니다.

조사

  1. 문제의 컴퓨터가 할 일기본 컨트롤러인가요? 예를 들어 복제본(replica) 문제가 있는 새로 승격된 do기본 컨트롤러입니다. 그렇다면 의심스러운 활동을 닫습니다 .
  2. 문제의 컴퓨터가 Active Directory의 데이터를 복제본(replica) 해야 하나요? 예를 들어 Microsoft Entra는 커넥트. 그렇다면 의심스러운 활동을 닫고 제외 합니다.
  3. 원본 컴퓨터 또는 계정을 선택하여 프로필 페이지로 이동합니다. 로그인한 사람, 액세스한 리소스 등과 같은 비정상적인 활동을 검색하여 복제본(replica) 시기에 발생한 작업을 확인합니다.

수정

다음 사용 권한의 유효성을 검사합니다.

  • 디렉터리 변경 내용 복제

  • 디렉터리 변경 내용 모두 복제

자세한 내용은 SharePoint Server 2013에서 프로필 동기화에 대한 Active Directory 도메인 Services 권한 부여를 참조하세요. AD ACL 스캐너를 활용하거나 Windows PowerShell 스크립트를 만들어 이러한 권한이 있는 사용자를 확인할 수 있습니다기본.

대규모 개체 삭제

설명

일부 시나리오에서 공격자는 정보만 도용하는 대신 DoS(서비스 거부) 공격을 수행합니다. 많은 수의 계정을 삭제하는 것은 DoS 공격을 시도하는 한 가지 방법입니다.

이 검색에서 경고는 모든 계정의 5% 이상이 삭제될 때마다 트리거됩니다. 검색을 수행하려면 삭제된 개체 컨테이너에 대한 읽기 권한이 필요합니다. 삭제된 개체 컨테이너에 대한 읽기 전용 사용 권한을 구성하는 방법에 대한 자세한 내용은 디렉터리 개체에 대한 보기 또는 설정 권한에서 삭제된 개체 컨테이너에 대한 사용 권한 변경을 참조하세요.

조사

삭제된 계정 목록을 검토하고 대규모 삭제를 정당화하는 패턴 또는 비즈니스 이유가 있는지 확인합니다.

수정

Active Directory에서 계정을 삭제할 수 있는 사용자에 대한 사용 권한을 제거합니다. 자세한 내용은 디렉터리 개체에 대한 사용 권한 보기 또는 설정을 참조하세요.

위조된 권한 부여 데이터를 사용한 권한 상승

설명

이전 버전의 Windows Server에서 알려진 취약성을 통해 공격자는 PAC(Privileged Attribute Certificate)를 조작할 수 있습니다. PAC는 Kerberos 티켓의 필드로, 사용자 권한 부여 데이터가 있고(Active Directory에서 그룹 멤버 자격임) 공격자에게 추가 권한을 부여합니다.

조사

  1. 세부 정보 페이지에 액세스하려면 경고를 선택합니다.

  2. 대상 컴퓨터(ACCESSED 열 아래)가 MS14-068(컨트롤러 수행기본 또는 MS11-013(서버)으로 패치되었나요? 그렇다면 의심스러운 활동을 닫습니다 (가양성).

  3. 대상 컴퓨터가 패치되지 않은 경우 원본 컴퓨터가 PAC를 수정하는 것으로 알려진 OS/애플리케이션을 FROM 열에서 실행하나요? 그렇다면 의심스러운 활동을 표시하지 않습니다 (무해한 참 긍정).

  4. 이전 두 질문에 대한 답변이 '아니요'인 경우 이 활동이 악의적이라고 가정합니다.

수정

Windows Server 2012 R2까지 운영 체제를 사용하는 모든 do기본 컨트롤러가 KB3011780 및 모든 멤버 서버와 함께 설치되고 기본 2012 R2까지의 컨트롤러가 KB2496930 최신 상태인지 확인합니다. 자세한 내용은 Silver PAC 및 위조 PAC를 참조하세요.

계정 열거를 사용한 정찰

설명

계정 열거 정찰에서 공격자는 수천 개의 사용자 이름이 있는 사전 또는 KrbGuess와 같은 도구를 사용하여 사용자 이름을 추측하려고 시도합니다기본. 공격자는 이러한 이름을 사용하여 Kerberos 요청을 수행하여 사용자의 할 일에서 유효한 사용자 이름을 찾으려고 시도합니다기본. 추측이 사용자 이름을 성공적으로 결정하는 경우 공격자는 보안 주체를 알 수 없는 대신 필요한 Kerberos 오류 사전 인증을 받게 됩니다.

이 검색에서 ATA는 공격이 발생한 위치, 총 추측 시도 횟수 및 일치하는 횟수를 검색할 수 있습니다. 알 수 없는 사용자가 너무 많은 경우 ATA는 이를 의심스러운 활동으로 검색합니다.

조사

  1. 경고를 선택하여 세부 정보 페이지로 이동하세요.

    1. 이 호스트 컴퓨터는 계정이 있는지 여부(예: Exchange 서버)에 대해 do기본 컨트롤러를 쿼리해야 하나요?

  2. 이 동작을 생성할 수 있는 스크립트 또는 애플리케이션이 호스트에서 실행되고 있나요?

    이러한 질문 중 하나에 대한 답변이 '예' 이면 의심스러운 활동을 닫 고(무해한 참 긍정) 의심스러운 활동에서 해당 호스트를 제외합니다.

  3. Excel 스프레드시트에서 경고 세부 정보를 다운로드하여 계정 시도 목록을 기존 계정과 기존 계정으로 구분하여 편리하게 볼 수 있습니다. 스프레드시트에서 존재하지 않는 계정 시트를 보면 계정이 친숙해 보이는 경우 해당 계정이 비활성화된 계정 또는 회사를 떠난 직원일 수 있습니다. 이 경우 사전에서 시도될 가능성은 거의 없습니다. 대부분의 경우 Active Directory에 여전히 존재하는 계정을 확인하기 위해 검사 애플리케이션 또는 스크립트입니다. 즉, 무해한 진양성입니다.

  4. 이름이 거의 익숙하지 않은 경우 추측 시도가 Active Directory의 기존 계정 이름과 일치했나요? 일치하는 항목이 없는 경우 시도는 쓸모가 없지만 경고에 주의하여 시간이 지남에 따라 업데이트되는지 확인해야 합니다.

  5. 추측 시도가 기존 계정 이름과 일치하는 경우 공격자는 사용자 환경에 계정이 있는지 알고 있으며, 무차별 암호 대입을 사용하여 검색된 사용자 이름을 사용하여 사용자의 do기본 액세스하려고 시도할 수 있습니다. 추측된 계정 이름을 확인하여 의심스러운 추가 활동을 확인합니다. 일치하는 계정이 중요한 계정인지 확인합니다.

수정

복잡하고 긴 암호는 무차별 암호 대입 공격에 필요한 첫 번째 수준의 보안을 제공합니다.

Directory Services 쿼리를 사용한 정찰

설명

디렉터리 서비스 정찰은 공격자가 디렉터리 구조 및 대상 권한 있는 계정을 공격의 이후 단계에 매핑하는 데 사용됩니다. SAM-R(보안 계정 관리자 원격) 프로토콜은 이러한 매핑을 수행하기 위해 디렉터리를 쿼리하는 데 사용되는 방법 중 하나입니다.

이 검색에서는 ATA가 배포된 후 첫 달에 경고가 트리거되지 않습니다. 학습 기간 동안 ATA는 중요한 계정의 열거형 및 개별 쿼리 모두에서 어떤 컴퓨터에서 SAM-R 쿼리가 만들어지나요?

조사

  1. 경고를 선택하여 세부 정보 페이지로 이동하세요. 수행된 쿼리(예: 엔터프라이즈 관리자 또는 관리주체)와 성공 여부를 확인합니다.

  2. 해당 원본 컴퓨터에서 이러한 쿼리를 만들어야 하나요?

  3. 그렇다면 경고가 업데이트 되면 의심스러운 활동을 표시하지 않습니다 .

  4. 그렇다면 더 이상 이 작업을 수행하지 않아야 하는 경우 의심스러운 활동을 닫습니다 .

  5. 관련 계정에 대한 정보가 있는 경우: 이러한 쿼리는 해당 계정에서 수행해야 하나요, 아니면 해당 계정이 일반적으로 원본 컴퓨터에 로그인하나요?

    • 그렇다면 경고가 업데이트 되면 의심스러운 활동을 표시하지 않습니다 .

    • 그렇다면 더 이상 이 작업을 수행하지 않아야 하는 경우 의심스러운 활동을 닫습니다 .

    • 위의 모든 항목에 대한 답변이 아니요인 경우 악의적이라고 가정합니다.

  6. 관련된 계정에 대한 정보가 없는 경우 엔드포인트로 이동하여 경고 시 로그인한 계정을 검사 수 있습니다.

수정

  1. 컴퓨터에서 취약성 검사 도구를 실행하고 있나요?
  2. 공격의 특정 쿼리된 사용자 및 그룹이 권한 있는 계정인지 아니면 높은 가치의 계정(즉, CEO, CFO, IT 관리 등)인지 조사합니다. 그렇다면 엔드포인트에서 다른 작업도 살펴보고 쿼리된 계정이 로그인된 컴퓨터를 모니터링합니다. 이는 횡적 이동의 대상이 될 수 있기 때문일 수 있습니다.

DNS를 사용한 정찰

설명

DNS 서버에는 네트워크의 모든 컴퓨터, IP 주소 및 서비스의 맵이 포함되어 있습니다. 이 정보는 공격자가 네트워크 구조를 매핑하고 공격의 이후 단계를 위해 관심 있는 컴퓨터를 대상으로 지정하는 데 사용됩니다.

DNS 프로토콜에는 여러 쿼리 유형이 있습니다. ATA는 비 DNS 서버에서 시작된 AXFR(전송) 요청을 검색합니다.

조사

  1. 원본 컴퓨터(원본...)가 DNS 서버인가요? 그렇다면 이것은 아마도 가양성일 것입니다. 유효성을 검사하려면 경고를 선택하여 세부 정보 페이지로 이동하세요. 테이블의 쿼리에서 쿼리할 검사 기본. 이러한 기존 작업은 기본? 그렇다면 의심스러운 활동을 닫습니다 (가양성). 또한 향후 가양성을 방지하기 위해 ATA 게이트웨이와 원본 컴퓨터 간에 UDP 포트 53이 열려 있는지 확인합니다.
  2. 원본 컴퓨터가 보안 스캐너를 실행하고 있나요? 그렇다면 닫기 및 제외를 사용하여 직접 또는 제외 페이지(구성에서 ATA 관리자가 사용할 수 있음)를 통해 ATA의 엔터티를 제외합니다.
  3. 앞의 모든 질문에 대한 답변이 '아니요'이면 원본 컴퓨터에 초점을 맞추고 계속 조사하세요. 원본 컴퓨터를 선택하여 프로필 페이지로 이동합니다. 요청 시 발생한 작업을 확인하여 로그인한 사람, 액세스한 리소스와 같은 비정상적인 활동을 검색합니다.

수정

DNS를 사용한 정찰이 발생하지 않도록 내부 DNS 서버를 보호하는 작업은 지정된 IP 주소로만 영역 전송을 사용하지 않도록 설정하거나 제한하여 수행할 수 있습니다. 영역 전송 제한에 대한 자세한 내용은 영역 전송 제한(Restrict Zone Transfers)을 참조 하세요. 영역 전송 수정은 내부 및 외부 공격으로부터 DNS 서버를 보호하기 위해 해결해야 하는 검사 목록 중 하나의 작업입니다.

SMB 세션 열거를 사용한 정찰

설명

SMB(서버 메시지 블록) 열거형을 사용하면 공격자가 사용자가 최근에 로그온한 위치에 대한 정보를 가져올 수 있습니다. 공격자가 이 정보를 가지고 나면 네트워크에서 횡적으로 이동하여 특정 중요한 계정으로 이동할 수 있습니다.

이 검색에서는 do기본 컨트롤러에 대해 SMB 세션 열거를 수행할 때 경고가 트리거됩니다.

조사

  1. 경고를 선택하여 세부 정보 페이지로 이동하세요. 작업을 수행한 계정/s와 노출된 계정(있는 경우)을 확인합니다.

    • 원본 컴퓨터에서 실행되는 보안 스캐너의 종류가 있나요? 그렇다면 의심스러운 활동을 닫고 제외 합니다.

  2. 작업을 수행한 관련 사용자/s를 확인합니다. 일반적으로 원본 컴퓨터에 로그인합니까, 아니면 이러한 작업을 수행해야 하는 관리자인가요?

  3. 그렇다면 경고가 업데이트 되면 의심스러운 활동을 표시하지 않습니다 .

  4. 그렇다면 업데이트 하면 안 되며 의심스러운 활동을 닫습니다 .

  5. 위의 모든 답변이 '아니요'인 경우 활동이 악의적이라고 가정합니다.

수정

  1. 원본 컴퓨터를 포함합니다.
  2. 공격을 수행한 도구를 찾아 제거합니다.

원격 실행 시도 검색됨

설명

관리자 자격 증명을 손상하거나 제로 데이 익스플로잇을 사용하는 공격자는 할 일 컨트롤러에서 원격 명령을 실행할 수 기본. 지속성 확보, 정보 수집, DOS(서비스 거부) 공격 또는 기타 이유로 사용할 수 있습니다. ATA는 PSexec 및 원격 WMI 연결을 검색합니다.

조사

  1. 이는 관리 워크스테이션뿐만 아니라 할 일기본 컨트롤러에 대해 관리 작업을 수행하는 IT 팀 구성원 및 서비스 계정에 일반적입니다. 이 경우 동일한 관리자 또는 컴퓨터가 작업을 수행하므로 경고가 업데이트되면 경고를 표시하지 않습니다 .
  2. 문제의 컴퓨터가 사용자의 할 일기본 컨트롤러에 대해 이 원격 실행을 수행할 수 있나요?
    • 해당 계정이 do기본 컨트롤러에 대해 이 원격 실행을 수행할 수 있나요?
    • 두 질문에 대한 대답이 '예' 이면 경고를 닫습니다 .
  3. 두 질문에 대한 답변이 아니요인 경우 이 활동은 진정한 긍정으로 간주되어야 합니다. 컴퓨터 및 계정 프로필을 검사 시도의 원본을 찾습니다. 원본 컴퓨터 또는 계정을 선택하여 프로필 페이지로 이동합니다. 로그인한 사람, 액세스한 리소스 등과 같은 비정상적인 활동을 검색하여 이러한 시도 당시 발생한 작업을 확인합니다.

수정

  1. 비계층 0 컴퓨터에서 기본 컨트롤러에 대한 원격 액세스를 제한합니다.

  2. 관리자를 위해 강화된 컴퓨터만 연결할 수 있도록 권한 있는 액세스를 구현합니다기본 컨트롤러.

계정 자격 증명을 노출하는 중요한 계정 자격 증명 및 서비스

참고 항목

이 의심스러운 활동은 더 이상 사용되지 않으며 1.9 이전의 ATA 버전에만 표시됩니다. ATA 1.9 이상은 보고서를 참조 하세요.

설명

일부 서비스는 계정 자격 증명을 일반 텍스트로 보냅니다. 이는 중요한 계정에 대해서도 발생할 수 있습니다. 네트워크 트래픽을 모니터링하는 공격자는 악의적인 목적으로 이러한 자격 증명을 catch한 다음 다시 사용할 수 있습니다. 중요한 계정에 대한 명확한 텍스트 암호는 경고를 트리거하는 반면, 중요하지 않은 계정의 경우 5개 이상의 다른 계정이 동일한 원본 컴퓨터에서 명확한 텍스트 암호를 보내면 경고가 트리거됩니다.

조사

경고를 선택하여 세부 정보 페이지로 이동하세요. 노출된 계정을 확인합니다. 이러한 계정이 많은 경우 세부 정보 다운로드를 선택하여 Excel 스프레드시트에서 목록을 봅니다.

일반적으로 원본 컴퓨터에는 LDAP 단순 바인딩을 사용하는 스크립트 또는 레거시 애플리케이션이 있습니다.

수정

원본 컴퓨터에서 구성을 확인하고 LDAP 단순 바인딩을 사용하지 않도록 합니다. LDAP 단순 바인딩을 사용하는 대신 LDAP SALS 또는 LDAPS를 사용할 수 있습니다.

의심스러운 인증 실패

설명

무차별 암호 대입 공격에서 공격자는 하나 이상의 계정에 대해 올바른 암호를 찾을 때까지 다른 계정에 대해 다양한 암호로 인증을 시도합니다. 일단 발견되면 공격자는 해당 계정을 사용하여 로그인할 수 있습니다.

이 검색에서 경고는 Kerberos 또는 NTLM을 사용하는 많은 인증 오류가 발생했을 때 트리거되며, 이는 여러 사용자에 걸쳐 작은 암호 집합을 사용하여 가로로 발생할 수 있습니다. 또는 소수의 사용자에 대한 암호의 큰 집합을 세로로; 또는 이러한 두 옵션의 조합입니다. 경고를 트리거하기 전의 최소 기간은 1주일입니다.

조사

  1. 다운로드 세부 정보를 선택하여 Excel 스프레드시트에서 전체 정보를 봅니다. 다음 정보를 가져올 수 있습니다.
    • 공격받은 계정 목록
    • 성공적인 인증으로 로그인 시도가 종료된 추측된 계정 목록
    • NTLM을 사용하여 인증 시도가 수행된 경우 관련 이벤트 활동이 표시됩니다.
    • Kerberos를 사용하여 인증 시도가 수행된 경우 관련 네트워크 활동이 표시됩니다.
  2. 원본 컴퓨터를 선택하여 프로필 페이지로 이동합니다. 로그인한 사람, 액세스한 리소스 등과 같은 비정상적인 활동을 검색하여 이러한 시도 당시 발생한 작업을 확인합니다.
  3. NTLM을 사용하여 인증을 수행했으며 경고가 여러 번 발생하고 원본 컴퓨터가 액세스하려고 시도한 서버에 대해 사용 가능한 정보가 충분하지 않은 경우 관련 do기본 컨트롤러에서 NTLM 감사를 사용하도록 설정해야 합니다. 이렇게 하려면 이벤트 8004를 켭니다. 원본 컴퓨터, 사용자 계정 및 원본 컴퓨터가 액세스하려고 시도한 서버에 대한 정보가 포함된 NTLM 인증 이벤트입니다. 인증 유효성 검사를 보낸 서버를 알고 나면 인증 프로세스를 더 잘 이해하려면 4624와 같은 이벤트를 검사 서버를 조사해야 합니다.

수정

복잡하고 긴 암호는 무차별 암호 대입 공격에 필요한 첫 번째 수준의 보안을 제공합니다.

의심스러운 서비스 만들기

설명

공격자는 네트워크에서 의심스러운 서비스를 실행하려고 시도합니다. ATA는 의심스러운 것으로 보이는 새 서비스가 do기본 컨트롤러에 만들어지면 경고를 발생합니다. 이 경고는 이벤트 7045를 사용하며 ATA 게이트웨이 또는 경량 게이트웨이에서 적용되는 각 do기본 컨트롤러에서 검색됩니다.

조사

  1. 문제의 컴퓨터가 관리 워크스테이션이거나 IT 팀 구성원 및 서비스 계정이 관리 작업을 수행하는 컴퓨터인 경우 이는 가양성일 수 있으며, 필요한 경우 경고를 표시하지 않은 후 제외 목록에 추가해야 할 수 있습니다.

  2. 이 컴퓨터에서 인식하는 서비스인가요?

    • 문제의 계정이 이 서비스를 설치할 수 있나요?

    • 두 질문에 대한 대답이 '예'이면 경고를 닫거나 제외 목록에 추가합니다.

  3. 두 질문에 대한 답변이 '아니요'인 경우 이는 진정한 긍정으로 간주되어야 합니다.

수정

  • 특정 사용자만 새 서비스를 만들 수 있도록 할기본 컴퓨터에서 권한이 적은 액세스를 구현합니다.

비정상적인 동작에 따른 신원 도용 의심

설명

ATA는 슬라이딩 3주 동안 사용자, 컴퓨터 및 리소스에 대한 엔터티 동작을 알아봅니다. 동작 모델은 엔터티가 로그인한 컴퓨터, 엔터티가 액세스를 요청한 리소스 및 이러한 작업이 수행된 시간을 기반으로 합니다. ATA는 기계 학습 알고리즘에 따라 엔터티의 동작과 편차가 있을 때 경고를 보냅니다.

조사

  1. 문제의 사용자가 이러한 작업을 수행해야 하나요?

  2. 다음 사례를 잠재적인 가양성으로 간주합니다. 휴가에서 돌아온 사용자, 업무의 일부로 초과 액세스를 수행하는 IT 담당자(예: 지정된 일 또는 주에 지원 센터 지원 급증), 원격 데스크톱 애플리케이션.+ 경고를 닫고 제외하면 사용자는 더 이상 검색에 포함되지 않습니다.

수정

이 비정상적인 동작이 발생한 원인에 따라 다른 작업을 수행해야 합니다. 예를 들어 네트워크를 스캔한 경우 승인되지 않은 경우 원본 컴퓨터를 네트워크에서 차단해야 합니다.

비정상적인 프로토콜 구현

설명

공격자는 비표준 방식으로 다양한 프로토콜(SMB, Kerberos, NTLM)을 구현하는 도구를 사용합니다. 이러한 유형의 네트워크 트래픽은 경고 없이 Windows에서 허용되지만 ATA는 잠재적인 악의적인 의도를 인식할 수 있습니다. 이 동작은 Over-Pass-the-Hash와 같은 기술뿐만 아니라 WannaCry와 같은 고급 랜섬웨어에서 사용되는 익스플로잇을 나타냅니다.

조사

비정상적인 프로토콜을 식별합니다. 의심스러운 활동 시간줄에서 의심스러운 활동을 선택하여 세부 정보 페이지에 액세스합니다. 프로토콜이 Kerberos 또는 NTLM 화살표 위에 나타납니다.

  • Kerberos: Mimikatz와 같은 해킹 도구가 잠재적으로 고가도로 해시 공격을 사용하는 경우 트리거되는 경우가 많습니다. 원본 컴퓨터가 Kerberos RFC에 맞지 않는 자체 Kerberos 스택을 구현하는 애플리케이션을 실행하고 있는지 확인합니다. 이 경우 무해한 참 긍정이며 경고를 닫을 수 있습니다. 경고가 계속 트리거되고 여전히 해당되는 경우 경고를 표시하지 않을 수 있습니다.

  • NTLM: WannaCry 또는 Metasploit, Medusa 및 Hydra와 같은 도구일 수 있습니다.

활동이 WannaCry 공격인지 확인하려면 다음 단계를 수행합니다.

  1. 원본 컴퓨터가 Metasploit, Medusa 또는 Hydra와 같은 공격 도구를 실행하고 있는지 확인합니다.

  2. 공격 도구를 찾을 수 없는 경우 원본 컴퓨터가 자체 NTLM 또는 SMB 스택을 구현하는 애플리케이션을 실행하고 있는지 검사.

  3. 그렇지 않은 경우 WannaCry 스캐너 스크립트를 실행하여 WannaCry로 인해 발생하는 경우(예: 의심스러운 활동에 관련된 원본 컴퓨터에 대해 이 스캐너)를 검사. 스캐너에서 컴퓨터가 감염되거나 취약한 것으로 확인되면 컴퓨터를 패치하고 맬웨어를 제거하고 네트워크에서 차단합니다.

  4. 스크립트가 컴퓨터가 감염되었거나 취약한 것을 발견하지 못한 경우 여전히 감염될 수 있지만 SMBv1이 비활성화되었거나 컴퓨터가 패치되어 검사 도구에 영향을 줄 수 있습니다.

수정

모든 컴퓨터에 최신 패치를 적용하고 검사 모든 보안 업데이트가 적용됩니다.

  1. SMBv1 사용 안 함

  2. WannaCry 제거

  3. 일부 랜섬 소프트웨어의 제어에 있는 데이터는 때때로 해독될 수 있습니다. 암호 해독은 사용자가 컴퓨터를 다시 시작하거나 해제하지 않은 경우에만 가능합니다. 자세한 내용은 랜섬웨어 암호화를 참조 하세요.

참고 항목

의심스러운 활동 경고를 사용하지 않도록 설정하려면 지원에 문의하세요.

참고 항목