자격 증명 액세스 경고
일반적으로 사이버 공격은 권한이 낮은 사용자와 같은 액세스 가능한 모든 엔터티에 대해 시작된 다음 공격자가 중요한 자산에 액세스할 때까지 신속하게 이동합니다. 중요한 자산은 중요한 계정, 도메인 관리자 또는 매우 중요한 데이터일 수 있습니다. Microsoft Defender for Identity는 전체 공격 킬 체인에 걸쳐 원본에서 이러한 지능형 위협을 파악하고 다음 단계로 분류합니다.
- 정찰 및 검색 경고
- 지속성 및 권한 에스컬레이션 경고
- 자격 증명 액세스
- 횡적 이동 경고
- 기타 경고
모든 Defender for Identity 보안 경고의 구조 및 공통 구성 요소를 이해하는 방법에 대한 자세한 내용은 보안 경고 이해를 참조하세요. TP(True Positive), B-TP(무해한 참 긍정) 및 FP(가양성)에 대한 자세한 내용은 보안 경고 분류를 참조하세요.
다음 보안 경고는 네트워크에서 Defender for Identity에서 감지한 의심스러운 자격 증명 액세스 단계 의심스러운 활동을 식별하고 수정하는 데 도움이 됩니다.
자격 증명 액세스는 계정 이름 및 암호와 같은 자격 증명을 도용하는 기술로 구성됩니다. 자격 증명을 가져오는 데 사용되는 기술에는 키 로깅 또는 자격 증명 덤프가 포함됩니다. 합법적인 자격 증명을 사용하면 악의적 사용자에게 시스템에 대한 액세스 권한을 부여하고, 탐지하기 어렵게 만들고, 목표를 달성하는 데 도움이 되는 더 많은 계정을 만들 수 있는 기회를 제공할 수 있습니다.
의심되는 무차별 암호 대입 공격(LDAP)(외부 ID 2004)
이전 이름: LDAP 단순 바인딩을 사용한 무차별 암호 대입 공격
심각도: 보통
설명:
무차별 암호 대입 공격에서 공격자는 하나 이상의 계정에 대해 올바른 암호를 찾을 때까지 다른 계정에 대해 다양한 암호로 인증을 시도합니다. 일단 발견되면 공격자는 해당 계정을 사용하여 로그인할 수 있습니다.
이 검색에서는 Defender for Identity가 많은 수의 단순 바인딩 인증을 검색할 때 경고가 트리거됩니다. 이 경고는 여러 사용자에 걸쳐 작은 암호 집합을 사용하여 수평으로 수행되는 무차별 암호 공격, 소수의 사용자에 대한 큰 암호 집합 또는 두 옵션의 조합으로 세로로 수행되는 무차별 암호 공격을 감지합니다. 경고는 도메인 컨트롤러 및 AD FS/AD CS 서버에서 실행되는 센서의 인증 이벤트를 기반으로 합니다.
학습 기간:
None
MITRE:
기본 MITRE 전술 | 자격 증명 액세스(TA0006) |
---|---|
MITRE 공격 기술 | 무차별 암호 대입(T1110) |
MITRE 공격 하위 기술 | 암호 추측(T1110.001), 암호 살포(T1110.003) |
예방을 위한 제안된 단계:
- 조직에서 복잡하고 긴 암호를 적용 합니다 . 이렇게 하면 향후 무차별 암호 대입 공격에 대해 필요한 첫 번째 수준의 보안이 제공됩니다.
- 조직에서 LDAP 일반 텍스트 프로토콜의 향후 사용을 방지합니다.
의심되는 골든 티켓 사용(위조된 권한 부여 데이터)(외부 ID 2013)
이전 이름: 위조된 권한 부여 데이터를 사용한 권한 상승
심각도: 높음
설명:
이전 버전의 Windows Server에서 알려진 취약성을 통해 공격자는 사용자 권한 부여 데이터(Active Directory의 그룹 멤버 자격)가 포함된 Kerberos 티켓의 필드인 PAC(Privileged Attribute Certificate)를 조작하여 공격자에게 추가 권한을 부여할 수 있습니다.
학습 기간:
None
MITRE:
기본 MITRE 전술 | 자격 증명 액세스(TA0006) |
---|---|
MITRE 공격 기술 | Kerberos 티켓 도용 또는 위조(T1558) |
MITRE 공격 하위 기술 | 골든 티켓(T1558.001) |
예방을 위한 제안된 단계:
- Windows Server 2012 R2까지 운영 체제를 사용하는 모든 도메인 컨트롤러가 KB3011780 설치되어 있고 2012 R2까지의 모든 멤버 서버 및 도메인 컨트롤러가 KB2496930 최신 상태인지 확인합니다. 자세한 내용은 Silver PAC 및 위조 PAC를 참조하세요.
Data Protection API 마스터 키의 악의적인 요청(외부 ID 2020)
이전 이름: 악성 데이터 보호 개인 정보 요청
심각도: 높음
설명:
DPAPI(데이터 보호 API)는 Windows에서 브라우저, 암호화된 파일 및 기타 중요한 데이터로 저장된 암호를 안전하게 보호하는 데 사용됩니다. 도메인 컨트롤러는 도메인에 가입된 Windows 컴퓨터에서 DPAPI로 암호화된 모든 비밀을 해독하는 데 사용할 수 있는 백업 마스터 키를 보유합니다. 공격자는 마스터 키를 사용하여 모든 도메인에 가입된 컴퓨터에서 DPAPI로 보호되는 비밀을 해독할 수 있습니다. 이 검색에서 DPAPI를 사용하여 백업 마스터 키를 검색하면 Defender for Identity 경고가 트리거됩니다.
학습 기간:
None
MITRE:
기본 MITRE 전술 | 자격 증명 액세스(TA0006) |
---|---|
MITRE 공격 기술 | 암호 저장소의 자격 증명(T1555) |
MITRE 공격 하위 기술 | 해당 없음 |
의심되는 무차별 암호 대입 공격(Kerberos, NTLM)(외부 ID 2023)
이전 이름: 의심스러운 인증 실패
심각도: 보통
설명:
무차별 암호 대입 공격에서 공격자는 올바른 암호를 찾을 때까지 또는 하나 이상의 계정에 대해 작동하는 대규모 암호 스프레이에서 하나의 암호를 사용하여 여러 계정에서 여러 암호로 인증을 시도합니다. 일단 발견되면 공격자는 인증된 계정을 사용하여 로그인합니다.
이 검색에서 Kerberos, NTLM을 사용하여 많은 인증 오류가 발생하거나 암호 스프레이를 사용하는 경우 경고가 트리거됩니다. Kerberos 또는 NTLM을 사용하여 이러한 유형의 공격은 일반적으로 여러 사용자에 걸쳐 작은 암호 집합을 사용하거나, 몇 명의 사용자에 대해 큰 암호 집합이 있는 수직 또는 이 두 가지의 조합을 사용하여 가로로 커밋됩니다.
암호 스프레이에서 도메인 컨트롤러에서 유효한 사용자 목록을 성공적으로 열거한 후 공격자는 알려진 모든 사용자 계정(여러 계정에 대한 하나의 암호)에 대해 신중하게 만든 하나의 암호를 시도합니다. 초기 암호 스프레이가 실패하면 일반적으로 시도 사이에 30분을 기다린 후 신중하게 만들어진 다른 암호를 활용하여 다시 시도합니다. 대기 시간을 사용하면 공격자가 대부분의 시간 기반 계정 잠금 임계값을 트리거하지 않도록 방지할 수 있습니다. 암호 스프레이는 공격자와 펜 테스터 모두에서 빠르게 즐겨 찾는 기술이 되었습니다. 암호 스프레이 공격은 조직에서 초기 발판을 마련하고 후속 횡적 이동을 통해 권한을 확대하는 데 효과적인 것으로 입증되었습니다. 경고를 트리거하기 전의 최소 기간은 1주일입니다.
학습 기간:
1주
MITRE:
기본 MITRE 전술 | 자격 증명 액세스(TA0006) |
---|---|
MITRE 공격 기술 | 무차별 암호 대입(T1110) |
MITRE 공격 하위 기술 | 암호 추측(T1110.001), 암호 살포(T1110.003) |
예방을 위한 제안된 단계:
- 조직에서 복잡하고 긴 암호를 적용 합니다 . 이렇게 하면 향후 무차별 암호 대입 공격에 대해 필요한 첫 번째 수준의 보안이 제공됩니다.
LDAP(보안 주체 정찰)(외부 ID 2038)
심각도: 보통
설명:
보안 주체 정찰은 공격자가 도메인 환경에 대한 중요한 정보를 얻는 데 사용됩니다. 공격자가 도메인 구조를 매핑하고 공격 킬 체인의 이후 단계에서 사용할 권한 있는 계정을 식별하는 데 도움이 되는 정보입니다. LDAP(Lightweight Directory Access Protocol)는 Active Directory를 쿼리하기 위해 합법적이고 악의적인 용도로 사용되는 가장 인기 있는 방법 중 하나입니다. LDAP에 초점을 맞춘 보안 주체 정찰은 일반적으로 Kerberoasting 공격의 첫 번째 단계로 사용됩니다. Kerberoasting 공격은 공격자가 TGS(Ticket Granting Server) 티켓을 가져오려고 시도하는 SPN(보안 주체 이름)의 대상 목록을 가져오는 데 사용됩니다.
Defender for Identity가 합법적인 사용자를 정확하게 프로파일링하고 학습하기 위해 Defender for Identity 배포 이후 처음 10일 동안은 이 유형의 경고가 트리거되지 않습니다. Defender for Identity 초기 학습 단계가 완료되면 의심스러운 LDAP 열거형 쿼리 또는 이전에 관찰되지 않은 메서드를 사용하는 중요한 그룹을 대상으로 하는 쿼리를 수행하는 컴퓨터에 경고가 생성됩니다.
학습 기간:
컴퓨터에서 관찰된 첫 번째 이벤트의 날부터 컴퓨터당 15일입니다.
MITRE:
기본 MITRE 전술 | 검색(TA0007) |
---|---|
보조 MITRE 전술 | 자격 증명 액세스(TA0006) |
MITRE 공격 기술 | 계정 검색(T1087) |
MITRE 공격 하위 기술 | 도메인 계정(T1087.002) |
Kerberoasting 예방을 위해 제안된 특정 단계:
- 서비스 주체 계정이 있는 사용자를 위해 길고 복잡한 암호를 사용해야 합니다.
- 사용자 계정을 gMSA(그룹 관리 서비스 계정)로 바꿉니다.
참고 항목
보안 주체 정찰(LDAP) 경고는 Defender for Identity 센서에서만 지원됩니다.
의심되는 Kerberos SPN 노출(외부 ID 2410)
심각도: 높음
설명:
공격자는 도구를 사용하여 서비스 계정 및 해당 SPN(서비스 주체 이름)을 열거하고, 서비스에 대한 Kerberos 서비스 티켓을 요청하고, 메모리에서 TGS(Ticket Granting Service) 티켓을 캡처하고, 해시를 추출하고, 오프라인 무차별 암호 대입 공격에 나중에 사용할 수 있도록 저장합니다.
학습 기간:
None
MITRE:
기본 MITRE 전술 | 자격 증명 액세스(TA0006) |
---|---|
MITRE 공격 기술 | Kerberos 티켓 도용 또는 위조(T1558) |
MITRE 공격 하위 기술 | Kerberoasting(T1558.003) |
의심되는 AS-REP 로스팅 공격(외부 ID 2412)
심각도: 높음
설명:
공격자는 도구를 사용하여 Kerberos 사전 인증이 사용하지 않도록 설정된 계정을 검색하고 암호화된 타임스탬프 없이 AS-REQ 요청을 보냅니다. 이에 대한 응답으로 RC4와 같은 안전하지 않은 알고리즘으로 암호화될 수 있는 TGT 데이터로 AS-REP 메시지를 수신하고 나중에 오프라인 암호 크래킹 공격(Kerberoasting과 유사)에 사용할 수 있도록 저장하고 일반 텍스트 자격 증명을 노출합니다.
학습 기간:
None
MITRE:
기본 MITRE 전술 | 자격 증명 액세스(TA0006) |
---|---|
MITRE 공격 기술 | Kerberos 티켓 도용 또는 위조(T1558) |
MITRE 공격 하위 기술 | AS-REP 로스팅(T1558.004) |
예방을 위한 제안된 단계:
- Kerberos 사전 인증을 사용하도록 설정합니다. 계정 특성 및 이를 수정하는 방법에 대한 자세한 내용은 보안되지 않은 계정 특성을 참조하세요.
sAMNameAccount 특성의 의심스러운 수정(CVE-2021-42278 및 CVE-2021-42287 악용)(외부 ID 2419)
심각도: 높음
설명:
공격자는 패치가 적용되지 않은 Active Directory 환경에서 도메인 관리자 사용자에 대한 간단한 경로를 만들 수 있습니다. 이러한 에스컬레이션 공격으로 인해 공격자는 도메인의 일반 사용자를 손상시킨 후 도메인 관리자의 권한을 쉽게 상승 시킬 수 있습니다.
Kerberos를 사용하여 인증을 수행할 때 TGT(Ticket-Granting-Ticket) 및 TGS(Ticket-Granting-Service)가 키 배포 센터(KDC)에서 요청됩니다. 찾을 수 없는 계정에 대해 TGS가 요청된 경우 KDC는 후행 $로 다시 검색하려고 시도합니다.
TGS 요청을 처리할 때 KDC는 공격자가 만든 요청자 컴퓨터 DC1 에 대한 조회에 실패합니다. 따라서 KDC는 후행 $를 추가하여 또 다른 조회를 수행합니다. 조회가 성공합니다. 결과적으로 KDC는 DC1$의 권한을 사용하여 티켓을 발급합니다.
도메인 사용자 자격 증명을 사용하는 공격자는 CVE CVE-2021-42278 및 CVE-2021-42287를 결합하여 액세스 권한을 도메인 관리자로 지정할 수 있습니다.
학습 기간:
None
MITRE:
기본 MITRE 전술 | 자격 증명 액세스(TA0006) |
---|---|
MITRE 공격 기술 | 액세스 토큰 조작(T1134),권한 상승 악용(T1068),Kerberos 티켓 도용 또는 위조(T1558) |
MITRE 공격 하위 기술 | 토큰 가장/도난(T1134.001) |
Honeytoken 인증 작업(외부 ID 2014)
이전 이름: Honeytoken 활동
심각도: 보통
설명:
Honeytoken 계정은 이러한 계정을 포함하는 악의적인 활동을 식별하고 추적하기 위해 설정된 디코이 계정입니다. 허니토켄 계정은 공격자를 유인할 수 있는 매력적인 이름(예: SQL-Admin)을 갖는 동안 사용하지 않아야 합니다. 이러한 인증 활동은 악의적인 동작을 나타낼 수 있습니다. Honeytoken 계정에 대한 자세한 내용은 중요한 계정 또는 Honeytoken 계정 관리를 참조하세요.
학습 기간:
None
MITRE:
기본 MITRE 전술 | 자격 증명 액세스(TA0006) |
---|---|
보조 MITRE 전술 | 검색 |
MITRE 공격 기술 | 계정 검색(T1087) |
MITRE 공격 하위 기술 | 도메인 계정(T1087.002) |
의심되는 DCSync 공격(디렉터리 서비스 복제)(외부 ID 2006)
이전 이름: 디렉터리 서비스의 악의적인 복제
심각도: 높음
설명:
Active Directory 복제는 한 도메인 컨트롤러에서 수행된 변경 내용이 다른 모든 도메인 컨트롤러와 동기화되는 프로세스입니다. 필요한 권한이 있으면 공격자가 복제 요청을 시작하여 암호 해시를 포함하여 Active Directory에 저장된 데이터를 검색할 수 있습니다.
이 검색에서 도메인 컨트롤러가 아닌 컴퓨터에서 복제 요청을 시작하면 경고가 트리거됩니다.
참고 항목
Defender for Identity 센서가 설치되지 않은 도메인 컨트롤러가 있는 경우 해당 도메인 컨트롤러에는 Defender for Identity가 적용되지 않습니다. 등록되지 않았거나 보호되지 않는 도메인 컨트롤러에 새 도메인 컨트롤러를 배포하면 Defender for Identity에서 도메인 컨트롤러로 즉각 파악하지 못할 수 있습니다. 전체 적용을 받으려면 모든 도메인 컨트롤러에 Defender for Identity 센서를 설치하는 것이 좋습니다.
학습 기간:
None
MITRE:
기본 MITRE 전술 | 자격 증명 액세스(TA0006) |
---|---|
보조 MITRE 전술 | 지속성(TA0003) |
MITRE 공격 기술 | OS 자격 증명 덤프(T1003) |
MITRE 공격 하위 기술 | DCSync(T1003.006) |
예방을 위한 제안된 단계::
다음 사용 권한의 유효성을 검사합니다.
- 디렉터리 변경 내용을 복제합니다.
- 디렉터리 변경 내용을 모두 복제합니다.
- 자세한 내용은 SharePoint Server 2013에서 프로필 동기화에 대한 Active Directory 도메인 Services 권한 부여를 참조하세요. AD ACL 스캐너를 사용하거나 Windows PowerShell 스크립트를 만들어 도메인에서 이러한 사용 권한이 있는 사용자를 확인할 수 있습니다.
의심되는 AD FS DKM 키 읽기(외부 ID 2413)
심각도: 높음
설명:
AD FS(Active Directory Federation Services) 프라이빗 키를 포함한 토큰 서명 및 토큰 암호 해독 인증서는 AD FS 구성 데이터베이스에 저장됩니다. 인증서는 배포 키 관리자라는 기술을 사용하여 암호화됩니다. AD FS는 필요할 때 이러한 DKM 키를 만들고 사용합니다. Golden SAML과 같은 공격을 수행하려면 공격자는 골든 티켓 공격에 krbtgt 계정이 필요한 방법과 마찬가지로 SAML 개체에 서명하는 프라이빗 키가 필요합니다. 공격자는 AD FS 사용자 계정을 사용하여 DKM 키에 액세스하고 SAML 토큰에 서명하는 데 사용되는 인증서의 암호를 해독할 수 있습니다. 이 검색은 AD FS 개체의 DKM 키를 읽으려는 행위자를 찾으려고 시도합니다.
학습 기간:
None
MITRE:
기본 MITRE 전술 | 자격 증명 액세스(TA0006) |
---|---|
MITRE 공격 기술 | 보안되지 않은 자격 증명(T1552) |
MITRE 공격 하위 기술 | 보안되지 않은 자격 증명: 프라이빗 키(T1552.004) |
분산 파일 시스템 프로토콜을 사용한 의심되는 DFSCoerce 공격(외부 ID 2426)
심각도: 높음
설명:
DFSCoerce 공격은 도메인 컨트롤러가 NTLM 인증을 트리거하는 MS-DFSNM API를 사용하여 공격자의 제어 하에 있는 원격 머신에 대해 인증하도록 강제하는 데 사용할 수 있습니다. 이를 통해 궁극적으로 위협 행위자가 NTLM 릴레이 공격을 시작할 수 있습니다.
학습 기간:
None
MITRE:
기본 MITRE 전술 | 자격 증명 액세스(TA0006) |
---|---|
MITRE 공격 기술 | 강제 인증(T1187) |
MITRE 공격 하위 기술 | 해당 없음 |
BronzeBit 메서드를 사용한 의심스러운 Kerberos 위임 시도(CVE-2020-17049 악용)(외부 ID 2048)
심각도: 보통
설명:
취약성(CVE-2020-17049)을 악용하는 공격자는 BronzeBit 메서드를 사용하여 의심스러운 Kerberos 위임을 시도합니다. 이로 인해 권한 상승 권한이 상승되고 Kerberos 인증 프로세스의 보안이 손상될 수 있습니다.
학습 기간:
None
MITRE:
기본 MITRE 전술 | 자격 증명 액세스(TA0006) |
---|---|
MITRE 공격 기술 | Kerberos 티켓 도용 또는 위조(T1558) |
MITRE 공격 하위 기술 | 해당 없음 |
의심스러운 인증서를 사용하는 비정상적인 AD FS(Active Directory Federation Services) 인증(외부 ID 2424)
심각도: 높음
설명:
AD FS(Active Directory Federation Services)에서 의심스러운 인증서를 사용하는 비정상적인 인증 시도는 잠재적인 보안 위반을 나타낼 수 있습니다. AD FS 인증 중에 인증서를 모니터링하고 유효성을 검사하는 것은 무단 액세스를 방지하는 데 중요합니다.
학습 기간:
None
MITRE:
기본 MITRE 전술 | 자격 증명 액세스(TA0006) |
---|---|
MITRE 공격 기술 | 웹 자격 증명 위조(T1606) |
MITRE 공격 하위 기술 | 해당 없음 |
참고 항목
의심스러운 인증서 경고를 사용하는 비정상적인 AD FS(Active Directory Federation Services) 인증은 AD FS의 Defender for Identity 센서에서만 지원됩니다.
섀도 자격 증명을 사용한 계정 인수 의심(외부 ID 2431)
심각도: 높음
설명:
계정 인수 시도에서 섀도 자격 증명을 사용하면 악의적인 활동이 발생합니다. 공격자는 약하거나 손상된 자격 증명을 악용하여 사용자 계정에 대한 무단 액세스 및 제어를 시도할 수 있습니다.
학습 기간:
None
MITRE:
기본 MITRE 전술 | 자격 증명 액세스(TA0006) |
---|---|
MITRE 공격 기술 | OS 자격 증명 덤프(T1003) |
MITRE 공격 하위 기술 | 해당 없음 |
의심스러운 Kerberos 티켓 요청(외부 ID 2418)
심각도: 높음
설명:
이 공격에는 비정상적인 Kerberos 티켓 요청의 의심이 포함됩니다. 공격자는 Kerberos 인증 프로세스에서 취약성을 악용하려고 시도할 수 있으며, 이로 인해 보안 인프라의 무단 액세스 및 손상이 발생할 수 있습니다.
학습 기간:
None
MITRE:
기본 MITRE 전술 | 자격 증명 액세스(TA0006) |
---|---|
보조 MITRE 전술 | 컬렉션(TA0009) |
MITRE 공격 기술 | 악의적인 중간(T1557) |
MITRE 공격 하위 기술 | LLMNR/NBT-NS 중독 및 SMB 릴레이(T1557.001) |
OneLogin에 대한 암호 스프레이
심각도: 높음
설명:
암호 스프레이에서 공격자는 많은 수의 사용자에 대해 작은 암호 하위 집합을 추측하려고 합니다. 이 작업은 사용자가 known\weak 암호를 사용하고 있는지 확인하기 위해 수행됩니다. 실패한 로그인을 수행하는 원본 IP를 조사하여 합법적인지 여부를 확인하는 것이 좋습니다.
학습 기간:
None
MITRE:
기본 MITRE 전술 | 자격 증명 액세스(TA0006) |
---|---|
MITRE 공격 기술 | 무차별 암호 대입(T1110) |
MITRE 공격 하위 기술 | 암호 살포(T1110.003) |
의심스러운 OneLogin MFA 피로
심각도: 높음
설명:
MFA 피로에서 공격자는 로그인 또는 거부를 허용하도록 요청하는 MFA 요청을 계속 표시하는 시스템에 버그가 있음을 느끼게 하는 동안 사용자에게 여러 MFA 시도를 보냅니다. 공격자는 피해자가 로그인을 허용하도록 강제하려고 합니다. 그러면 알림이 중지되고 공격자가 시스템에 로그인할 수 있습니다.
실패한 MFA 시도를 수행하는 원본 IP를 조사하여 합법적인지 여부와 사용자가 로그인을 수행하는지 여부를 확인하는 것이 좋습니다.
학습 기간:
None
MITRE:
기본 MITRE 전술 | 자격 증명 액세스(TA0006) |
---|---|
MITRE 공격 기술 | 다단계 인증 요청 생성(T1621) |
MITRE 공격 하위 기술 | 해당 없음 |