지속성 및 권한 에스컬레이션 경고
일반적으로 사이버 공격은 권한이 낮은 사용자와 같은 액세스 가능한 모든 엔터티에 대해 시작된 다음 공격자가 중요한 자산에 액세스할 때까지 신속하게 이동합니다. 중요한 자산은 중요한 계정, 할 일기본 관리자 또는 매우 중요한 데이터일 수 있습니다. Microsoft Defender for Identity는 전체 공격 킬 체인에 걸쳐 원본에서 이러한 지능형 위협을 파악하고 다음 단계로 분류합니다.
- 정찰 및 검색 경고
- 지속성 및 권한 에스컬레이션
- 자격 증명 액세스 경고
- 횡적 이동 경고
- 기타 경고
모든 Defender for Identity 보안 경고의 구조 및 공통 구성 요소를 이해하는 방법에 대한 자세한 내용은 보안 경고 이해를 참조하세요. TP(True Positive), B-TP(무해한 참 긍정) 및 FP(가양성)에 대한 자세한 내용은 보안 경고 분류를 참조하세요.
다음 보안 경고는 네트워크에서 Defender for Identity에서 감지한 지속성 및 권한 상승 단계 의심스러운 활동을 식별하고 수정하는 데 도움이 됩니다.
공격자가 기술을 사용하여 다른 온-프레미스 리소스에 계속 액세스한 후 권한 상승 단계를 시작합니다. 이 단계는 악의적 사용자가 시스템 또는 네트워크에서 더 높은 수준의 권한을 얻는 데 사용하는 기술로 구성됩니다. 악의적 사용자는 종종 권한 없는 액세스로 권한이 있는 네트워크를 입력하고 탐색할 수 있지만 목표를 수행하려면 상승된 권한이 필요합니다. 일반적인 방법은 시스템 약점, 잘못된 구성 및 취약성을 활용하는 것입니다.
의심되는 골든 티켓 사용(암호화 다운그레이드)(외부 ID 2009)
이전 이름: 암호화 다운그레이드 작업
심각도: 보통
설명:
암호화 다운그레이드는 일반적으로 가장 높은 수준의 암호화를 갖는 서로 다른 프로토콜 필드의 암호화 수준을 다운그레이드하여 Kerberos를 약화시키는 방법입니다. 약화된 암호화된 필드는 오프라인 무차별 암호 대입 시도에 더 쉬운 대상이 될 수 있습니다. 다양한 공격 방법은 약한 Kerberos 암호화 암호화를 활용합니다. 이 검색에서 Defender for Identity는 컴퓨터 및 사용자가 사용하는 Kerberos 암호화 종류를 학습하며, 원본 컴퓨터 및/또는 사용자에 대해 일반적이지 않은 약한 암호를 사용하고 알려진 공격 기술과 일치할 때 경고합니다.
골든 티켓 경고에서 원본 컴퓨터에서 TGS_REQ(서비스 요청) 메시지의 TGT 필드의 암호화 방법이 이전에 학습한 동작에 비해 다운그레이드된 것으로 감지되었습니다. 이는 시간 변칙을 기반으로 하지 않습니다(다른 골든 티켓 검색에서와 같이). 또한 이 경고의 경우에 Defender for Identity에서 검색한 이전의 서비스 요청과 연결된 Kerberos 인증 요청도 없었습니다.
학습 기간:
이 경고에는 할 일기본 컨트롤러 모니터링 시작부터 5일의 학습 기간이 있습니다.
MITRE:
| 기본 MITRE 전술 | 지속성(TA0003) |
|---|---|
| 보조 MITRE 전술 | 권한 상승(TA0004), 횡적 이동(TA0008) |
| MITRE 공격 기술 | Kerberos 티켓 도용 또는 위조(T1558) |
| MITRE 공격 하위 기술 | 골든 티켓(T1558.001) |
예방을 위한 제안된 단계:
- Windows Server 2012 R2까지 운영 체제를 사용하는 모든 do기본 컨트롤러가 KB3011780 및 모든 멤버 서버와 함께 설치되고 기본 2012 R2까지의 컨트롤러가 KB2496930 최신 상태인지 확인합니다. 자세한 내용은 Silver PAC 및 위조 PAC를 참조하세요.
의심되는 골든 티켓 사용(존재하지 않는 계정)(외부 ID 2027)
이전 이름: Kerberos 골든 티켓
심각도: 높음
설명:
할 일기본 관리자 권한이 있는 공격자는 KRBTGT 계정을 손상시킬 수 있습니다. KRBTGT 계정을 사용하여 모든 리소스에 대한 권한 부여를 제공하고 티켓 만료를 임의의 시간으로 설정하는 Kerberos TGT(티켓 부여 티켓)를 만들 수 있습니다. 이 가짜 TGT는 "골든 티켓"이라고 하며 공격자가 네트워크 지속성을 달성할 수 있도록 합니다. 이 검색에서 존재하지 않는 계정에 의해 경고가 트리거됩니다.
학습 기간:
없음
MITRE:
| 기본 MITRE 전술 | 지속성(TA0003) |
|---|---|
| 보조 MITRE 전술 | 권한 상승(TA0004), 횡적 이동(TA0008) |
| MITRE 공격 기술 | Kerberos 티켓 도용 또는 위조(T1558), 권한 상승 악용(T1068), 원격 서비스 악용(T1210) |
| MITRE 공격 하위 기술 | 골든 티켓(T1558.001) |
의심되는 골든 티켓 사용(티켓 변칙)(외부 ID 2032)
심각도: 높음
설명:
할 일기본 관리자 권한이 있는 공격자는 KRBTGT 계정을 손상시킬 수 있습니다. KRBTGT 계정을 사용하여 모든 리소스에 대한 권한 부여를 제공하고 티켓 만료를 임의의 시간으로 설정하는 Kerberos TGT(티켓 부여 티켓)를 만들 수 있습니다. 이 가짜 TGT는 "골든 티켓"이라고 하며 공격자가 네트워크 지속성을 달성할 수 있도록 합니다. 이 유형의 단조 골든 티켓은 이 검색이 식별하도록 특별히 설계된 고유한 특성을 가지고 있습니다.
학습 기간:
없음
MITRE:
| 기본 MITRE 전술 | 지속성(TA0003) |
|---|---|
| 보조 MITRE 전술 | 권한 상승(TA0004), 횡적 이동(TA0008) |
| MITRE 공격 기술 | Kerberos 티켓 도용 또는 위조(T1558) |
| MITRE 공격 하위 기술 | 골든 티켓(T1558.001) |
의심되는 골든 티켓 사용(RBCD를 사용한 티켓 변칙)(외부 ID 2040)
심각도: 높음
설명:
할 일기본 관리자 권한이 있는 공격자는 KRBTGT 계정을 손상시킬 수 있습니다. KRBTGT 계정을 사용하여 모든 리소스에 대한 권한 부여를 제공하는 Kerberos TGT(티켓 부여)를 만들 수 있습니다. 이 가짜 TGT는 "골든 티켓"이라고 하며 공격자가 네트워크 지속성을 달성할 수 있도록 합니다. 이 검색에서 경고는 SPN과 함께 계정(user\computer)에 대한 KRBTGT 계정을 사용하여 RBCD(리소스 기반 제한 위임) 권한을 설정하여 만든 골든 티켓에 의해 트리거됩니다.
학습 기간:
없음
MITRE:
| 기본 MITRE 전술 | 지속성(TA0003) |
|---|---|
| 보조 MITRE 전술 | 권한 에스컬레이션(TA0004) |
| MITRE 공격 기술 | Kerberos 티켓 도용 또는 위조(T1558) |
| MITRE 공격 하위 기술 | 골든 티켓(T1558.001) |
의심되는 골든 티켓 사용(시간 변칙)(외부 ID 2022)
이전 이름: Kerberos 골든 티켓
심각도: 높음
설명:
할 일기본 관리자 권한이 있는 공격자는 KRBTGT 계정을 손상시킬 수 있습니다. KRBTGT 계정을 사용하여 모든 리소스에 대한 권한 부여를 제공하고 티켓 만료를 임의의 시간으로 설정하는 Kerberos TGT(티켓 부여 티켓)를 만들 수 있습니다. 이 가짜 TGT는 "골든 티켓"이라고 하며 공격자가 네트워크 지속성을 달성할 수 있도록 합니다. 이 경고는 사용자 티켓의 최대 수명에 지정된 대로 허용되는 시간보다 많은 시간 동안 Kerberos 티켓 부여 티켓을 사용할 때 트리거됩니다.
학습 기간:
없음
MITRE:
| 기본 MITRE 전술 | 지속성(TA0003) |
|---|---|
| 보조 MITRE 전술 | 권한 상승(TA0004), 횡적 이동(TA0008) |
| MITRE 공격 기술 | Kerberos 티켓 도용 또는 위조(T1558) |
| MITRE 공격 하위 기술 | 골든 티켓(T1558.001) |
의심되는 기본 키 공격(암호화 다운그레이드)(외부 ID 2010)
이전 이름: 암호화 다운그레이드 작업
심각도: 보통
설명:
암호화 다운그레이드는 일반적으로 가장 높은 수준의 암호화를 갖는 프로토콜의 여러 필드에 대해 다운그레이드된 암호화 수준을 사용하여 Kerberos를 약화시키는 방법입니다. 약화된 암호화된 필드는 오프라인 무차별 암호 대입 시도에 더 쉬운 대상이 될 수 있습니다. 다양한 공격 방법은 약한 Kerberos 암호화 암호화를 활용합니다. 이 검색에서 Defender for Identity는 컴퓨터 및 사용자가 사용하는 Kerberos 암호화 유형을 학습합니다. 이 경고는 원본 컴퓨터 및/또는 사용자에게 비정상적인 약한 암호가 사용되고 알려진 공격 기술과 일치하는 경우 발생합니다.
스켈레톤 키는 do기본 컨트롤러에서 실행되는 맬웨어이며 암호를 모르고 모든 계정으로 할 일기본 인증을 허용합니다. 이 맬웨어는 종종 약한 암호화 알고리즘을 사용하여 do기본 컨트롤러에서 사용자의 암호를 해시합니다. 이 경고에서 do기본 컨트롤러에서 티켓을 요청하는 계정으로 이전 KRB_ERR 메시지 암호화의 학습된 동작이 다운그레이드되었습니다.
학습 기간:
없음
MITRE:
| 기본 MITRE 전술 | 지속성(TA0003) |
|---|---|
| 보조 MITRE 전술 | 횡적 이동(TA0008) |
| MITRE 공격 기술 | 원격 서비스 악용(T1210),인증 프로세스 수정(T1556) |
| MITRE 공격 하위 기술 | Do기본 Controller Authentication(T1556.001) |
중요한 그룹에 의심스러운 추가(외부 ID 2024)
심각도: 보통
설명:
공격자는 높은 권한의 그룹에 사용자를 추가합니다. 사용자를 추가하면 더 많은 리소스에 액세스하고 지속성을 얻을 수 있습니다. 이 검색은 사용자의 그룹 수정 활동을 프로파일링하고 중요한 그룹에 비정상적인 추가가 표시되면 경고하는 데 의존합니다. Defender for Identity에서 계속 프로파일링합니다.
Defender for Identity의 중요한 그룹에 대한 정의는 중요한 계정 작업을 참조 하세요.
검색은 do기본 컨트롤러에서 감사되는 이벤트에 의존합니다. do기본 컨트롤러가 필요한 이벤트를 감사하는지 확인합니다.
학습 기간:
첫 번째 이벤트부터 시작하여 기본 컨트롤러당 4주입니다.
MITRE:
| 기본 MITRE 전술 | 지속성(TA0003) |
|---|---|
| 보조 MITRE 전술 | 자격 증명 액세스(TA0006) |
| MITRE 공격 기술 | 계정 조작(T1098),Do기본 정책 수정(T1484) |
| MITRE 공격 하위 기술 | 해당 없음 |
예방을 위한 제안된 단계:
- 향후 공격을 방지하려면 중요한 그룹을 수정할 권한이 있는 사용자 수를 최소화합니다.
- 해당하는 경우 Active Directory에 대한 Privileged Access Management를 설정합니다.
의심되는 Netlogon 권한 상승 시도(CVE-2020-1472 악용)(외부 ID 2411)
심각도: 높음
설명: Microsoft는 do기본 컨트롤러에 대한 권한 상승을 허용하는 새로운 취약성이 존재한다는 것을 알리는 CVE-2020-1472를 게시했습니다.
권한 상승 취약성은 공격자가 권한 취약성의 Netlogon 권한 상승이라고도 하는 MS-NRPC(Netlogon 원격 프로토콜)를 사용하여 do기본 컨트롤러에 취약한 Netlogon 보안 채널 연결을 설정할 때 존재합니다.
학습 기간:
없음
MITRE:
| 기본 MITRE 전술 | 권한 에스컬레이션(TA0004) |
|---|---|
| MITRE 공격 기술 | 해당 없음 |
| MITRE 공격 하위 기술 | 해당 없음 |
예방을 위한 제안된 단계:
- 이 취약성과 관련되고 방지할 수 있는 Netlogon 보안 채널 연결의 변경 내용을 관리하는 방법에 대한 지침을 검토합니다.
Honeytoken 사용자 특성 수정됨(외부 ID 2427)
심각도: 높음
설명: Active Directory의 모든 사용자 개체에는 이름, 중간 이름, 성, 전화 번호, 주소 등의 정보가 포함된 특성이 있습니다. 경우에 따라 공격자는 다단계 인증 시도에 액세스하기 위해 계정의 전화 번호를 변경하는 등의 이점을 위해 이러한 개체를 시도하고 조작합니다. Microsoft Defender for Identity는 미리 구성된 honeytoken 사용자에 대한 특성 수정에 대해 이 경고를 트리거합니다.
학습 기간:
없음
MITRE:
| 기본 MITRE 전술 | 지속성(TA0003) |
|---|---|
| MITRE 공격 기술 | 계정 조작(T1098) |
| MITRE 공격 하위 기술 | 해당 없음 |
Honeytoken 그룹 멤버 자격 변경(외부 ID 2428)
심각도: 높음
설명: Active Directory에서 각 사용자는 하나 이상의 그룹의 구성원입니다. 계정에 대한 액세스 권한을 얻은 후 공격자는 보안 그룹을 제거하거나 추가하여 다른 사용자에게 권한을 추가하거나 제거하려고 할 수 있습니다. Microsoft Defender for Identity는 미리 구성된 honeytoken 사용자 계정을 변경할 때마다 경고를 트리거합니다.
학습 기간:
없음
MITRE:
| 기본 MITRE 전술 | 지속성(TA0003) |
|---|---|
| MITRE 공격 기술 | 계정 조작(T1098) |
| MITRE 공격 하위 기술 | 해당 없음 |
의심되는 SID 기록 주입(외부 ID 1106)
심각도: 높음
설명: SIDHistory는 Active Directory의 특성으로, 사용자가 자신의 계정을 한 쪽에서 다른 do기본 마이그레이션할 때 사용 권한을 유지하고 리소스에 액세스할 수 있도록 합니다. 사용자 계정이 새 do기본로 마이그레이션되면 사용자의 SID가 새 do기본 해당 계정의 SIDHistory 특성에 추가됩니다. 이 특성에는 사용자의 이전 do기본 SID 목록이 포함되어 있습니다.
악의적 사용자는 SIH 기록 주입을 사용하여 권한을 에스컬레이션하고 액세스 제어를 무시할 수 있습니다. 이 검색은 SIDHistory 특성에 새로 추가된 SID가 추가될 때 트리거됩니다.
학습 기간:
없음
MITRE:
| 기본 MITRE 전술 | 권한 에스컬레이션(TA0004) |
|---|---|
| MITRE 공격 기술 | 계정 조작(T1134) |
| MITRE 공격 하위 기술 | SID 기록 주입(T1134.005) |
dNSHostName 특성의 의심스러운 수정(CVE-2022-26923)(외부 ID 2421)
심각도: 높음
설명:
이 공격에는 dNSHostName 특성이 무단으로 수정되어 알려진 취약성(CVE-2022-26923)이 악용될 수 있습니다. 공격자는 이 특성을 조작하여 DNS(Do기본 Name System) 확인 프로세스의 무결성을 손상시킬 수 있으며, 이로 인해 중간자 공격이나 네트워크 리소스에 대한 무단 액세스를 비롯한 다양한 보안 위험이 발생할 수 있습니다.
학습 기간:
없음
MITRE:
| 기본 MITRE 전술 | 권한 에스컬레이션(TA0004) |
|---|---|
| 보조 MITRE 전술 | 방어 회피(TA0005) |
| MITRE 공격 기술 | 권한 상승에 대한 악용(T1068),액세스 토큰 조작(T1134) |
| MITRE 공격 하위 기술 | 토큰 가장/도난(T1134.001) |
do기본 관리SdHolder의 의심스러운 수정(외부 ID 2430)
심각도: 높음
설명:
공격자는 Do기본 관리SdHolder를 대상으로 지정하여 무단으로 수정할 수 있습니다. 이로 인해 권한 있는 계정의 보안 설명자를 변경하여 보안 취약성이 발생할 수 있습니다. 무단 변경을 방지하기 위해서는 중요한 Active Directory 개체의 정기적인 모니터링 및 보안이 필수적입니다.
학습 기간:
없음
MITRE:
| 기본 MITRE 전술 | 지속성(TA0003) |
|---|---|
| 보조 MITRE 전술 | 권한 에스컬레이션(TA0004) |
| MITRE 공격 기술 | 계정 조작(T1098) |
| MITRE 공격 하위 기술 | 해당 없음 |
새로 만든 컴퓨터의 의심스러운 Kerberos 위임 시도(외부 ID 2422)
심각도: 높음
설명:
이 공격에는 새로 만든 컴퓨터의 의심스러운 Kerberos 티켓 요청이 포함됩니다. 권한 없는 Kerberos 티켓 요청은 잠재적인 보안 위협을 나타낼 수 있습니다. 권한 없는 액세스 및 잠재적 손상 방지를 위해서는 비정상적인 티켓 요청 모니터링, 컴퓨터 계정 유효성 검사 및 의심스러운 활동 즉시 해결이 필수적입니다.
학습 기간:
없음
MITRE:
| 기본 MITRE 전술 | 방어 회피(TA0005) |
|---|---|
| 보조 MITRE 전술 | 권한 에스컬레이션(TA0004) |
| MITRE 공격 기술 | Do기본 정책 수정(T1484) |
| MITRE 공격 하위 기술 | 해당 없음 |
의심스러운 Do기본 컨트롤러 인증서 요청(ESC8)(외부 ID 2432)
심각도: 높음
설명:
Do기본 Controller 인증서(ESC8)에 대한 비정상적인 요청은 잠재적인 보안 위협에 대한 우려를 제기합니다. 이는 인증서 인프라의 무결성을 손상하여 무단 액세스 및 데이터 침해로 이어질 수 있습니다.
학습 기간:
없음
MITRE:
| 기본 MITRE 전술 | 방어 회피(TA0005) |
|---|---|
| 보조 MITRE 전술 | 지속성(TA0003),권한 에스컬레이션(TA0004),초기 액세스(TA0001) |
| MITRE 공격 기술 | 유효한 계정(T1078) |
| MITRE 공격 하위 기술 | 해당 없음 |
참고 항목
의심스러운 Do기본 컨트롤러 인증서 요청(ESC8) 경고는 AD CS의 Defender for Identity 센서에서만 지원됩니다.
AD CS 보안 권한/설정에 대한 의심스러운 수정(외부 ID 2435)
심각도: 보통
설명:
공격자는 AD CS(Active Directory 인증서 서비스)의 보안 권한 및 설정을 대상으로 지정하여 인증서 발급 및 관리를 조작할 수 있습니다. 무단 수정은 취약성을 발생시키고 인증서 무결성을 손상시키며 PKI 인프라의 전반적인 보안에 영향을 미칠 수 있습니다.
학습 기간:
없음
MITRE:
| 기본 MITRE 전술 | 방어 회피(TA0005) |
|---|---|
| 보조 MITRE 전술 | 권한 에스컬레이션(TA0004) |
| MITRE 공격 기술 | Do기본 정책 수정(T1484) |
| MITRE 공격 하위 기술 | 해당 없음 |
참고 항목
AD CS 보안 권한/설정 경고에 대한 의심스러운 수정은 AD CS의 Defender for Identity 센서에서만 지원됩니다.
AD FS 서버의 트러스트 관계가 의심스러운 수정(외부 ID 2420)
심각도: 보통
설명:
AD FS 서버의 트러스트 관계를 무단으로 변경하면 페더레이션 ID 시스템의 보안이 손상될 수 있습니다. 트러스트 구성을 모니터링하고 보호하는 것은 무단 액세스를 방지하는 데 중요합니다.
학습 기간:
없음
MITRE:
| 기본 MITRE 전술 | 방어 회피(TA0005) |
|---|---|
| 보조 MITRE 전술 | 권한 에스컬레이션(TA0004) |
| MITRE 공격 기술 | Do기본 정책 수정(T1484) |
| MITRE 공격 하위 기술 | Do기본 트러스트 수정(T1484.002) |
참고 항목
AD FS 서버 경고의 신뢰 관계에 대한 의심스러운 수정은 AD FS의 Defender for Identity 센서에서만 지원됩니다.
컴퓨터 계정에 의한 리소스 기반 제한 위임 특성의 의심스러운 수정(외부 ID 2423)
심각도: 높음
설명:
컴퓨터 계정에서 리소스 기반 제한 위임 특성을 무단으로 변경하면 보안 위반이 발생할 수 있으므로 공격자가 사용자를 가장하고 리소스에 액세스할 수 있습니다. 위임 구성을 모니터링하고 보호하는 것은 오용을 방지하는 데 필수적입니다.
학습 기간:
없음
MITRE:
| 기본 MITRE 전술 | 방어 회피(TA0005) |
|---|---|
| 보조 MITRE 전술 | 권한 에스컬레이션(TA0004) |
| MITRE 공격 기술 | Do기본 정책 수정(T1484) |
| MITRE 공격 하위 기술 | 해당 없음 |