횡적 이동 경고
일반적으로 사이버 공격은 권한이 낮은 사용자와 같은 액세스 가능한 모든 엔터티에 대해 시작된 다음 공격자가 중요한 자산에 액세스할 때까지 신속하게 이동합니다. 중요한 자산은 중요한 계정, 할 일기본 관리자 또는 매우 중요한 데이터일 수 있습니다. Microsoft Defender for Identity는 전체 공격 킬 체인에 걸쳐 원본에서 이러한 지능형 위협을 파악하고 다음 단계로 분류합니다.
모든 Defender for Identity 보안 경고의 구조 및 공통 구성 요소를 이해하는 방법에 대한 자세한 내용은 보안 경고 이해를 참조하세요. TP(True Positive), B-TP(무해한 참 긍정) 및 FP(가양성)에 대한 자세한 내용은 보안 경고 분류를 참조하세요.
수평 이동은 악의적 사용자가 네트워크의 원격 시스템에 진입하고 원격 시스템을 제어할 수 있는 기술로 구성됩니다. 기본 목표를 수행하려면 대상을 찾기 위해 네트워크를 탐색한 후 액세스 권한을 얻어야 하는 경우가 많습니다. 목표에 도달하는 데는 종종 얻기 위해 여러 시스템과 계정을 피벗하는 작업이 포함됩니다. 악의적 사용자는 자체 원격 액세스 도구를 설치하여 수평 이동을 수행하거나 네이티브 네트워크 및 운영 체제 도구와 함께 합법적인 자격 증명을 사용할 수 있습니다. Microsoft Defender for Identity는 PrintNightmare 또는 원격 코드 실행과 같은 do기본 컨트롤러에 대한 다양한 전달 공격(티켓 전달, 해시 전달 등) 또는 기타 악용을 다룰 수 있습니다.
Windows Print Spooler 서비스에서 악용이 의심되는 시도(외부 ID 2415)
심각도: 높음 또는 보통
설명:
악의적 사용자가 Windows Print Spooler 서비스를 악용하여 권한 있는 파일 작업을 부적절한 방식으로 수행할 수 있습니다. 대상에서 코드를 실행할 수 있고 취약성을 성공적으로 악용하는 공격자는 대상 시스템에서 SYSTEM 권한으로 임의의 코드를 실행할 수 있습니다. do기본 컨트롤러에 대해 실행하면 손상된 비관리자 계정이 do기본 컨트롤러에 대해 SYSTEM으로 작업을 수행할 수 있습니다.
이를 통해 네트워크에 들어오는 공격자는 즉시 Do기본 관리istrator로 권한을 상승시키고, 모든 do기본 자격 증명을 도용하고, 추가 맬웨어를 Do기본 관리 배포할 수 있습니다.
학습 기간:
없음
MITRE:
| 기본 MITRE 전술 | 횡적 이동(TA0008) |
|---|---|
| MITRE 공격 기술 | 원격 서비스 악용(T1210) |
| MITRE 공격 하위 기술 | 해당 없음 |
예방을 위한 제안된 단계:
- do기본 컨트롤러가 손상될 위험이 있으므로 구성원 서버 및 워크스테이션에 설치하기 전에 Windows do기본 컨트롤러에 CVE-2021-3452용 보안 업데이트를 설치합니다.
- Do기본 컨트롤러에서 인쇄 스풀러 서비스의 가용성을 추적하는 Defender for Identity 기본 제공 보안 평가를 사용할 수 있습니다. 자세히 알아보기.
DNS를 통한 원격 코드 실행 시도(외부 ID 2036)
심각도: 보통
설명:
2018년 12월 11일 Microsoft는 Windows Do기본 DNS(이름 시스템) 서버에 새로 검색된 원격 코드 실행 취약성이 있음을 알리는 CVE-2018-8626을 게시했습니다. 이 취약성에서 서버는 요청을 제대로 처리하지 못합니다. 취약성을 성공적으로 악용한 공격자는 로컬 시스템 계정의 컨텍스트에서 임의의 코드를 실행할 수 있습니다. 현재 DNS 서버로 구성된 Windows 서버는 이 취약성으로 인한 위험에 처해 있습니다.
이 검색에서 Defender for Identity 보안 경고는 CVE-2018-8626 보안 취약성의 악용이 의심되는 DNS 쿼리를 네트워크의 도메인 컨트롤러에 대해 수행할 때 트리거됩니다.
학습 기간:
없음
MITRE:
| 기본 MITRE 전술 | 횡적 이동(TA0008) |
|---|---|
| 보조 MITRE 전술 | 권한 에스컬레이션(TA0004) |
| MITRE 공격 기술 | 권한 상승에 대한 악용(T1068), 원격 서비스 악용(T1210) |
| MITRE 공격 하위 기술 | 해당 없음 |
권장되는 수정 및 방지 단계:
- 환경의 모든 DNS 서버가 최신 상태이고 CVE-2018-8626에 대해 패치되었는지 확인합니다.
의심되는 ID 도용(pass-the-hash)(외부 ID 2017)
이전 이름: 해시 통과 공격을 사용한 ID 도용
심각도: 높음
설명:
Pass-the-Hash는 공격자가 한 컴퓨터에서 사용자의 NTLM 해시를 훔쳐서 다른 컴퓨터에 액세스하는 데 사용하는 횡적 이동 기술입니다.
학습 기간:
없음
MITRE:
| 기본 MITRE 전술 | 횡적 이동(TA0008) |
|---|---|
| MITRE 공격 기술 | 대체 인증 자료 사용(T1550) |
| MITRE 공격 하위 기술 | 해시 전달(T1550.002) |
의심되는 신원 도용(티켓 전달)(외부 ID 2018)
이전 이름: Pass-the-Ticket 공격을 사용한 ID 도용
심각도: 높음 또는 보통
설명:
Pass-the-Ticket은 공격자가 한 컴퓨터에서 Kerberos 티켓을 훔쳐 도난당한 티켓을 다시 사용하여 다른 컴퓨터에 액세스하는 데 사용하는 횡적 이동 기술입니다. 이 검색에서 Kerberos 티켓은 두 대 이상의 다른 컴퓨터에서 사용되는 것으로 표시됩니다.
학습 기간:
없음
MITRE:
| 기본 MITRE 전술 | 횡적 이동(TA0008) |
|---|---|
| MITRE 공격 기술 | 대체 인증 자료 사용(T1550) |
| MITRE 공격 하위 기술 | 티켓 전달(T1550.003) |
의심되는 NTLM 인증 변조(외부 ID 2039)
심각도: 보통
설명:
2019년 6월, Microsoft는 "man-in-the-middle" 공격이 NTLM MIC(메시지 무결성 검사) 보호를 성공적으로 우회할 수 있는 경우 Microsoft Windows에서 새로운 변조 취약성의 발견을 발표하는 보안 취약성 CVE-2019-1040을 발표했습니다.
이 취약성을 성공적으로 악용하는 악의적인 행위자는 NTLM 보안 기능을 다운그레이드할 수 있으며 다른 계정을 대신하여 인증된 세션을 성공적으로 만들 수 있습니다. 패치되지 않은 Windows Server는 이 취약성으로 인한 위험에 노출됩니다.
이 검색에서는 CVE-2019-1040에서 확인된 보안 취약성의 악용이 의심되는 NTLM 인증 요청이 네트워크의 도메인 컨트롤러에 대해 수행될 때 Defender for Identity 보안 경고가 트리거됩니다.
학습 기간:
없음
MITRE:
| 기본 MITRE 전술 | 횡적 이동(TA0008) |
|---|---|
| 보조 MITRE 전술 | 권한 에스컬레이션(TA0004) |
| MITRE 공격 기술 | 권한 상승에 대한 악용(T1068), 원격 서비스 악용(T1210) |
| MITRE 공격 하위 기술 | 해당 없음 |
예방을 위한 제안된 단계:
네트워크 보안: LAN 관리자 인증 수준 그룹 정책을 사용하여 do기본 봉인된 NTLMv2를 강제로 사용합니다. 자세한 내용은 do기본 컨트롤러에 대한 그룹 정책을 설정하기 위한 LAN Manager 인증 수준 지침을 참조하세요.
환경의 모든 디바이스가 최신 상태이고 CVE-2019-1040에 대해 패치되었는지 확인합니다.
의심되는 NTLM 릴레이 공격(Exchange 계정)(외부 ID 2037)
심각도: 서명된 NTLM v2 프로토콜을 사용하여 관찰되는 경우 보통 또는 낮음
설명:
Exchange Server 컴퓨터 계정을 사용하여 공격자가 실행하는 원격 http 서버에 대한 Exchange Server 컴퓨터 계정으로 NTLM 인증을 트리거하도록 구성할 수 있습니다. 서버는 Exchange Server 통신이 자체 중요한 인증을 다른 서버에 릴레이할 때까지 기다리거나, 더 흥미롭게도 LDAP를 통해 Active Directory에 전달하고 인증 정보를 가져옵니다.
릴레이 서버가 NTLM 인증을 받으면 원래 대상 서버에서 만든 챌린지를 제공합니다. 클라이언트는 챌린지에 응답하여 공격자가 응답을 수행하지 못하게 하고 이를 사용하여 대상 do기본 컨트롤러와 NTLM 협상을 계속합니다.
이 검색에서는 Defender for Identity가 의심스러운 원본으로부터 Exchange 계정 자격 증명을 사용하는 경우를 식별할 때 경고가 트리거됩니다.
학습 기간:
없음
MITRE:
| 기본 MITRE 전술 | 횡적 이동(TA0008) |
|---|---|
| 보조 MITRE 전술 | 권한 에스컬레이션(TA0004) |
| MITRE 공격 기술 | 권한 상승에 대한 악용(T1068), 원격 서비스 악용(T1210), Man-in-the-Middle(T1557) |
| MITRE 공격 하위 기술 | LLMNR/NBT-NS 중독 및 SMB 릴레이(T1557.001) |
예방을 위한 제안된 단계:
- 네트워크 보안: LAN 관리자 인증 수준 그룹 정책을 사용하여 do기본 봉인된 NTLMv2를 강제로 사용합니다. 자세한 내용은 do기본 컨트롤러에 대한 그룹 정책을 설정하기 위한 LAN Manager 인증 수준 지침을 참조하세요.
의심되는 Overpass-the-hash 공격(Kerberos)(외부 ID 2002)
이전 이름: 비정상적인 Kerberos 프로토콜 구현(잠재적인 overpass-the-hash 공격)
심각도: 보통
설명:
공격자는 비표준 방식으로 Kerberos 및 SMB와 같은 다양한 프로토콜을 구현하는 도구를 사용합니다. Microsoft Windows에서는 이러한 유형의 네트워크 트래픽이 경고 없이 허용되지만 Defender for Identity는 잠재적인 악의적 의도를 인식할 수 있습니다. 이 동작은 over-pass-the-hash, Brute Force 및 WannaCry와 같은 고급 랜섬웨어 익스플로잇이 사용되는 기술을 나타냅니다.
학습 기간:
없음
MITRE:
| 기본 MITRE 전술 | 횡적 이동(TA0008) |
|---|---|
| MITRE 공격 기술 | 원격 서비스 악용(T1210),대체 인증 자료 사용(T1550) |
| MITRE 공격 하위 기술 | Has 전달(T1550.002), 티켓 전달(T1550.003) |
의심스러운 악성 Kerberos 인증서 사용(외부 ID 2047)
심각도: 높음
설명:
불량 인증서 공격은 조직을 제어한 후 공격자가 사용하는 지속성 기술입니다. 공격자는 CA(인증 기관) 서버를 손상시키고 향후 공격에서 백도어 계정으로 사용할 수 있는 인증서를 생성합니다.
학습 기간:
없음
MITRE:
| 기본 MITRE 전술 | 횡적 이동(TA0008) |
|---|---|
| 보조 MITRE 전술 | 지속성(TA0003), 권한 에스컬레이션(TA0004) |
| MITRE 공격 기술 | 해당 없음 |
| MITRE 공격 하위 기술 | 해당 없음 |
의심되는 SMB 패킷 조작(CVE-2020-0796 악용) - (외부 ID 2406)
심각도: 높음
설명:
2020년 3월 12일 Microsoft는 CVE-2020-0796을 게시하여 Microsoft Server 메시지 블록 3.1.1(SMBv3) 프로토콜이 특정 요청을 처리하는 방식으로 새로 원격 코드 실행 취약성이 있다고 발표했습니다. 취약성을 성공적으로 악용한 공격자는 대상 서버 또는 클라이언트에서 코드를 실행하는 기능을 얻을 수 있습니다. 패치되지 않은 Windows 서버는 이 취약성으로 인한 위험에 노출됩니다.
이 검색에서 Defender for Identity 보안 경고는 CVE-2020-0796 보안 취약성의 악용이 의심되는 SMBv3 패킷을 네트워크의 도메인 컨트롤러에 대해 수행할 때 트리거됩니다.
학습 기간:
없음
MITRE:
| 기본 MITRE 전술 | 횡적 이동(TA0008) |
|---|---|
| MITRE 공격 기술 | 원격 서비스 악용(T1210) |
| MITRE 공격 하위 기술 | 해당 없음 |
예방을 위한 제안된 단계:
KB4551762 지원하지 않는 운영 체제가 있는 컴퓨터가 있는 경우 해결 방법 섹션에 설명된 대로 환경에서 SMBv3 압축 기능을 사용하지 않도록 설정하는 것이 좋습니다.
환경의 모든 디바이스가 최신 상태이고 CVE-2020-0796에 대해 패치되었는지 확인합니다.
파일 시스템 원격 프로토콜 암호화를 통해 의심스러운 네트워크 연결(외부 ID 2416)
심각도: 높음 또는 보통
설명:
악의적 사용자는 파일 시스템 원격 프로토콜 암호화를 악용하여 권한 있는 파일 작업을 부적절하게 수행할 수 있습니다.
이 공격에서 공격자는 컴퓨터 계정에서 인증을 강제 변환하고 인증서 서비스로 릴레이하여 Active Directory 네트워크의 권한을 에스컬레이션할 수 있습니다.
이 공격을 통해 공격자는 EFSRPC(파일 시스템 원격 암호화) 프로토콜의 결함을 악용하고 Active Directory 인증서 서비스의 결함과 연결하여 AD(Active Directory) Do기본를 인수할 수 있습니다.
학습 기간:
없음
MITRE:
| 기본 MITRE 전술 | 횡적 이동(TA0008) |
|---|---|
| MITRE 공격 기술 | 원격 서비스 악용(T1210) |
| MITRE 공격 하위 기술 | 해당 없음 |
Exchange Server 원격 코드 실행(CVE-2021-26855)(외부 ID 2414)
심각도: 높음
설명:
일부 Exchange 취약성을 함께 사용하여 Exchange Server를 실행하는 디바이스에서 인증되지 않은 원격 코드를 실행할 수 있습니다. Microsoft는 또한 공격 중에 후속 웹 셸 이식, 코드 실행 및 데이터 반출 활동을 관찰했습니다. 이 위협은 수많은 조직에서 모바일 및 가정용 시나리오를 지원하기 위해 인터넷에 Exchange Server 배포를 게시한다는 사실로 인해 악화될 수 있습니다. 관찰된 많은 공격에서 공격자가 인증되지 않은 원격 코드 실행을 허용하는 CVE-2021-26855를 성공적으로 악용한 후 수행한 첫 번째 단계 중 하나는 웹 셸을 통해 손상된 환경에 대한 영구 액세스를 설정하는 것이었습니다.
스크립트 및 이미지와 같은 파일을 인증 없이도 사용할 수 있어야 하므로 악의적 사용자는 정적 리소스에 대한 요청을 백 엔드에서 인증된 요청으로 처리해야 하므로 인증 바이패스 취약성 결과를 만들 수 있습니다.
사전 요구 사항:
Defender for Identity를 사용하려면 Windows 이벤트 4662를 사용하도록 설정하고 수집하여 이 공격을 모니터링해야 합니다. 이 이벤트를 구성하고 수집하는 방법에 대한 자세한 내용은 Windows 이벤트 컬렉션 구성을 참조하고 Exchange 개체에 대한 감사 사용 지침을 따르세요.
학습 기간:
없음
MITRE:
| 기본 MITRE 전술 | 횡적 이동(TA0008) |
|---|---|
| MITRE 공격 기술 | 원격 서비스 악용(T1210) |
| MITRE 공격 하위 기술 | 해당 없음 |
예방을 위한 제안된 단계:
최신 보안 패치를 사용하여 Exchange 서버를 업데이트합니다. 이 취약성은 2021년 3월 Exchange Server 보안 업데이트 해결되었습니다.
의심되는 무차별 암호 대입 공격(SMB)(외부 ID 2033)
이전 이름: 비정상적인 프로토콜 구현(Hydra와 같은 악성 도구의 잠재적 사용)
심각도: 보통
설명:
공격자는 비표준 방식으로 SMB, Kerberos 및 NTLM과 같은 다양한 프로토콜을 구현하는 도구를 사용합니다. 이러한 유형의 네트워크 트래픽은 Windows에서 경고 없이 허용되지만, Defender for Identity에서는 잠재적인 악의적 의도를 인식할 수 있습니다. 이 동작은 무차별 암호 대입 기술을 나타냅니다.
학습 기간:
없음
MITRE:
| 기본 MITRE 전술 | 횡적 이동(TA0008) |
|---|---|
| MITRE 공격 기술 | 무차별 암호 대입(T1110) |
| MITRE 공격 하위 기술 | 암호 추측(T1110.001), 암호 살포(T1110.003) |
예방을 위한 제안된 단계:
- 조직에서 복잡하고 긴 암호를 적용 합니다 . 복잡하고 긴 암호는 향후 무차별 암호 대입 공격에 대해 필요한 첫 번째 수준의 보안을 제공합니다.
- SMBv1 사용 안 함
의심되는 WannaCry 랜섬웨어 공격(외부 ID 2035)
이전 이름: 비정상적인 프로토콜 구현(잠재적인 WannaCry 랜섬웨어 공격)
심각도: 보통
설명:
공격자는 비표준 방식으로 다양한 프로토콜을 구현하는 도구를 사용합니다. 이러한 유형의 네트워크 트래픽은 Windows에서 경고 없이 허용되지만, Defender for Identity에서는 잠재적인 악의적 의도를 인식할 수 있습니다. 이 동작은 WannaCry와 같은 고급 랜섬웨어에서 사용하는 기술을 나타냅니다.
학습 기간:
없음
MITRE:
| 기본 MITRE 전술 | 횡적 이동(TA0008) |
|---|---|
| MITRE 공격 기술 | 원격 서비스 악용(T1210) |
| MITRE 공격 하위 기술 | 해당 없음 |
예방을 위한 제안된 단계:
- 모든 컴퓨터를 패치하여 보안 업데이트를 적용해야 합니다.
Metasploit 해킹 프레임워크의 사용 의심(외부 ID 2034)
이전 이름: 비정상적인 프로토콜 구현(Metasploit 해킹 도구의 잠재적 사용)
심각도: 보통
설명:
공격자는 비표준 방식으로 다양한 프로토콜(SMB, Kerberos, NTLM)을 구현하는 도구를 사용합니다. 이러한 유형의 네트워크 트래픽은 Windows에서 경고 없이 허용되지만, Defender for Identity에서는 잠재적인 악의적 의도를 인식할 수 있습니다. 이 동작은 Metasploit 해킹 프레임워크의 사용과 같은 기술을 나타냅니다.
학습 기간:
없음
MITRE:
| 기본 MITRE 전술 | 횡적 이동(TA0008) |
|---|---|
| MITRE 공격 기술 | 원격 서비스 악용(T1210) |
| MITRE 공격 하위 기술 | 해당 없음 |
권장되는 수정 및 방지 단계:
Kerberos 프로토콜(PKINIT)을 통해 의심스러운 인증서 사용(외부 ID 2425)
심각도: 높음
설명:
공격자는 의심스러운 인증서를 사용하여 Kerberos 프로토콜의 PKINIT 확장에서 취약성을 악용합니다. 이로 인해 ID 도난 및 무단 액세스가 발생할 수 있습니다. 가능한 공격에는 유효하지 않거나 손상된 인증서 사용, 중간에서의 사람 공격 및 잘못된 인증서 관리가 포함됩니다. 이러한 위험을 완화하기 위해서는 정기적인 보안 감사 및 PKI 모범 사례 준수가 중요합니다.
학습 기간:
없음
MITRE:
| 기본 MITRE 전술 | 횡적 이동(TA0008) |
|---|---|
| MITRE 공격 기술 | 대체 인증 자료 사용(T1550) |
| MITRE 공격 하위 기술 | 해당 없음 |
참고 항목
PKINIT(Kerberos 프로토콜) 경고를 통해 의심스러운 인증서 사용량은 AD CS의 Defender for Identity 센서에서만 지원됩니다.
오버패스 해시 공격(강제 암호화 유형)이 의심됨(외부 ID 2008)
심각도: 보통
설명:
강제 암호화 유형과 관련된 해시를 통한 오버패스 공격은 Kerberos와 같은 프로토콜의 취약성을 악용할 수 있습니다. 공격자는 네트워크 트래픽을 조작하여 보안 조치를 우회하고 무단 액세스를 얻습니다. 이러한 공격을 방어하려면 강력한 암호화 구성 및 모니터링이 필요합니다.
학습 기간:
1개월
MITRE:
| 기본 MITRE 전술 | 횡적 이동(TA0008) |
|---|---|
| 보조 MITRE 전술 | 방어 회피(TA0005) |
| MITRE 공격 기술 | 대체 인증 자료 사용(T1550) |
| MITRE 공격 하위 기술 | 해시 전달(T1550.002), 티켓 전달(T1550.003) |