다음을 통해 공유

Advanced Threat Analytics 의심스러운 활동 가이드

  • 아티클

적용 대상: Advanced Threat Analytics 버전 1.9

적절한 조사 후 의심스러운 활동은 다음과 같이 분류할 수 있습니다.

  • 참 긍정: ATA에서 검색한 악의적인 작업입니다.

  • 무해한 참 긍정: 침투 테스트와 같이 실제이지만 악의적이지 않은 ATA에서 검색한 작업입니다.

  • 가양성: 활동이 발생하지 않았음을 의미하는 거짓 경보입니다.

ATA 경고를 사용하는 방법에 대한 자세한 내용은 의심스러운 활동 작업을 참조하세요.

질문 또는 피드백은 의 ATAEval@microsoft.comATA 팀에 문의하세요.

중요한 그룹의 비정상적인 수정

설명

공격자는 권한이 높은 그룹에 사용자를 추가합니다. 이렇게 하면 더 많은 리소스에 액세스하고 지속성을 얻을 수 있습니다. 검색은 사용자 그룹 수정 활동을 프로파일링하고 중요한 그룹에 비정상적인 추가가 표시되면 경고하는 데 의존합니다. 프로파일링은 ATA에서 지속적으로 수행됩니다. 경고를 트리거하기 전의 최소 기간은 도메인 컨트롤러당 1개월입니다.

ATA에서 중요한 그룹의 정의는 ATA 콘솔 작업을 참조하세요.

검색은 도메인 컨트롤러에서 감사되는 이벤트에 의존합니다. 도메인 컨트롤러가 필요한 이벤트를 감사하도록 하려면 이 도구를 사용합니다.

조사

  1. 그룹 수정이 합법적인가요?
    거의 발생하지 않으며 "정상"으로 학습되지 않은 합법적인 그룹 수정으로 인해 경고가 발생할 수 있으며 이는 무해한 참 긍정으로 간주될 수 있습니다.

  2. 추가된 개체가 사용자 계정인 경우 관리 그룹에 추가된 후 사용자 계정이 수행한 작업을 검사. 더 많은 컨텍스트를 얻으려면 ATA의 사용자 페이지로 이동합니다. 추가가 발생하기 전이나 후에 계정과 관련된 다른 의심스러운 활동이 있었습니까? 중요한 그룹 수정 보고서를 다운로드하여 다른 수정 내용과 동일한 기간 동안 누가 수정했는지 확인합니다.

수정

중요한 그룹을 수정할 권한이 있는 사용자 수를 최소화합니다.

해당하는 경우 Active Directory에 대한 Privileged Access Management를 설정합니다.

컴퓨터와 도메인 간의 신뢰 손상

참고

컴퓨터와 도메인 경고 간의 끊어진 신뢰는 더 이상 사용되지 않으며 1.9 이전의 ATA 버전에만 표시됩니다.

설명

신뢰가 손상되면 이러한 컴퓨터에 Active Directory 보안 요구 사항이 적용되지 않을 수 있습니다. 이는 기준 보안 및 규정 준수 실패 및 공격자의 소프트 대상으로 간주됩니다. 이 검색에서는 24시간 이내에 컴퓨터 계정에서 5개 이상의 Kerberos 인증 오류가 표시되면 경고가 트리거됩니다.

조사

조사 중인 컴퓨터에서 도메인 사용자가 로그인할 수 있나요?

  • 그렇다면 수정 단계에서 이 컴퓨터를 무시할 수 있습니다.

수정

필요한 경우 컴퓨터를 도메인에 다시 연결하거나 컴퓨터의 암호를 다시 설정합니다.

LDAP 단순 바인딩을 사용한 무차별 암호 대입 공격

설명

참고

의심스러운 인증 실패와 이 검색 간의 기본 차이점은 이 검색에서 ATA가 다른 암호가 사용 중인지 여부를 확인할 수 있다는 것입니다.

무차별 암호 대입 공격에서 공격자는 하나 이상의 계정에 대해 올바른 암호를 찾을 때까지 다른 계정에 대해 다양한 암호로 인증을 시도합니다. 공격자가 발견되면 해당 계정을 사용하여 로그인할 수 있습니다.

이 검색에서 ATA가 대량의 간단한 바인딩 인증을 검색하면 경고가 트리거됩니다. 이는 여러 사용자에 걸쳐 작은 암호 집합으로 수평으로 사용할 수 있습니다. 또는 세로로" 소수의 사용자에 대한 큰 암호 집합이 있습니다. 또는 이러한 두 옵션의 조합입니다.

조사

  1. 관련된 계정이 많은 경우 세부 정보 다운로드 를 선택하여 Excel 스프레드시트에서 목록을 봅니다.

  2. 경고를 선택하여 전용 페이지로 이동합니다. 로그인 시도가 성공적인 인증으로 끝났는지 확인합니다. 이 시도는 인포그래픽의 오른쪽에 추측된 계정 으로 표시됩니다. 그렇다면 원본 컴퓨터에서 일반적으로 사용되는 추측된 계정이 있나요? 그렇다면 의심스러운 활동을 표시하지 않습니다 .

  3. 추측된 계정이 없는 경우 일반적으로 원본 컴퓨터에서 사용되는 공격된 계정이 있나요? 그렇다면 의심스러운 활동을 표시하지 않습니다 .

수정

복잡하고 긴 암호는 무차별 암호 대입 공격에 필요한 첫 번째 수준의 보안을 제공합니다.

암호화 다운그레이드 작업

설명

암호화 다운그레이드는 가장 높은 수준의 암호화를 사용하여 일반적으로 암호화되는 프로토콜의 다양한 필드의 암호화 수준을 다운그레이드하여 Kerberos를 약화시키는 방법입니다. 약화된 암호화된 필드는 오프라인 무차별 암호 대입 시도에 더 쉬운 대상이 될 수 있습니다. 다양한 공격 방법은 약한 Kerberos 암호화 암호화 암호화를 활용합니다. 이 검색에서 ATA는 컴퓨터와 사용자가 사용하는 Kerberos 암호화 유형을 학습하고 약한 암호가 사용될 때 경고합니다. (1) 원본 컴퓨터 및/또는 사용자에게는 비정상적입니다. 및 (2)는 알려진 공격 기술과 일치합니다.

다음 세 가지 검색 유형이 있습니다.

  1. 스켈레톤 키 – 도메인 컨트롤러에서 실행되는 맬웨어이며 암호를 모르고 모든 계정으로 도메인에 대한 인증을 허용합니다. 이 맬웨어는 종종 약한 암호화 알고리즘을 사용하여 도메인 컨트롤러에서 사용자의 암호를 해시합니다. 이 검색에서 도메인 컨트롤러에서 티켓을 요청하는 계정으로 KRB_ERR 메시지의 암호화 방법이 이전에 학습된 동작에 비해 다운그레이드되었습니다.

  2. 골든 티켓 – 골든 티켓 경고에서 원본 컴퓨터에서 TGS_REQ(서비스 요청) 메시지의 TGT 필드의 암호화 방법이 이전에 학습한 동작에 비해 다운그레이드되었습니다. 이는 시간 변칙을 기반으로 하지 않습니다(다른 골든 티켓 검색에서와 같이). 또한 ATA에서 검색한 이전 서비스 요청과 연결된 Kerberos 인증 요청이 없었습니다.

  3. Overpass-the-Hash – 공격자는 약한 도난당한 해시를 사용하여 Kerberos AS 요청과 함께 강력한 티켓을 만들 수 있습니다. 이 검색에서 원본 컴퓨터의 AS_REQ 메시지 암호화 유형이 이전에 학습한 동작(즉, 컴퓨터가 AES를 사용 중임)과 비교하여 다운그레이드되었습니다.

조사

먼저 경고 설명을 검사 위의 세 가지 검색 유형 중 어떤 것을 처리하고 있는지 확인합니다. 자세한 내용은 Excel 스프레드시트를 다운로드하세요.

  1. 스켈레톤 키 - 스켈레톤 키가 도메인 컨트롤러에 영향을 미쳤는지 확인합니다.
  2. 골든 티켓 – Excel 스프레드시트에서 네트워크 활동 탭으로 이동합니다. 관련 다운그레이드된 필드는 요청 티켓 암호화 유형이며 원본 컴퓨터 지원 암호화 유형 은 더 강력한 암호화 방법을 나열합니다. 1. 원본 컴퓨터 및 계정을 확인하거나 여러 원본 컴퓨터와 계정이 검사 공통점이 있는지 확인합니다(예: 모든 마케팅 담당자는 경고가 트리거될 수 있는 특정 앱을 사용). 거의 사용되지 않는 사용자 지정 애플리케이션이 낮은 암호화 암호화를 사용하여 인증하는 경우가 있습니다. 원본 컴퓨터에 이러한 사용자 지정 앱이 있는지 확인합니다. 그렇다면 무해한 참 긍정일 수 있으며 이를 억제 할 수 있습니다. 1. 해당 티켓에서 액세스하는 리소스를 확인합니다. 액세스하는 리소스가 하나 있는 경우 유효성을 검사하고 액세스해야 하는 유효한 리소스인지 확인합니다. 또한 대상 리소스가 강력한 암호화 방법을 지원하는지 확인합니다. 리소스 서비스 계정의 특성을 msDS-SupportedEncryptionTypes확인하여 Active Directory에서 이를 검사 수 있습니다.
  3. Overpass-the-Hash – Excel 스프레드시트에서 네트워크 활동 탭으로 이동합니다. 관련 다운그레이드 필드가 암호화된 타임스탬프 암호화 유형 이고 원본 컴퓨터 지원 암호화 유형 에 더 강력한 암호화 방법이 포함되어 있음을 알 수 있습니다. 1. 스마트 카드 구성이 최근에 변경된 경우 사용자가 스마트 카드를 사용하여 로그인할 때 이 경고가 트리거될 수 있는 경우가 있습니다. 관련된 계정에 대해 이와 같은 변경 내용이 있는지 확인합니다. 그렇다면, 이것은 아마 무해한 진정한 긍정이며, 당신은 그것을 억제 할 수 있습니다. 1. 해당 티켓에서 액세스하는 리소스를 확인합니다. 모든 리소스가 액세스하는 경우 유효성을 검사하고 액세스해야 하는 유효한 리소스인지 확인합니다. 또한 대상 리소스가 강력한 암호화 방법을 지원하는지 확인합니다. 리소스 서비스 계정의 특성을 msDS-SupportedEncryptionTypes확인하여 Active Directory에서 이를 검사 수 있습니다.

수정

  1. 스켈레톤 키 – 맬웨어를 제거합니다. 자세한 내용은 기본 키 맬웨어 분석을 참조하세요.

  2. 골든 티켓 – 골든 티켓 의심스러운 활동의 지침을 따릅니다. 또한 골든 티켓을 만들려면 도메인 관리자 권한이 필요하므로 해시 권장 사항 전달을 구현합니다.

  3. Overpass-the-Hash – 관련 계정이 중요하지 않은 경우 해당 계정의 암호를 다시 설정합니다. 이렇게 하면 공격자가 암호 해시에서 새 Kerberos 티켓을 만들 수 없지만 기존 티켓은 만료될 때까지 계속 사용할 수 있습니다. 중요한 계정인 경우 골든 티켓 의심스러운 활동보다 두 번 KRBTGT 계정을 다시 설정하는 것이 좋습니다. KRBTGT를 두 번 다시 설정하면 이 도메인의 모든 Kerberos 티켓이 무효화되므로 계획합니다. KRBTGT 계정 문서의 지침을 참조하세요. 이는 횡적 이동 기술이므로 해시 권장 사항 전달의 모범 사례를 따릅니다.

Honeytoken 활동

설명

Honeytoken 계정은 이러한 계정과 관련된 악의적인 활동을 식별하고 추적하기 위해 설정된 디코이 계정입니다. Honeytoken 계정은 공격자를 유인할 수 있는 매력적인 이름(예: SQL-관리)을 갖는 동안 사용되지 않은 상태로 두어야 합니다. 그로부터의 모든 활동은 악의적인 동작을 나타낼 수 있습니다.

Honey 토큰 계정에 대한 자세한 내용은 ATA 설치 - 7단계를 참조하세요.

조사

  1. 원본 컴퓨터의 소유자가 의심스러운 활동 페이지(예: Kerberos, LDAP, NTLM)에 설명된 메서드를 사용하여 Honeytoken 계정을 사용하여 인증했는지 확인합니다.

  2. 원본 컴퓨터 프로필 페이지로 이동하여 인증된 다른 계정을 검사. Honeytoken 계정을 사용하는 경우 해당 계정의 소유자에게 문의하세요.

  3. 비대화형 로그인일 수 있으므로 원본 컴퓨터에서 실행되는 애플리케이션 또는 스크립트에 대해 검사 합니다.

1~3단계를 수행한 후 양성 사용에 대한 증거가 없는 경우 악의적이라고 가정합니다.

수정

Honeytoken 계정이 의도한 용도로만 사용되는지 확인합니다. 그렇지 않으면 많은 경고를 생성할 수 있습니다.

Pass-the-Hash 공격을 사용한 ID 도용

설명

Pass-the-Hash는 공격자가 한 컴퓨터에서 사용자의 NTLM 해시를 훔쳐 다른 컴퓨터에 액세스하는 데 사용하는 횡적 이동 기술입니다.

조사

해시가 대상 사용자가 소유하거나 정기적으로 사용하는 컴퓨터에서 사용되었나요? 그렇다면 경고는 가양성이며, 그렇지 않은 경우 진정한 긍정일 수 있습니다.

수정

  1. 관련된 계정이 중요하지 않은 경우 해당 계정의 암호를 다시 설정합니다. 암호를 재설정하면 공격자가 암호 해시에서 새 Kerberos 티켓을 만들 수 없습니다. 기존 티켓은 만료될 때까지 계속 사용할 수 있습니다.

  2. 관련된 계정이 중요한 경우 골든 티켓 의심스러운 활동에서와 같이 KRBTGT 계정을 두 번 다시 설정하는 것이 좋습니다. KRBTGT를 두 번 다시 설정하면 모든 도메인 Kerberos 티켓이 무효화되므로 영향을 미리 계획하세요. KRBTGT 계정 문서의 지침을 참조하세요. 일반적으로 횡적 이동 기술이므로 해시 권장 사항 전달의 모범 사례를 따릅니다.

Pass-the-Ticket 공격을 사용한 신원 도용

설명

Pass-the-Ticket은 공격자가 한 컴퓨터에서 Kerberos 티켓을 훔쳐 도난당한 티켓을 재사용하여 다른 컴퓨터에 액세스하는 데 사용하는 횡적 이동 기술입니다. 이 검색에서 Kerberos 티켓은 두 개 이상의 다른 컴퓨터에서 사용됩니다.

조사

  1. 세부 정보 다운로드 단추를 선택하여 관련된 IP 주소의 전체 목록을 봅니다. 하나 또는 두 컴퓨터의 IP 주소가 크기가 작은 DHCP 풀(예: VPN 또는 WiFi)에서 할당된 서브넷의 일부인가요? IP 주소가 공유되는가요? 예를 들어 NAT 디바이스는? 이러한 질문에 대한 답변이 예인 경우 경고는 가양성입니다.

  2. 사용자를 대신하여 티켓을 전달하는 사용자 지정 애플리케이션이 있나요? 그렇다면 무해한 참 긍정입니다.

수정

  1. 관련된 계정이 중요하지 않은 경우 해당 계정의 암호를 다시 설정합니다. 암호 재설정은 공격자가 암호 해시에서 새 Kerberos 티켓을 만들지 못하게 합니다. 기존 티켓은 만료될 때까지 계속 사용할 수 있습니다.

  2. 중요한 계정인 경우 골든 티켓 의심스러운 활동보다 두 번 KRBTGT 계정을 다시 설정하는 것이 좋습니다. KRBTGT를 두 번 다시 설정하면 이 도메인의 모든 Kerberos 티켓이 무효화되므로 계획합니다. KRBTGT 계정 문서의 지침을 참조하세요. 이는 횡적 이동 기술이므로 해시 권장 사항 전달의 모범 사례를 따릅니다.

Kerberos 골든 티켓 활동

설명

도메인 관리자 권한이 있는 공격자는 KRBTGT 계정을 손상할 수 있습니다. 공격자는 KRBTGT 계정을 사용하여 모든 리소스에 대한 권한 부여를 제공하는 Kerberos TGT(티켓 부여 티켓)를 만들 수 있습니다. 티켓 만료는 임의의 시간으로 설정할 수 있습니다. 이 가짜 TGT는 "골든 티켓"이라고 하며 공격자가 네트워크에서 지속성을 달성하고 유지할 수 있도록 합니다.

이 검색에서는 사용자 티켓 보안 정책의 최대 수명에 지정된 대로 허용되는 시간 이상에 대해 Kerberos 티켓 부여 티켓(TGT)이 사용될 때 경고가 트리거됩니다.

조사

  1. 그룹 정책에서 사용자 티켓 설정의 최대 수명(최근 몇 시간 이내)이 변경되었나요? 그렇다면 경고를 닫습니다 (가양성임).

  2. 이 경고에 포함된 ATA 게이트웨이는 가상 머신인가요? 그렇다면 최근에 저장된 상태에서 다시 시작했나요? 그렇다면 이 경고를 닫습니다 .

  3. 위의 질문에 대한 답변이 아니요인 경우 악의적이라고 가정합니다.

수정

KRBTGT 계정 문서의 지침에 따라 Kerberos KRBTGT(Ticket Granting Ticket) 암호를 두 번 변경합니다. KRBTGT를 두 번 다시 설정하면 이 도메인의 모든 Kerberos 티켓이 무효화되므로 계획합니다. 또한 골든 티켓을 만들려면 도메인 관리자 권한이 필요하므로 해시 권장 사항 전달을 구현합니다.

악의적인 데이터 보호 개인 정보 요청

설명

DPAPI(데이터 보호 API)는 Windows에서 브라우저, 암호화된 파일 및 기타 중요한 데이터로 저장된 암호를 안전하게 보호하는 데 사용됩니다. 도메인 컨트롤러는 도메인에 가입된 Windows 컴퓨터에서 DPAPI로 암호화된 모든 비밀을 해독하는 데 사용할 수 있는 백업 master 키를 보유합니다. 공격자는 해당 master 키를 사용하여 모든 도메인 가입 컴퓨터에서 DPAPI로 보호되는 비밀을 해독할 수 있습니다. 이 검색에서 DPAPI를 사용하여 백업 master 키를 검색할 때 경고가 트리거됩니다.

조사

  1. 원본 컴퓨터가 Active Directory에 대해 organization 승인된 고급 보안 스캐너를 실행하고 있나요?

  2. 그렇다면 항상 그렇게 해야 하는 경우 의심스러운 활동을 닫고 제외 합니다.

  3. 그렇다면 이 작업을 수행하지 않아야 하는 경우 의심스러운 활동을 닫습니다 .

수정

DPAPI를 사용하려면 공격자가 도메인 관리자 권한이 필요합니다. 해시 권장 사항 전달을 구현합니다.

Directory Services의 악의적인 복제

설명

Active Directory 복제는 한 도메인 컨트롤러에서 수행된 변경 내용이 다른 모든 도메인 컨트롤러와 동기화되는 프로세스입니다. 필요한 권한이 있으면 공격자가 복제 요청을 시작하여 암호 해시를 포함하여 Active Directory에 저장된 데이터를 검색할 수 있습니다.

이 검색에서는 도메인 컨트롤러가 아닌 컴퓨터에서 복제 요청이 시작될 때 경고가 트리거됩니다.

조사

  1. 문제의 컴퓨터가 도메인 컨트롤러인가요? 예를 들어 복제 문제가 있는 새로 승격된 도메인 컨트롤러입니다. 그렇다면 의심스러운 활동을 닫습니다 .
  2. 문제의 컴퓨터가 Active Directory에서 데이터를 복제해야 하나요? 예를 들어 Microsoft Entra 연결합니다. 그렇다면 의심스러운 활동을 닫고 제외 합니다.
  3. 원본 컴퓨터 또는 계정을 선택하여 프로필 페이지로 이동합니다. 복제 시점에 발생한 작업을 확인하고, 로그인한 사람, 액세스한 리소스와 같은 비정상적인 활동을 검색합니다.

수정

다음 사용 권한의 유효성을 검사합니다.

  • 디렉터리 변경 내용 복제

  • 디렉터리 변경 내용 모두 복제

자세한 내용은 SharePoint Server 2013에서 프로필 동기화에 대한 Active Directory Domain Services 권한 부여를 참조하세요. AD ACL 스캐너를 활용하거나 Windows PowerShell 스크립트를 만들어 도메인에 이러한 권한이 있는 사용자를 확인할 수 있습니다.

대규모 개체 삭제

설명

일부 시나리오에서는 공격자가 정보만 도용하는 대신 DoS(서비스 거부) 공격을 수행합니다. 많은 수의 계정을 삭제하는 것은 DoS 공격을 시도하는 한 가지 방법입니다.

이 검색에서 경고는 모든 계정의 5% 이상이 삭제될 때마다 트리거됩니다. 검색하려면 삭제된 개체 컨테이너에 대한 읽기 권한이 필요합니다. 삭제된 개체 컨테이너에 대한 읽기 전용 권한을 구성하는 방법에 대한 자세한 내용은 디렉터리 개체에 대한 보기 또는 사용 권한 설정에서 삭제된 개체 컨테이너에 대한 권한 변경을 참조하세요.

조사

삭제된 계정 목록을 검토하고 대규모 삭제를 정당화하는 패턴 또는 비즈니스 이유가 있는지 확인합니다.

수정

Active Directory에서 계정을 삭제할 수 있는 사용자에 대한 권한을 제거합니다. 자세한 내용은 디렉터리 개체에 대한 사용 권한 보기 또는 설정을 참조하세요.

위조된 권한 부여 데이터를 사용한 권한 상승

설명

이전 버전의 Windows Server에서 알려진 취약성을 통해 공격자는 PAC(Privileged Attribute Certificate)를 조작할 수 있습니다. PAC는 Kerberos 티켓의 필드로, 사용자 권한 부여 데이터가 있고(Active Directory에서 그룹 멤버 자격임) 공격자에게 추가 권한을 부여합니다.

조사

  1. 경고를 선택하여 세부 정보 페이지에 액세스합니다.

  2. 대상 컴퓨터( ACCESSED 열 아래)가 MS14-068(도메인 컨트롤러) 또는 MS11-013(서버)으로 패치되었나요? 그렇다면 의심스러운 활동을 닫습니다 (가양성임).

  3. 대상 컴퓨터가 패치되지 않은 경우 원본 컴퓨터가 PAC를 수정하는 것으로 알려진 OS/애플리케이션( FROM 열 아래)을 실행하나요? 그렇다면 의심스러운 활동을 표시하지 않습니다 (무해한 참 긍정).

  4. 이전 두 질문에 대한 답변이 아니요인 경우 이 활동이 악의적이라고 가정합니다.

수정

최대 Windows Server 2012 R2 운영 체제가 있는 모든 도메인 컨트롤러가 KB3011780 함께 설치되고 2012 R2까지의 모든 멤버 서버 및 도메인 컨트롤러가 KB2496930 최신 상태인지 확인합니다. 자세한 내용은 Silver PAC위조 PAC를 참조하세요.

계정 열거형을 사용한 정찰

설명

계정 열거 정찰에서 공격자는 수천 명의 사용자 이름이 있는 사전이나 KrbGuess와 같은 도구를 사용하여 도메인에서 사용자 이름을 추측하려고 시도합니다. 공격자는 이러한 이름을 사용하여 Kerberos 요청을 만들어 도메인에서 유효한 사용자 이름을 찾습니다. 추측이 사용자 이름을 성공적으로 결정하는 경우 공격자는 알 수 없는 보안 주체 대신 Kerberos 오류 사전 인증이 필요합니다.

이 검색에서 ATA는 공격이 발생한 위치, 총 추측 시도 횟수 및 일치된 수를 검색할 수 있습니다. 알 수 없는 사용자가 너무 많은 경우 ATA는 의심스러운 활동으로 검색합니다.

조사

  1. 경고를 선택하여 세부 정보 페이지로 이동합니다.

    1. 이 호스트 컴퓨터는 도메인 컨트롤러에 계정이 있는지 여부(예: Exchange 서버)를 쿼리해야 하나요?

  2. 이 동작을 생성할 수 있는 스크립트 또는 애플리케이션이 호스트에서 실행되고 있나요?

    이러한 질문 중 하나에 대한 답변이 예인 경우 의심스러운 활동을 고(무해한 참 긍정) 의심스러운 활동에서 해당 호스트를 제외합니다.

  3. Excel 스프레드시트에서 경고 세부 정보를 다운로드하여 계정 시도 목록을 기존 계정과 기존 계정으로 구분하여 편리하게 볼 수 있습니다. 스프레드시트에서 존재하지 않는 계정 시트를 보면 계정이 친숙해 보이면 해당 계정이 비활성화된 계정 또는 회사를 떠난 직원일 수 있습니다. 이 경우 사전에서 시도될 가능성은 거의 없습니다. 대부분의 경우 Active Directory에 여전히 존재하는 계정을 확인하는 애플리케이션 또는 스크립트입니다. 즉, 무해한 참 긍정입니다.

  4. 이름이 거의 익숙하지 않은 경우 추측 시도가 Active Directory의 기존 계정 이름과 일치했나요? 일치하는 항목이 없는 경우 시도는 쓸모가 없지만 시간이 지남에 따라 업데이트되는지 확인하기 위해 경고에 주의를 기울여야 합니다.

  5. 추측 시도가 기존 계정 이름과 일치하는 경우 공격자는 사용자 환경에 계정이 있는지 알고 있으며 무차별 암호 대입을 사용하여 검색된 사용자 이름을 사용하여 도메인에 액세스하려고 시도할 수 있습니다. 추측된 계정 이름에서 의심스러운 추가 활동을 확인합니다. 일치하는 계정이 중요한 계정인지 확인합니다.

수정

복잡하고 긴 암호는 무차별 암호 대입 공격에 필요한 첫 번째 수준의 보안을 제공합니다.

Directory Services 쿼리를 사용한 정찰

설명

디렉터리 서비스 정찰은 공격자가 디렉터리 구조를 매핑하고 공격의 이후 단계를 위해 권한 있는 계정을 대상으로 지정하는 데 사용됩니다. SAM-R(보안 계정 관리자 원격) 프로토콜은 이러한 매핑을 수행하기 위해 디렉터리를 쿼리하는 데 사용되는 방법 중 하나입니다.

이 검색에서는 ATA가 배포된 후 첫 달에 경고가 트리거되지 않습니다. 학습 기간 동안 ATA는 중요한 계정의 열거형 및 개별 쿼리 모두에서 SAM-R 쿼리가 수행되는 컴퓨터를 프로파일합니다.

조사

  1. 경고를 선택하여 세부 정보 페이지로 이동합니다. 수행된 쿼리(예: 엔터프라이즈 관리자 또는 관리자)와 성공 여부를 확인합니다.

  2. 해당 원본 컴퓨터에서 이러한 쿼리를 수행해야 하나요?

  3. 그렇다면 경고가 업데이트되면 의심스러운 활동을 표시하지 않습니다 .

  4. 그렇다면 더 이상 이 작업을 수행하지 않아야 하는 경우 의심스러운 활동을 닫습니다 .

  5. 관련 계정에 대한 정보가 있는 경우: 이러한 쿼리는 해당 계정에서 수행해야 하나요, 아니면 해당 계정이 일반적으로 원본 컴퓨터에 로그인하나요?

    • 그렇다면 경고가 업데이트되면 의심스러운 활동을 표시하지 않습니다 .

    • 그렇다면 더 이상 이 작업을 수행하지 않아야 하는 경우 의심스러운 활동을 닫습니다 .

    • 위의 모든 항목에 대한 답변이 아니요인 경우 악의적이라고 가정합니다.

  6. 관련된 계정에 대한 정보가 없는 경우 엔드포인트로 이동하여 경고 시 로그인한 계정을 검사 수 있습니다.

수정

  1. 컴퓨터가 취약성 검사 도구를 실행하고 있나요?
  2. 공격의 특정 쿼리된 사용자 및 그룹이 권한이 있거나 높은 가치 계정(즉, CEO, CFO, IT 관리 등)인지 조사합니다. 그렇다면 엔드포인트에서 다른 작업도 살펴보고 쿼리된 계정이 로그인된 컴퓨터를 모니터링합니다. 이는 횡적 이동의 대상이 될 수 있기 때문일 수 있습니다.

DNS를 사용한 정찰

설명

DNS 서버에는 네트워크의 모든 컴퓨터, IP 주소 및 서비스의 맵이 포함되어 있습니다. 이 정보는 공격자가 네트워크 구조를 매핑하고 공격의 이후 단계를 위해 흥미로운 컴퓨터를 대상으로 지정하는 데 사용됩니다.

DNS 프로토콜에는 여러 쿼리 형식이 있습니다. ATA는 DNS가 아닌 서버에서 시작된 AXFR(전송) 요청을 검색합니다.

조사

  1. 원본 컴퓨터(에서 시작...)가 DNS 서버인가요? 그렇다면 가양성일 수 있습니다. 유효성을 검사하려면 경고를 선택하여 세부 정보 페이지로 이동합니다. 테이블의 쿼리에서 쿼리된 도메인을 검사. 이러한 기존 도메인이 있나요? 그렇다면 의심스러운 활동을 닫습니다 (가양성임). 또한 향후 가양성을 방지하기 위해 ATA 게이트웨이와 원본 컴퓨터 간에 UDP 포트 53이 열려 있는지 확인합니다.
  2. 원본 컴퓨터가 보안 스캐너를 실행하고 있나요? 그렇다면 ATA에서 엔터티를 직접 닫고 제외하거나 제외 페이지(구성에서 ATA 관리자가 사용할 수 있음)를 통해 제외합니다.
  3. 앞의 모든 질문에 대한 답변이 아니요인 경우 원본 컴퓨터에 계속 집중합니다. 원본 컴퓨터를 선택하여 프로필 페이지로 이동합니다. 요청 시 발생한 작업을 확인하고, 로그인한 사람, 액세스한 리소스와 같은 비정상적인 활동을 검색합니다.

수정

DNS를 사용한 정찰이 발생하지 않도록 내부 DNS 서버를 보호하는 작업은 지정된 IP 주소로만 영역 전송을 사용하지 않도록 설정하거나 제한하여 수행할 수 있습니다. 영역 전송 제한에 대한 자세한 내용은 영역 전송 제한을 참조하세요. 영역 전송 수정은 내부 및 외부 공격으로부터 DNS 서버를 보호하기 위해 해결해야 하는 검사 목록 중 하나의 작업입니다.

SMB 세션 열거형을 사용한 정찰

설명

SMB(서버 메시지 블록) 열거형을 사용하면 공격자가 사용자가 최근에 로그온한 위치에 대한 정보를 가져올 수 있습니다. 공격자가 이 정보를 가지고 나면 네트워크에서 횡적으로 이동하여 특정 중요한 계정으로 이동할 수 있습니다.

이 검색에서는 도메인 컨트롤러에 대해 SMB 세션 열거가 수행될 때 경고가 트리거됩니다.

조사

  1. 경고를 선택하여 세부 정보 페이지로 이동합니다. 작업을 수행한 계정/s와 노출된 계정(있는 경우)을 확인합니다.

    • 원본 컴퓨터에서 실행되는 보안 스캐너의 종류가 있나요? 그렇다면 의심스러운 활동을 닫고 제외 합니다.

  2. 작업을 수행한 관련 사용자/s를 확인합니다. 일반적으로 원본 컴퓨터에 로그인합니까, 아니면 이러한 작업을 수행해야 하는 관리자인가요?

  3. 그렇다면 경고가 업데이트되면 의심스러운 활동을 표시하지 않습니다 .

  4. 그렇다면 업데이트하지 않아야 하는 경우 의심스러운 활동을 닫습니다 .

  5. 위의 모든 답변이 아니요인 경우 활동이 악의적이라고 가정합니다.

수정

  1. 원본 컴퓨터를 포함합니다.
  2. 공격을 수행한 도구를 찾아 제거합니다.

원격 실행 시도가 검색됨

설명

관리자 자격 증명을 손상하거나 제로 데이 익스플로잇을 사용하는 공격자는 도메인 컨트롤러에서 원격 명령을 실행할 수 있습니다. 지속성 확보, 정보 수집, DOS(서비스 거부) 공격 또는 기타 이유로 사용할 수 있습니다. ATA는 PSexec 및 원격 WMI 연결을 검색합니다.

조사

  1. 이는 도메인 컨트롤러에 대해 관리 작업을 수행하는 IT 팀 구성원 및 서비스 계정뿐만 아니라 관리 워크스테이션에도 일반적입니다. 이 경우 동일한 관리자 또는 컴퓨터가 작업을 수행하고 있으므로 경고가 업데이트되면 경고를 표시하지 않습니다 .
  2. 문제의 컴퓨터가 도메인 컨트롤러에 대해 이 원격 실행을 수행할 수 있나요?
    • 문제의 계정이 도메인 컨트롤러에 대해 이 원격 실행을 수행할 수 있나요?
    • 두 질문에 대한 답변이 '예'이면 경고를 닫습니다 .
  3. 두 질문에 대한 답변이 아니요인 경우 이 활동은 진정한 긍정으로 간주되어야 합니다. 컴퓨터 및 계정 프로필을 확인하여 시도의 원본을 찾습니다. 원본 컴퓨터 또는 계정을 선택하여 프로필 페이지로 이동합니다. 로그인한 사람, 액세스한 리소스 등과 같은 비정상적인 활동을 검색하여 이러한 시도 당시 발생한 작업을 확인합니다.

수정

  1. 비계층 0 컴퓨터에서 도메인 컨트롤러에 대한 원격 액세스를 제한합니다.

  2. 강화된 컴퓨터만 관리자용 도메인 컨트롤러에 연결할 수 있도록 권한 있는 액세스를 구현합니다.

계정 자격 증명을 노출하는 중요한 계정 자격 증명 & 서비스

참고

이 의심스러운 활동은 더 이상 사용되지 않으며 1.9 이전의 ATA 버전에서만 나타납니다. ATA 1.9 이상은 보고서를 참조하세요.

설명

일부 서비스는 일반 텍스트로 계정 자격 증명을 보냅니다. 이는 중요한 계정에 대해서도 발생할 수 있습니다. 네트워크 트래픽을 모니터링하는 공격자는 악의적인 목적으로 이러한 자격 증명을 catch한 다음 다시 사용할 수 있습니다. 중요한 계정에 대한 모든 명확한 텍스트 암호는 경고를 트리거하지만, 민감하지 않은 계정의 경우 5개 이상의 다른 계정이 동일한 원본 컴퓨터에서 명확한 텍스트 암호를 보내면 경고가 트리거됩니다.

조사

경고를 선택하여 세부 정보 페이지로 이동합니다. 노출된 계정을 확인합니다. 이러한 계정이 많은 경우 세부 정보 다운로드 를 선택하여 Excel 스프레드시트에서 목록을 봅니다.

일반적으로 LDAP 단순 바인딩을 사용하는 원본 컴퓨터에 스크립트 또는 레거시 애플리케이션이 있습니다.

수정

원본 컴퓨터에서 구성을 확인하고 LDAP 단순 바인딩을 사용하지 않도록 합니다. LDAP 단순 바인딩을 사용하는 대신 LDAP SALS 또는 LDAPS를 사용할 수 있습니다.

의심스러운 인증 실패

설명

무차별 암호 대입 공격에서 공격자는 하나 이상의 계정에 대해 올바른 암호를 찾을 때까지 다른 계정에 대해 다양한 암호로 인증을 시도합니다. 공격자가 발견되면 해당 계정을 사용하여 로그인할 수 있습니다.

이 검색에서 경고는 Kerberos 또는 NTLM을 사용하는 많은 인증 오류가 발생했을 때 트리거됩니다. 이 경고는 여러 사용자에 걸쳐 작은 암호 집합으로 수평으로 발생할 수 있습니다. 또는 소수의 사용자에 대한 큰 암호 집합이 있는 세로; 또는 이러한 두 옵션의 조합입니다. 경고를 트리거할 수 있는 최소 기간은 1주일입니다.

조사

  1. 세부 정보 다운로드를 선택하여 Excel 스프레드시트에서 전체 정보를 봅니다. 다음 정보를 가져올 수 있습니다.
    • 공격받은 계정 목록
    • 성공적인 인증으로 로그인 시도가 종료된 추측된 계정 목록
    • NTLM을 사용하여 인증을 시도한 경우 관련 이벤트 활동이 표시됩니다.
    • Kerberos를 사용하여 인증을 시도한 경우 관련 네트워크 활동이 표시됩니다.
  2. 원본 컴퓨터를 선택하여 프로필 페이지로 이동합니다. 로그인한 사람, 액세스한 리소스 등과 같은 비정상적인 활동을 검색하여 이러한 시도 당시 발생한 작업을 확인합니다.
  3. NTLM을 사용하여 인증을 수행했는데 경고가 여러 번 발생하고 원본 컴퓨터가 액세스하려고 시도한 서버에 대해 사용 가능한 정보가 충분하지 않은 경우 관련 도메인 컨트롤러에서 NTLM 감사를 사용하도록 설정해야 합니다. 이렇게 하려면 이벤트 8004를 켭니다. 원본 컴퓨터에서 액세스하려고 시도한 원본 컴퓨터, 사용자 계정 및 서버에 대한 정보가 포함된 NTLM 인증 이벤트입니다. 인증 유효성 검사를 보낸 서버를 알고 나면 인증 프로세스를 더 잘 이해하기 위해 4624와 같은 이벤트를 확인하여 서버를 조사해야 합니다.

수정

복잡하고 긴 암호는 무차별 암호 대입 공격에 필요한 첫 번째 수준의 보안을 제공합니다.

의심스러운 서비스 만들기

설명

공격자는 네트워크에서 의심스러운 서비스를 실행하려고 시도합니다. ATA는 의심스러운 새 서비스가 도메인 컨트롤러에 만들어지면 경고를 발생합니다. 이 경고는 이벤트 7045를 사용하고 ATA 게이트웨이 또는 경량 게이트웨이가 적용되는 각 도메인 컨트롤러에서 검색됩니다.

조사

  1. 문제의 컴퓨터가 관리 워크스테이션이거나 IT 팀 구성원 및 서비스 계정이 관리 작업을 수행하는 컴퓨터인 경우 가양성일 수 있으며 경고를 표시하지 않도록 하고 필요한 경우 제외 목록에 추가해야 할 수 있습니다.

  2. 이 컴퓨터에서 인식하는 서비스인가요?

    • 문제의 계정이 이 서비스를 설치할 수 있나요?

    • 두 질문에 대한 대답이 '예'이면 경고를 거나 제외 목록에 추가합니다.

  3. 두 질문에 대한 답변이 아니요인 경우 이는 진정한 긍정으로 간주되어야 합니다.

수정

  • 특정 사용자만 새 서비스를 만들 수 있도록 도메인 머신에 대한 권한이 적은 액세스를 구현합니다.

비정상적인 동작에 따른 신원 도용 의혹

설명

ATA는 슬라이딩 3주 동안 사용자, 컴퓨터 및 리소스에 대한 엔터티 동작을 알아봅니다. 동작 모델은 엔터티가 로그인한 머신, 엔터티가 액세스를 요청한 리소스 및 이러한 작업이 수행된 시간을 기반으로 합니다. ATA는 기계 학습 알고리즘을 기반으로 하는 엔터티의 동작과 편차가 있을 때 경고를 보냅니다.

조사

  1. 문제의 사용자가 이러한 작업을 수행해야 하나요?

  2. 휴가를 마치고 돌아온 사용자, 업무의 일부로 과도한 액세스를 수행하는 IT 담당자(예: 지정된 날짜 또는 주에 지원 센터 지원 급증), 원격 데스크톱 응용 프로그램 등 잠재적인 가양성으로 간주합니다.+ 경고를 닫고 제외 하면 사용자는 더 이상 검색에 참여하지 않습니다.

수정

이 비정상적인 동작이 발생한 원인에 따라 다른 작업을 수행해야 합니다. 예를 들어 네트워크를 검사한 경우 원본 컴퓨터는 네트워크에서 차단되어야 합니다(승인되지 않은 경우).

비정상적인 프로토콜 구현

설명

공격자는 비표준 방식으로 다양한 프로토콜(SMB, Kerberos, NTLM)을 구현하는 도구를 사용합니다. 이러한 유형의 네트워크 트래픽은 경고 없이 Windows에서 허용되지만 ATA는 잠재적인 악의적인 의도를 인식할 수 있습니다. 이 동작은 Over-Pass-the-Hash와 같은 기술뿐만 아니라 WannaCry와 같은 고급 랜섬웨어에서 사용되는 익스플로잇을 나타냅니다.

조사

비정상적인 프로토콜 식별 – 의심스러운 활동 시간줄에서 의심스러운 활동을 선택하여 세부 정보 페이지에 액세스합니다. 프로토콜은 Kerberos 또는 NTLM 화살표 위에 나타납니다.

  • Kerberos: Mimikatz와 같은 해킹 도구가 잠재적으로 Overpass-the-Hash 공격을 사용하는 경우 트리거되는 경우가 많습니다. 원본 컴퓨터가 Kerberos RFC에 맞지 않는 자체 Kerberos 스택을 구현하는 애플리케이션을 실행하고 있는지 확인합니다. 이 경우 무해한 참 긍정이며 경고는 닫힘일 수 있습니다. 경고가 계속 트리거되고 여전히 해당되는 경우 경고를 표시하지 않을 수 있습니다.

  • NTLM: WannaCry 또는 Metasploit, Medusa 및 Hydra와 같은 도구일 수 있습니다.

활동이 WannaCry 공격인지 여부를 확인하려면 다음 단계를 수행합니다.

  1. 원본 컴퓨터가 Metasploit, Medusa 또는 Hydra와 같은 공격 도구를 실행하고 있는지 확인합니다.

  2. 공격 도구를 찾을 수 없는 경우 원본 컴퓨터가 자체 NTLM 또는 SMB 스택을 구현하는 애플리케이션을 실행하는지 검사.

  3. 그렇지 않은 경우 WannaCry 스캐너 스크립트를 실행하여 WannaCry로 인해 발생한 경우(예: 의심스러운 활동에 관련된 원본 컴퓨터에 대해 이 스캐너)를 검사. 스캐너가 컴퓨터가 감염되었거나 취약한 것으로 확인되면 컴퓨터를 패치하고 맬웨어를 제거하고 네트워크에서 차단합니다.

  4. 스크립트가 컴퓨터가 감염되었거나 취약하다는 것을 발견하지 못한 경우 여전히 감염될 수 있지만 SMBv1이 비활성화되었거나 컴퓨터가 패치되어 검사 도구에 영향을 줄 수 있습니다.

수정

모든 컴퓨터에 최신 패치를 적용하고 모든 보안 업데이트가 적용되는 검사.

  1. SMBv1 사용 안 함

  2. WannaCry 제거

  3. 일부 랜섬 소프트웨어를 제어하는 데이터는 때때로 해독될 수 있습니다. 암호 해독은 사용자가 컴퓨터를 다시 시작하거나 해제하지 않은 경우에만 가능합니다. 자세한 내용은 랜섬웨어 암호화를 참조하세요.

참고

의심스러운 활동 경고를 사용하지 않도록 설정하려면 지원에 문의하세요.

참고 항목