지속성 및 권한 에스컬레이션 경고
일반적으로 사이버 공격은 권한이 낮은 사용자와 같은 액세스 가능한 모든 엔터티에 대해 시작된 다음 공격자가 중요한 자산에 대한 액세스 권한을 얻을 때까지 신속하게 횡적으로 이동합니다. 중요한 자산은 중요한 계정, 도메인 관리자 또는 매우 중요한 데이터일 수 있습니다. Microsoft Defender for Identity 전체 공격 킬 체인 전체에서 소스에서 이러한 고급 위협을 식별하고 다음 단계로 분류합니다.
- 정찰 및 검색 경고
- 지속성 및 권한 에스컬레이션
- 자격 증명 액세스 경고
- 횡적 이동 경고
- 기타 경고
구조 및 모든 Defender for Identity 보안 경고의 일반적인 구성 요소를 이해하는 방법에 대한 자세한 내용은 보안 경고 이해를 참조하세요. TP(True Positive), B-TP(무해한 참 긍정) 및 FP(가양성)에 대한 자세한 내용은 보안 경고 분류를 참조하세요.
다음 보안 경고는 네트워크에서 Defender for Identity에서 검색한 지속성 및 권한 상승 단계 의심스러운 활동을 식별하고 수정하는 데 도움이 됩니다.
공격자가 기술을 사용하여 다른 온-프레미스 리소스에 계속 액세스한 후 권한 상승 단계를 시작합니다. 이 단계는 악의적 사용자가 시스템 또는 네트워크에 대해 더 높은 수준의 권한을 얻는 데 사용하는 기술로 구성됩니다. 악의적 사용자는 종종 권한 없는 액세스 권한이 있는 네트워크를 입력하고 탐색할 수 있지만 목표를 수행하려면 상승된 권한이 필요합니다. 일반적인 방법은 시스템 약점, 잘못된 구성 및 취약성을 활용하는 것입니다.
의심되는 골든 티켓 사용(암호화 다운그레이드)(외부 ID 2009)
이전 이름: 암호화 다운그레이드 작업
심각도: 보통
설명:
암호화 다운그레이드는 일반적으로 가장 높은 수준의 암호화를 갖는 다양한 프로토콜 필드의 암호화 수준을 다운그레이드하여 Kerberos를 약화시키는 방법입니다. 약화된 암호화된 필드는 오프라인 무차별 암호 대입 시도에 더 쉬운 대상이 될 수 있습니다. 다양한 공격 방법은 약한 Kerberos 암호화 암호화 암호화를 활용합니다. 이 검색에서 Defender for Identity는 컴퓨터와 사용자가 사용하는 Kerberos 암호화 유형을 학습하고, 원본 컴퓨터 및/또는 사용자에게 비정상적인 약한 암호가 사용되고 알려진 공격 기술과 일치하는 경우 경고합니다.
골든 티켓 경고에서 원본 컴퓨터에서 TGS_REQ(서비스 요청) 메시지의 TGT 필드의 암호화 방법이 이전에 학습한 동작에 비해 다운그레이드된 것으로 검색되었습니다. 이는 시간 변칙을 기반으로 하지 않습니다(다른 골든 티켓 검색에서와 같이). 또한 이 경고의 경우 Defender for Identity에서 검색한 이전 서비스 요청과 연결된 Kerberos 인증 요청이 없었습니다.
학습 기간:
이 경고는 도메인 컨트롤러 모니터링 시작부터 5일의 학습 기간이 있습니다.
MITRE:
| 기본 MITRE 전술 | 지속성(TA0003) |
|---|---|
| 보조 MITRE 전술 | 권한 상승(TA0004), 횡적 이동(TA0008) |
| MITRE 공격 기술 | Kerberos 티켓 도용 또는 위조(T1558) |
| MITRE 공격 하위 기술 | 골든 티켓(T1558.001) |
예방을 위한 제안된 단계:
- 최대 Windows Server 2012 R2 운영 체제가 있는 모든 도메인 컨트롤러가 KB3011780 함께 설치되고 2012 R2까지의 모든 멤버 서버 및 도메인 컨트롤러가 KB2496930 최신 상태인지 확인합니다. 자세한 내용은 Silver PAC 및 위조 PAC를 참조하세요.
의심되는 골든 티켓 사용(존재하지 않는 계정)(외부 ID 2027)
이전 이름: Kerberos 골든 티켓
심각도: 높음
설명:
도메인 관리자 권한이 있는 공격자는 KRBTGT 계정을 손상할 수 있습니다. KRBTGT 계정을 사용하여 모든 리소스에 대한 권한 부여를 제공하고 티켓 만료를 임의의 시간으로 설정하는 Kerberos TGT(티켓 부여 티켓)를 만들 수 있습니다. 이 가짜 TGT는 "골든 티켓"이라고 하며 공격자가 네트워크 지속성을 달성할 수 있도록 합니다. 이 검색에서 존재하지 않는 계정에 의해 경고가 트리거됩니다.
학습 기간:
없음
MITRE:
| 기본 MITRE 전술 | 지속성(TA0003) |
|---|---|
| 보조 MITRE 전술 | 권한 상승(TA0004), 횡적 이동(TA0008) |
| MITRE 공격 기술 | Kerberos 티켓 도용 또는 위조(T1558), 권한 상승 악용(T1068), 원격 서비스 악용(T1210) |
| MITRE 공격 하위 기술 | 골든 티켓(T1558.001) |
의심되는 골든 티켓 사용(티켓 변칙)(외부 ID 2032)
심각도: 높음
설명:
도메인 관리자 권한이 있는 공격자는 KRBTGT 계정을 손상할 수 있습니다. KRBTGT 계정을 사용하여 모든 리소스에 대한 권한 부여를 제공하고 티켓 만료를 임의의 시간으로 설정하는 Kerberos TGT(티켓 부여 티켓)를 만들 수 있습니다. 이 가짜 TGT는 "골든 티켓"이라고 하며 공격자가 네트워크 지속성을 달성할 수 있도록 합니다. 이 유형의 단조 골든 티켓은 이 검색이 특별히 식별하도록 설계된 고유한 특성을 가지고 있습니다.
학습 기간:
없음
MITRE:
| 기본 MITRE 전술 | 지속성(TA0003) |
|---|---|
| 보조 MITRE 전술 | 권한 상승(TA0004), 횡적 이동(TA0008) |
| MITRE 공격 기술 | Kerberos 티켓 도용 또는 위조(T1558) |
| MITRE 공격 하위 기술 | 골든 티켓(T1558.001) |
의심되는 골든 티켓 사용(RBCD를 사용한 티켓 변칙)(외부 ID 2040)
심각도: 높음
설명:
도메인 관리자 권한이 있는 공격자는 KRBTGT 계정을 손상할 수 있습니다. KRBTGT 계정을 사용하여 모든 리소스에 대한 권한 부여를 제공하는 Kerberos 티켓 부여 티켓(TGT)을 만들 수 있습니다. 이 가짜 TGT는 "골든 티켓"이라고 하며 공격자가 네트워크 지속성을 달성할 수 있도록 합니다. 이 검색에서 경고는 SPN과 함께 계정(user\computer)에 대한 KRBTGT 계정을 사용하여 RBCD(리소스 기반 제한 위임) 권한을 설정하여 만든 골든 티켓에 의해 트리거됩니다.
학습 기간:
없음
MITRE:
| 기본 MITRE 전술 | 지속성(TA0003) |
|---|---|
| 보조 MITRE 전술 | 권한 에스컬레이션(TA0004) |
| MITRE 공격 기술 | Kerberos 티켓 도용 또는 위조(T1558) |
| MITRE 공격 하위 기술 | 골든 티켓(T1558.001) |
의심되는 골든 티켓 사용(시간 변칙)(외부 ID 2022)
이전 이름: Kerberos 골든 티켓
심각도: 높음
설명:
도메인 관리자 권한이 있는 공격자는 KRBTGT 계정을 손상할 수 있습니다. KRBTGT 계정을 사용하여 모든 리소스에 대한 권한 부여를 제공하고 티켓 만료를 임의의 시간으로 설정하는 Kerberos TGT(티켓 부여 티켓)를 만들 수 있습니다. 이 가짜 TGT는 "골든 티켓"이라고 하며 공격자가 네트워크 지속성을 달성할 수 있도록 합니다. 이 경고는 사용자 티켓의 최대 수명에 지정된 대로 허용된 시간 이상에 대해 Kerberos 티켓 부여 티켓을 사용할 때 트리거됩니다.
학습 기간:
없음
MITRE:
| 기본 MITRE 전술 | 지속성(TA0003) |
|---|---|
| 보조 MITRE 전술 | 권한 상승(TA0004), 횡적 이동(TA0008) |
| MITRE 공격 기술 | Kerberos 티켓 도용 또는 위조(T1558) |
| MITRE 공격 하위 기술 | 골든 티켓(T1558.001) |
의심되는 스켈레톤 키 공격(암호화 다운그레이드)(외부 ID 2010)
이전 이름: 암호화 다운그레이드 작업
심각도: 보통
설명:
암호화 다운그레이드는 일반적으로 가장 높은 수준의 암호화를 갖는 프로토콜의 여러 필드에 대해 다운그레이드된 암호화 수준을 사용하여 Kerberos를 약화시키는 방법입니다. 약화된 암호화된 필드는 오프라인 무차별 암호 대입 시도에 더 쉬운 대상이 될 수 있습니다. 다양한 공격 방법은 약한 Kerberos 암호화 암호화 암호화를 활용합니다. 이 검색에서 Defender for Identity는 컴퓨터와 사용자가 사용하는 Kerberos 암호화 유형을 알아봅니다. 이 경고는 원본 컴퓨터 및/또는 사용자에게 비정상적인 약한 암호가 사용되고 알려진 공격 기술과 일치하는 경우 발생합니다.
스켈레톤 키는 도메인 컨트롤러에서 실행되는 맬웨어이며 암호를 모르고 계정으로 도메인에 대한 인증을 허용합니다. 이 맬웨어는 종종 약한 암호화 알고리즘을 사용하여 도메인 컨트롤러에서 사용자의 암호를 해시합니다. 이 경고에서는 도메인 컨트롤러에서 티켓을 요청하는 계정으로 이전 KRB_ERR 메시지 암호화의 학습된 동작이 다운그레이드되었습니다.
학습 기간:
없음
MITRE:
| 기본 MITRE 전술 | 지속성(TA0003) |
|---|---|
| 보조 MITRE 전술 | 횡적 이동(TA0008) |
| MITRE 공격 기술 | 원격 서비스 악용(T1210),인증 프로세스 수정(T1556) |
| MITRE 공격 하위 기술 | 도메인 컨트롤러 인증(T1556.001) |
중요한 그룹에 의심스러운 추가(외부 ID 2024)
심각도: 보통
설명:
공격자는 권한이 높은 그룹에 사용자를 추가합니다. 사용자 추가는 더 많은 리소스에 액세스하고 지속성을 얻기 위해 수행됩니다. 이 검색은 사용자의 그룹 수정 활동을 프로파일링하고 중요한 그룹에 비정상적인 추가가 표시되면 경고하는 데 의존합니다. Defender for Identity 프로필은 지속적으로 표시됩니다.
Defender for Identity의 중요한 그룹에 대한 정의는 중요한 계정 작업을 참조하세요.
검색은 도메인 컨트롤러에서 감사되는 이벤트에 의존합니다. 도메인 컨트롤러가 필요한 이벤트를 감사하고 있는지 확인합니다.
학습 기간:
도메인 컨트롤러당 4주, 첫 번째 이벤트부터 시작합니다.
MITRE:
| 기본 MITRE 전술 | 지속성(TA0003) |
|---|---|
| 보조 MITRE 전술 | 자격 증명 액세스(TA0006) |
| MITRE 공격 기술 | 계정 조작(T1098),도메인 정책 수정(T1484) |
| MITRE 공격 하위 기술 | 해당 없음 |
예방을 위한 제안된 단계:
- 향후 공격을 방지하려면 중요한 그룹을 수정할 권한이 있는 사용자 수를 최소화합니다.
- 해당하는 경우 Active Directory에 대한 Privileged Access Management를 설정합니다.
의심되는 Netlogon 권한 상승 시도(CVE-2020-1472 악용)(외부 ID 2411)
심각도: 높음
설명: Microsoft는 도메인 컨트롤러에 대한 권한 상승을 허용하는 새로운 취약성이 있음을 알리는 CVE-2020-1472 를 게시했습니다.
권한 상승 취약성은 공격자가 Netlogon 권한 상승 취약성이라고도 하는 MS-NRPC(Netlogon 원격 프로토콜)를 사용하여 도메인 컨트롤러에 대한 취약한 Netlogon 보안 채널 연결을 설정할 때 존재합니다.
학습 기간:
없음
MITRE:
| 기본 MITRE 전술 | 권한 에스컬레이션(TA0004) |
|---|---|
| MITRE 공격 기술 | 해당 없음 |
| MITRE 공격 하위 기술 | 해당 없음 |
예방을 위한 제안된 단계:
- 이 취약성과 관련되고 방지할 수 있는 Netlogon 보안 채널 연결의 변경 내용을 관리하는 방법에 대한 지침을 검토합니다.
Honeytoken 사용자 특성 수정됨(외부 ID 2427)
심각도: 높음
설명: Active Directory의 모든 사용자 개체에는 이름, 중간 이름, 성, 전화 번호, 주소 등의 정보가 포함된 특성이 있습니다. 경우에 따라 공격자는 다단계 인증 시도에 액세스하기 위해 계정의 전화 번호를 변경하는 등 이러한 개체를 시도하고 조작합니다. Microsoft Defender for Identity 미리 구성된 honeytoken 사용자에 대한 특성 수정에 대해 이 경고를 트리거합니다.
학습 기간:
없음
MITRE:
| 기본 MITRE 전술 | 지속성(TA0003) |
|---|---|
| MITRE 공격 기술 | 계정 조작(T1098) |
| MITRE 공격 하위 기술 | 해당 없음 |
Honeytoken 그룹 멤버 자격 변경(외부 ID 2428)
심각도: 높음
설명: Active Directory에서 각 사용자는 하나 이상의 그룹의 구성원입니다. 공격자는 계정에 대한 액세스 권한을 얻은 후 보안 그룹을 제거하거나 추가하여 다른 사용자에게 권한을 추가하거나 제거하려고 시도할 수 있습니다. Microsoft Defender for Identity 미리 구성된 honeytoken 사용자 계정을 변경할 때마다 경고를 트리거합니다.
학습 기간:
없음
MITRE:
| 기본 MITRE 전술 | 지속성(TA0003) |
|---|---|
| MITRE 공격 기술 | 계정 조작(T1098) |
| MITRE 공격 하위 기술 | 해당 없음 |
의심되는 SID-History 주입(외부 ID 1106)
심각도: 높음
설명: SIDHistory는 계정이 한 도메인에서 다른 도메인으로 마이그레이션될 때 사용자가 권한을 유지하고 리소스에 액세스할 수 있도록 하는 Active Directory의 특성입니다. 사용자 계정이 새 도메인으로 마이그레이션되면 사용자의 SID가 새 도메인에 있는 해당 계정의 SIDHistory 특성에 추가됩니다. 이 특성에는 사용자의 이전 도메인의 SID 목록이 포함됩니다.
악의적 사용자는 SIH 기록 주입을 사용하여 권한을 에스컬레이션하고 액세스 제어를 우회할 수 있습니다. 이 검색은 SIDHistory 특성에 새로 추가된 SID가 추가될 때 트리거됩니다.
학습 기간:
없음
MITRE:
| 기본 MITRE 전술 | 권한 에스컬레이션(TA0004) |
|---|---|
| MITRE 공격 기술 | 계정 조작(T1134) |
| MITRE 공격 하위 기술 | SID 기록 주입(T1134.005) |
dNSHostName 특성의 의심스러운 수정(CVE-2022-26923)(외부 ID 2421)
심각도: 높음
설명:
이 공격에는 알려진 취약성(CVE-2022-26923)을 악용할 수 있는 dNSHostName 특성의 무단 수정이 포함됩니다. 공격자는 이 특성을 조작하여 DNS(Domain Name System) 확인 프로세스의 무결성을 손상시켜 중간자 공격 또는 네트워크 리소스에 대한 무단 액세스를 비롯한 다양한 보안 위험을 초래할 수 있습니다.
학습 기간:
없음
MITRE:
| 기본 MITRE 전술 | 권한 에스컬레이션(TA0004) |
|---|---|
| 보조 MITRE 전술 | 방어 회피(TA0005) |
| MITRE 공격 기술 | 권한 상승에 대한 악용(T1068),액세스 토큰 조작(T1134) |
| MITRE 공격 하위 기술 | 토큰 가장/도난(T1134.001) |
도메인 AdminSdHolder의 의심스러운 수정(외부 ID 2430)
심각도: 높음
설명:
공격자는 도메인 AdminSdHolder를 대상으로 지정하여 무단으로 수정할 수 있습니다. 이로 인해 권한 있는 계정의 보안 설명자를 변경하여 보안 취약성이 발생할 수 있습니다. 무단 변경을 방지하려면 중요한 Active Directory 개체의 정기적인 모니터링 및 보안이 필수적입니다.
학습 기간:
없음
MITRE:
| 기본 MITRE 전술 | 지속성(TA0003) |
|---|---|
| 보조 MITRE 전술 | 권한 에스컬레이션(TA0004) |
| MITRE 공격 기술 | 계정 조작(T1098) |
| MITRE 공격 하위 기술 | 해당 없음 |
새로 만든 컴퓨터의 의심스러운 Kerberos 위임 시도(외부 ID 2422)
심각도: 높음
설명:
이 공격에는 새로 만든 컴퓨터의 의심스러운 Kerberos 티켓 요청이 포함됩니다. 무단 Kerberos 티켓 요청은 잠재적인 보안 위협을 나타낼 수 있습니다. 비정상적인 티켓 요청을 모니터링하고, 컴퓨터 계정의 유효성을 검사하고, 의심스러운 활동을 신속하게 해결하는 것은 무단 액세스 및 잠재적 손상을 방지하는 데 필수적입니다.
학습 기간:
없음
MITRE:
| 기본 MITRE 전술 | 방어 회피(TA0005) |
|---|---|
| 보조 MITRE 전술 | 권한 에스컬레이션(TA0004) |
| MITRE 공격 기술 | 도메인 정책 수정(T1484) |
| MITRE 공격 하위 기술 | 해당 없음 |
의심스러운 도메인 컨트롤러 인증서 요청(ESC8)(외부 ID 2432)
심각도: 높음
설명:
ESC8(도메인 컨트롤러 인증서)에 대한 비정상적인 요청은 잠재적인 보안 위협에 대한 우려를 제기합니다. 이는 인증서 인프라의 무결성을 손상시켜 무단 액세스 및 데이터 침해로 이어질 수 있습니다.
학습 기간:
없음
MITRE:
| 기본 MITRE 전술 | 방어 회피(TA0005) |
|---|---|
| 보조 MITRE 전술 | 지속성(TA0003),권한 에스컬레이션(TA0004),초기 액세스(TA0001) |
| MITRE 공격 기술 | 유효한 계정(T1078) |
| MITRE 공격 하위 기술 | 해당 없음 |
참고
의심스러운 ESC8(도메인 컨트롤러 인증서 요청) 경고는 AD CS의 Defender for Identity 센서에서만 지원됩니다.
AD CS 보안 권한/설정에 대한 의심스러운 수정(외부 ID 2435)
심각도: 보통
설명:
공격자는 AD CS(Active Directory Certificate Services)의 보안 권한 및 설정을 대상으로 하여 인증서 발급 및 관리를 조작할 수 있습니다. 무단 수정은 취약성을 도입하고 인증서 무결성을 손상시키며 PKI 인프라의 전반적인 보안에 영향을 미칠 수 있습니다.
학습 기간:
없음
MITRE:
| 기본 MITRE 전술 | 방어 회피(TA0005) |
|---|---|
| 보조 MITRE 전술 | 권한 에스컬레이션(TA0004) |
| MITRE 공격 기술 | 도메인 정책 수정(T1484) |
| MITRE 공격 하위 기술 | 해당 없음 |
참고
AD CS 보안 권한/설정 경고에 대한 의심스러운 수정은 AD CS의 Defender for Identity 센서에서만 지원됩니다.
AD FS 서버의 트러스트 관계가 의심스러운 수정(외부 ID 2420)
심각도: 보통
설명:
AD FS 서버의 트러스트 관계를 무단으로 변경하면 페더레이션 ID 시스템의 보안이 손상될 수 있습니다. 트러스트 구성을 모니터링하고 보호하는 것은 무단 액세스를 방지하는 데 중요합니다.
학습 기간:
없음
MITRE:
| 기본 MITRE 전술 | 방어 회피(TA0005) |
|---|---|
| 보조 MITRE 전술 | 권한 에스컬레이션(TA0004) |
| MITRE 공격 기술 | 도메인 정책 수정(T1484) |
| MITRE 공격 하위 기술 | 도메인 신뢰 수정(T1484.002) |
참고
AD FS 서버 경고의 신뢰 관계에 대한 의심스러운 수정은 AD FS의 Defender for Identity 센서에서만 지원됩니다.
컴퓨터 계정으로 리소스 기반 제한된 위임 특성의 의심스러운 수정(외부 ID 2423)
심각도: 높음
설명:
컴퓨터 계정에서 Resource-Based 제한 위임 특성을 무단으로 변경하면 보안 위반이 발생할 수 있으므로 공격자가 사용자를 가장하고 리소스에 액세스할 수 있습니다. 위임 구성을 모니터링하고 보호하는 것은 오용을 방지하는 데 필수적입니다.
학습 기간:
없음
MITRE:
| 기본 MITRE 전술 | 방어 회피(TA0005) |
|---|---|
| 보조 MITRE 전술 | 권한 에스컬레이션(TA0004) |
| MITRE 공격 기술 | 도메인 정책 수정(T1484) |
| MITRE 공격 하위 기술 | 해당 없음 |