Illumio Insights 소개 — AI 기반의 혁신적인 관찰 가능성, 탐지 및 격리.
자세히 알아보기

침해를 경험하셨나요?

|
당사에 연락하기
|
+1 855 426 3983
블로그
/
사이버 복원력

도메인 컨트롤러로 이동하기 보호 & 제로 트러스트 도구를 사용한 완화 조치

Michael Adjei
시스템 엔지니어링 담당 이사, EMEA
Illumio Editorial
1월 8, 2021
23 분 읽기

이 블로그 시리즈의 1부에서는 초기 침해 사고에서 검색 방법을 사용할 수 있는 방법을 살펴보았습니다. 두 번째는 측면 이동을 위한 원격 액세스 도구와 함께 패스 더 해시 기법을 사용한 신원 도용 사례를 보여주었습니다. 이 마지막 부분에서는 측면 이동을 완화하는 방법을 살펴봅니다. 애플리케이션 수준과 네트워크 수준이라는 측면 이동을 가능하게 하는 두 가지 상호 보완적인 접근 방식의 실제 사례에 대해서는 이미 설명한 바 있습니다.

3.1

네트워크 수준이란 실제로 네트워크를 통한 호스트 간 통신을 의미하며, 반드시 스위치나 라우터와 같은 네트워크 장치를 의미하는 것은 아니라는 점을 분명히 해야 합니다. 호스트는 물리적, 가상 또는 컨테이너화된 도메인 컨트롤러 머신, 데이터베이스 서버 머신과 같은 워크로드일 수 있습니다. 애플리케이션 수준은 호스트 자체 내부에서 일어나는 일을 의미하기도 합니다. 예를 들어 디스크의 바이너리, 메모리의 프로세스, 레지스트리 작업 등이 있습니다.

이전 블로그에서 설명한 측면 이동 시에는 운영 체제 내부의 애플리케이션 수준에서 Windows LSASS 프로세스 메모리에서 해시된 자격 증명을 검색하여 Mimikatz를 지원하는 패스 더 해시 기법을 사용했습니다.

3.2

그런 다음 해당 공격에서 파생된 상승된 액세스 토큰을 사용하여 Windows SCM을 활용하는 PAexec 도구를 사용하여 원격 액세스를 활성화했습니다.

3.3

위에서 설명한 두 가지 수준에 대해 이 특정 공격 순서를 분석하면, 시스템의 애플리케이션 수준에서는 애플리케이션의 허용 목록을 사용하여 기본 거부를 기반으로 미미카츠의 사용을 먼저 막거나 해당 PAexec을 실패시켜야 합니다. 또는 로드된 DLL 또는 API 호출을 모니터링하여 메모리에서 프로세스 시작을 감지해야 합니다. 네트워크 수준에서는 호스트 수준에서 마이크로세그멘테이션을 적용하여 동일한 서브넷 또는 VLAN에 있더라도 시스템 간의 이동을 방지해야 합니다. 트래픽 베이스라인을 통해 데이터 유출과 같은 이상 징후도 감지할 수 있습니다.

아래 이미지는 Mimikatz와 PAExec 바이너리의 정적 분석과 가져온 DLL과 같은 일부 시스템 종속성을 보여줍니다.

3.4

메모리에서 실행 중인 프로세스는 Mimikatz의 해시 전달과 도메인 컨트롤러에 대한 후속 PAExec 연결에 모두 사용된 cmd의 프로세스 트리를 보여줍니다.

3.5

대상 시스템(이 경우 도메인 컨트롤러)의 포렌식에는 원격 관리 및 측면 이동을 용이하게 하기 위해 도메인 컨트롤러에서 사용된 바이너리도 표시됩니다.

3.6

아래 이미지에는 관련 서비스도 나와 있습니다.

3.7

기본적으로 바이너리 이름과 결과 프로세스 이름 모두에 표준 명명 규칙을 사용합니다. 물론 이는 위협 행위자에 의해 변경될 수 있습니다.

따라서 애플리케이션 수준의 위협을 살펴보는 보호와 호스트 간 통신에 중점을 둔 네트워크 수준의 보안을 살펴보는 보호 등 이러한 공격 수준을 고려한 방어 접근 방식이 중요합니다. 그러면 보안이 보호되는 호스트 또는 워크로드(예: 워크로드인 도메인 컨트롤러 머신과 도메인 컨트롤러에 액세스하는 엔드포인트 머신)와 함께 유지되고 이동합니다.

이 두 가지 수준의 개념을 도메인과 관련 서버 및 클라이언트에 적용하여 아래 인포그래픽은 이 블로그 시리즈에서 설명한 도메인 컨트롤러 및 기타 도메인 시스템에 대한 위협으로부터 보호하기 위한 몇 가지 중요한 보안 고려 사항을 보여줍니다.

3.8

보안되지 않은 컴퓨터에 권한 있는 계정으로 로그온하거나 높은 권한 계정으로 또는 도메인 컨트롤러에서 직접 인터넷을 검색하지 않는 등의 상식적인 접근 방식을 자세히 설명하는 Microsoft의 Active Directory 보안 모범 사례는 좋은 출발점이 될 수 있는 정보입니다. 효과적인 권한 관리 및 애플리케이션 허용 목록은 도메인 전체에서 권한 있는 계정 사용을 자동으로 제한하고 승인되지 않은 애플리케이션의 사용을 방지할 수도 있습니다.

예를 들어, 시스템 보호의 애플리케이션 수준에서 엔드포인트 탐지 및 대응(EDR)을 제로 트러스트 기반의 Identity & 권한 관리 솔루션과 결합하면 (메모리에서만 실행되고 디스크에는 영향을 주지 않는 경우에도) Mimikatz 또는 Rubeus와 같은 도구를 사용하여 자격 증명 도용 및 LSASS 메모리 조작과 같은 도메인 시스템의 애플리케이션 수준 위협에 대처할 수 있습니다.

아래 예시는 일련의 악성 애플리케이션 및 시스템 수준의 동작을 탐지하는 EDR 솔루션인 CrowdStrike Falcon의 예시입니다.

3.9

도메인 컨트롤러 및 기타 도메인 시스템과 같이 시스템의 네트워크 수준에서 Illumio Core와 같은 호스트 기반 마이크로세그멘테이션 솔루션은 제로 트러스트 보안 및 마이크로세그멘테이션을 제공할 수 있습니다. Illumio Edge는 이러한 보호 기능을 도메인 안팎의 엔드포인트까지 확장합니다. 특히 제로데이 취약점이 있는 경우와 애플리케이션 및 시스템 수준의 엔드포인트 보안이 위협을 놓치는 경우에 더욱 그렇습니다.

대부분의 최신 네트워크는 이질적이고 복잡하며 확장되어 있으며, 특히 원격 근무의 시대에는 더욱 그렇습니다. 따라서 집중적인 전략 없이 보안을 확보하는 것은 특히 쉽지 않습니다. 특히 대규모 네트워크의 경우, 다양한 보안 정책을 가진 이질적이고 복잡한 시스템이 너무 많기 때문에 효과적인 보안을 달성하는 것이 거의 불가능해 보일 수 있습니다. 따라서 기본으로 돌아가는 것이 중요합니다:

  1. 보유하고 있는 정보 파악
  2. 그들이 하는 일 파악하기
  3. 보안 유지

워크로드가 데이터 센터나 클라우드에 저장되어 있는 경우 특히 그렇습니다. 보유 중인 시스템을 파악하는 가장 쉽고 효과적인 방법은 먼저 위치, 환경 및 애플리케이션과 같은 특정 속성별로 시스템을 그룹화하는 것입니다. 이렇게 하면 중요한 시스템 및 애플리케이션 그룹, 여러 그룹에서 사용되는 핵심 서비스, 기타 덜 중요한 시스템 및 애플리케이션을 쉽게 식별할 수 있습니다. 그러면 당연히 가장 중요한 자산, 핵심 애플리케이션, 핵심 서비스에 집중하게 됩니다.

3.10

효과적인 보안은 따로 존재하지 않으므로 모든 접근 방식은 이러한 주요 고려 사항을 고려해야 합니다:

  • 가시성
  • 통합
  • 규모에 맞는 성능
  • 효과

첫 번째 중요한 점은 가시성입니다. 아래 제로 트러스트 워크로드 보호를 위한 Illumio의 핵심 솔루션의 예에서 볼 수 있듯이 애플리케이션 종속성 매핑과 다양한 애플리케이션 그룹과 그 연결을 표시하면 도메인 컨트롤러, 데이터베이스 서버, 도메인 내 기타 중요한 워크로드 시스템(물리적, 가상, 컨테이너 또는 클라우드)과 같은 호스트 시스템에서 직접 정보에 기반한 정책을 정의하고 프로비저닝할 수 있는 기반을 마련할 수 있습니다. 즉, 마이크로세그멘테이션은 여러 지리적 위치에 걸쳐 있고 서로 다른 플랫폼에 존재하는 시스템이 있는 평평한 재개발 환경에서도 적용할 수 있습니다. 이는 네트워크에서 시스템이 수행하는 작업을 파악하는 데 도움이 됩니다. 아래 예는 애플리케이션 종속성 맵에서 애플리케이션 그룹과 해당 애플리케이션의 트래픽 관계를 보여줍니다.

3.11

이러한 유용한 시스템 수준 정보는 SIEM, 취약성 스캐너 또는 CMDB와 같은 기존 보안 투자에 통합될 수도 있습니다. 아래 예에서는 호스트 기반 마이크로세분화 솔루션의 정보를 SIEM 또는 보안 분석 솔루션에 제공합니다. 이 예는 Splunk SIEM과의 통합을 보여줍니다:

3.12

그리고 이 두 번째 예에서는 QRadar를 사용합니다:

3.13

즉, 새로운 솔루션을 기존 보안 투자와 결합하여 전체 도메인 시스템을 보호할 수 있습니다. 컨테이너 또는 클라우드 마이그레이션과 같은 고정된 환경과 민첩한 환경 모두에서 보안을 확장하거나 축소할 수 있도록 규모에 따른 보안 솔루션의 성능과 효과도 중요한 고려 사항이어야 합니다.

이 모든 것이 갖추어지면 모든 시스템에서 일관된 보안 정책을 쉽게 정의하여 비정상적인 동작을 모니터링, 감지 및 방지할 수 있습니다. 아래 이미지는 네트워크 수준인 호스트 간 실시간 트래픽 패턴에 따라 적용할 수 있는 다양한 유형의 마이크로세분화 정책을 보여줍니다.

3.14

Windows 10 및 Server 2016과 같은 최신 버전의 Windows에서는 이벤트 4768 - Kerberos 인증 티켓(TGT)이 요청된 경우와 이벤트 4769 - Kerberos 서비스 티켓이 요청된 경우의 감사를 통해 골든 또는 실버 티켓 공격의 시작을 파악할 수 있습니다. Microsoft는 또한 자격 증명 덤핑을 방지하는 것을 목표로 하는 Credential Guard와 같은 새로운 보호 기능을 구현했습니다. 사이버 사고가 발생할 경우 사이버 사고 대응 전략이 이미 마련되어 있는 것이 중요합니다.

애플리케이션 수준과 네트워크 수준 보호는 모두 '침해 가정' 전략으로 뒷받침되어야 하며, 전반적으로 분석, 지속적인 모니터링 및 탐지가 지원하는 능동적인 위협 헌팅이 항상 자동화되고 구조화된 방식으로 시행되어야 합니다.

관련 주제

항목을 찾을 수 없습니다.

관련 문서

새로운 TCP 포트 135 보안 취약점으로부터 보호하는 방법
사이버 복원력

새로운 TCP 포트 135 보안 취약점으로부터 보호하는 방법

TCP 포트 135를 악용하여 원격 명령을 실행하는 방법으로 포트 445 취약점이 발생하여 TCP 보안을 위해 포트 135를 보호해야 합니다.

자세히 알아보기
DORA 준비: 2명의 사이버 보안 규정 준수 전문가가 전하는 인사이트
사이버 복원력

DORA 준비: 2명의 사이버 보안 규정 준수 전문가가 전하는 인사이트

BT의 사이버 보안 담당 상무이사인 Tristan Morgan과 Evelyn Partners의 디지털 서비스 파트너인 Mark Hendry로부터 DORA 규정 준수에 대한 인사이트를 얻으세요.

자세히 알아보기
2021년 사이버 보안 예측
사이버 복원력

2021년 사이버 보안 예측

클라우드가 모든 것을 해결해 준다고 가정하고 엔드포인트 보안을 간과하는 조직이 너무 많습니다. DevSecOps와 사이버 위험에 대한 의미는 다음과 같습니다.

자세히 알아보기
항목을 찾을 수 없습니다.

위반 가정.
영향 최소화.
복원력 향상.

제로 트러스트 세분화에 대해 자세히 알아볼 준비가 되셨나요?

자세히 알아보기