도메인 컨트롤러로 안내해 주세요: 제로 트러스트 도구를 사용한 보호 및 완화
에서 파트 1 이 블로그 시리즈에서 우리는 그 방법을 살펴보았습니다. 발견 초기 타협에서 방법을 사용할 수 있습니다. 둘째 해시 전달 기술과 원격 액세스 도구를 결합하여 신원 도용의 예를 보여주었습니다. 측면 이동.마지막 부분에서는 측면 움직임을 완화하는 방법을 살펴보겠습니다.측면 이동을 가능하게 하는 두 가지 보완적 접근 방식, 즉 애플리케이션 레벨과 네트워크 레벨의 실제 사례에 대해서는 이미 논의했습니다.

네트워크 레벨이란 실제로 네트워크를 통한 호스트 간 통신을 의미하며 스위치나 라우터와 같은 네트워크 디바이스가 반드시 필요한 것은 아니라는 점을 분명히 해야 합니다.호스트는 물리적, 가상 또는 컨테이너화된 데이터베이스 서버 컴퓨터인 도메인 컨트롤러 시스템과 같은 워크로드일 수 있습니다.애플리케이션 레벨은 호스트 자체 내에서 일어나는 일을 의미하기도 합니다.예를 들어 디스크의 바이너리, 메모리의 프로세스, 레지스트리 작업 등이 있습니다.
이전 블로그에서 다룬 측면 이동 과정에서 Windows LSASS 프로세스 메모리에서 해시된 자격 증명을 검색하여 운영 체제 내에서 응용 프로그램 수준에서 MimiKatz 지원 해시 전달 기술을 사용했습니다.

그런 다음 해당 공격에서 파생된 상승된 액세스 토큰을 사용하여 Windows SCM을 활용하는 PaExec 도구를 사용하여 원격 액세스를 가능하게 했습니다.

위에서 설명한 두 수준에 대해 이 특정 공격 시퀀스를 분석하면 시스템의 애플리케이션 수준에서 Mimikatz를 먼저 사용하거나 PaExec에 실패하는 것을 방지해야 합니다. 기본 거부 기능을 기반으로 합니다. 허용 목록 애플리케이션 수.또는 로드된 DLL 또는 API 호출을 모니터링하는 등의 방법으로 메모리에서 프로세스 시작을 감지해야 할 수도 있습니다.네트워크 수준에서는 시스템이 동일한 서브넷이나 VLAN에 있더라도 시스템 간 이동을 방지하기 위해 호스트 수준에서 마이크로세그멘테이션을 적용해야 합니다.또한 트래픽 베이스라이닝을 통해 데이터 유출과 같은 이상 징후를 탐지할 수 있습니다.
아래 이미지는 Mimikatz와 PaExec 바이너리의 정적 분석과 가져온 DLL과 같은 일부 시스템 종속성에 대한 정적 분석을 보여줍니다.

메모리에서 실행 중인 프로세스는 Mimikatz 해시 전달과 도메인 컨트롤러에 대한 후속 PaExec 연결 모두에 사용된 cmd의 프로세스 트리를 보여줍니다.

대상 시스템 (이 경우 도메인 컨트롤러) 에 대한 포렌식은 원격 관리, 이 경우에는 측면 이동을 용이하게 하기 위해 도메인 컨트롤러에서 사용되는 바이너리도 보여줍니다.

그리고 아래 이미지는 관련 서비스도 보여줍니다.

기본적으로 이진 프로세스 이름과 결과 프로세스 이름 모두에 표준 명명 규칙을 사용합니다.물론 위협 행위자가 이를 변경할 수 있습니다.
따라서 완화 접근 방식에서는 이러한 수준의 공격을 고려하는 것이 중요합니다. 즉, 애플리케이션 수준의 위협을 살펴보는 보호와 호스트-호스트 간 통신에 초점을 맞춰 네트워크 수준의 보안을 살펴보는 보호입니다.그러면 보호되는 호스트 또는 워크로드와 함께 보안이 그대로 유지되고 이전된다는 의미입니다 (예: 도메인 컨트롤러 워크로드로서의 머신 및 도메인 컨트롤러에 액세스하는 엔드포인트 머신)
아래 인포그래픽은 이 2단계 개념을 도메인과 관련 서버 및 클라이언트에 적용하여 이 블로그 시리즈에서 설명한 것처럼 도메인 컨트롤러 및 기타 도메인 시스템에 대한 위협으로부터 보호하기 위한 몇 가지 중요한 보안 고려 사항을 보여줍니다.

정보의 좋은 출발점은 액티브 디렉토리 보안을 위한 마이크로소프트의 모범 사례에는 권한 있는 계정으로 보안되지 않은 컴퓨터에 로그온하지 않거나, 권한이 높은 계정으로 또는 도메인 컨트롤러에서 직접 인터넷을 탐색하지 않는 것과 같은 상식적인 접근 방식이 자세히 설명되어 있습니다.또한 효과적인 권한 관리 및 응용 프로그램 허용 목록을 통해 도메인 전체에서 권한 있는 계정 사용을 자동으로 제한하고 승인되지 않은 응용 프로그램의 사용을 방지할 수 있습니다.
예를 들어, 시스템 보호의 애플리케이션 수준에서 엔드포인트 탐지 및 응답 (EDR) 을 제로 트러스트 기반의 ID 및 권한 관리 솔루션과 결합하면 Mimikatz 또는 Rubeus와 같은 도구를 사용하여 자격 증명 도용 및 LSASS 메모리 조작과 같은 도메인 시스템의 애플리케이션 수준 위협을 처리하는 데 도움이 될 수 있습니다 (메모리에서만 실행되고 디스크에 영향을 미치지 않는 경우에도 가능).
아래 예시는 EDR 솔루션인 CrowdStrike Falcon에서 일련의 악성 애플리케이션 및 시스템 수준 동작을 탐지한 예제입니다.

도메인 컨트롤러 및 기타 도메인 시스템과 마찬가지로 시스템의 네트워크 수준에서 호스트 기반 마이크로세그멘테이션 솔루션은 다음과 같습니다. 일루미오 코어 제로 트러스트 보안 및 마이크로세그멘테이션을 제공할 수 있습니다. 일루미오 엣지 이 보호를 도메인 내부 및 외부의 엔드포인트로 확장합니다.제로 데이 취약점의 경우와 애플리케이션 및 시스템 수준의 엔드포인트 보안이 위협을 놓친 경우에 특히 그렇습니다.
대부분의 최신 네트워크는 이질적이고 복잡하며 확장되어 있습니다. 특히 이 원격 작업 시대에는 더욱 그렇습니다.따라서 먼저 집중적인 전략을 세우지 않고는 보안을 보장하기가 그리 쉽지 않습니다.특히 대규모 네트워크의 경우 다양한 보안 정책을 사용하는 이질적이고 복잡한 시스템이 너무 많기 때문에 효과적인 보안을 달성하는 것이 거의 불가능해 보일 수 있습니다.따라서 기본으로 돌아가 다음을 수행하는 것이 중요합니다.
- 무엇을 가지고 있는지 알아두세요
- 그들이 하는 일을 알아라.
- 그들을 보호하세요
워크로드가 데이터 센터 또는 클라우드에 저장되는 경우 특히 그렇습니다.현재 상태를 파악하는 가장 쉽고 효과적인 방법은 먼저 위치, 환경, 애플리케이션과 같은 특정 속성별로 시스템을 그룹화하는 것입니다.이렇게 하면 중요한 시스템과 응용 프로그램 그룹, 그룹 전체에서 사용되는 핵심 서비스, 덜 중요한 시스템과 응용 프로그램을 쉽게 식별할 수 있습니다.그러면 당연히 가장 중요한 자산, 가장 중요한 애플리케이션 및 핵심 서비스에 초점이 맞춰질 것입니다.

효과적인 보안은 단독으로 존재하지 않으므로 모든 접근 방식에서는 다음과 같은 주요 고려 사항을 고려해야 합니다.
- 가시성
- 통합
- 대규모 성능
- 유효성
첫 번째 중요한 점은 가시성입니다.아래 Illumio의 제로 트러스트 워크로드 보호를 위한 핵심 솔루션에서 볼 수 있듯이 애플리케이션 종속성을 매핑하고 다양한 애플리케이션 그룹과 해당 연결을 표시하면 도메인 컨트롤러, 데이터베이스 서버 및 도메인의 기타 중요한 워크로드 시스템 (물리적, 가상, 컨테이너 또는 클라우드) 과 같은 호스트 시스템에서 직접 정보에 입각한 정책을 정의하고 프로비저닝할 수 있습니다.즉, 서로 다른 지리적 위치에 걸쳐 있고 서로 다른 플랫폼에 존재하는 시스템을 갖춘 평평한 브라운필드 환경에서도 마이크로세그멘테이션을 적용할 수 있습니다.이는 네트워크에서 시스템이 무엇을 하는지 파악하는 데 도움이 됩니다.아래 예는 애플리케이션 그룹과 해당 트래픽 관계를 보여줍니다. 애플리케이션 종속성 맵.

이러한 유용한 시스템 수준 정보는 SIEM, 취약성 스캐너 또는 CMDB와 같은 기존 보안 투자에도 통합될 수 있습니다.아래 예에서는 호스트 기반 마이크로세그멘테이션 솔루션의 정보가 SIEM 또는 보안 분석 솔루션에 입력됩니다.이 예에서는 Splunk SIEM과의 통합을 보여줍니다.

그리고 이 두 번째 예에서는 QRadar를 사용했습니다.

즉, 새로운 솔루션을 기존 보안 투자와 결합하여 전체 도메인 시스템을 보호할 수 있습니다.컨테이너 또는 클라우드 마이그레이션과 같은 고정된 환경과 민첩한 환경 모두에서 보안을 확장하거나 축소할 수 있도록 대규모 보안 솔루션의 성능과 효과도 중요한 고려 사항이 되어야 합니다.
이러한 기능이 모두 갖추어지면 모든 시스템에서 일관된 보안 정책을 쉽게 정의하여 이상 행동을 모니터링, 탐지 및 방지할 수 있습니다.아래 이미지는 네트워크 수준인 호스트-호스트 간 실시간 트래픽 패턴을 기반으로 적용할 수 있는 다양한 유형의 마이크로세그멘테이션 정책을 보여줍니다.

Windows 10 및 Server 2016과 같은 최신 버전의 Windows에서는 이벤트 4768 (Kerberos 인증 티켓 (TGT) 이 요청되고 이벤트 4769 - Kerberos 서비스 티켓이 요청되었으며, 이후 상관 관계를 분석하면 골든 티켓 공격이나 실버 티켓 공격이 시작될 수 있습니다.Microsoft는 또한 자격 증명 덤핑을 방지하는 것을 목표로 하는 자격 증명 가드와 같은 새로운 보호 기능을 구현했습니다.사이버 사고가 발생할 경우 다음과 같은 조치를 취하는 것이 중요합니다. 사이버 사고 대응 전략 이미 제자리에 있습니다.
애플리케이션 수준 보호와 네트워크 수준 보호 모두 '를 통해 뒷받침되어야 합니다.위반을 가정하다'전략: 분석, 지속적인 모니터링 및 탐지를 통해 전반적으로 능동적인 위협 사냥이 항상 자동화되고 구조화된 방식으로 시행되도록 하는 것입니다.