커버로스팅은 점점 더 보편화되고 있습니다. IBM의 X-Force 보안 분석가들은 X-Force Threat Intelligence Index에 따르면 2022년과 2023년 사이에 커버로스팅 사고가 100% 증가했다고 합니다. 이러한 증가는 해커가 유효한 계정을 악용하여 네트워크를 침해하는 광범위한 침해 트렌드를 반영합니다. 네트워크 및 엔드포인트 보안이 향상되면서 직접 공격을 실행하기가 훨씬 더 어려워졌습니다.
몇 가지 추가 요인으로 인해 커버로스팅의 인기가 높아졌습니다. 많은 디렉터리 서비스 및 클라우드 컴퓨팅 시스템이 커버로스를 사용하며, 이는 해커가 이 프로토콜을 활용하여 중요한 네트워크 인프라에 액세스할 수 있음을 의미합니다.
특히 커버로스는 Microsoft Windows Active Directory의 표준이며 많은 커버로스팅 공격은 Active Directory 도메인을 대상으로 합니다. 또한 수동으로 생성된 서비스 계정은 비밀번호가 취약하고 권한이 높은 경향이 있어 매력적인 공격 대상이 될 수 있습니다.
커버로스팅 공격은 커버로스의 의도된 설계를 이용하기 때문에 탐지하기 어렵습니다. 커버로스팅 공격에서 가장 의심스러운 부분인 도난당한 티켓의 비밀번호 해독은 오프라인에서 이루어집니다. 사이버 보안 전문가는 커버로스팅의 가능성을 완전히 근절할 수는 없지만 위협을 완화하기 위해 사전 예방적 방어 체계를 구축할 수 있습니다.
Think 뉴스레터
Think 뉴스레터를 통해 AI, 사이버 보안, 데이터 및 자동화에 대한 선별된 뉴스를 제공하는 보안 리더들과 함께하세요. 받은 편지함으로 직접 제공되는 전문가 튜토리얼과 설명서를 통해 빠르게 배울 수 있습니다. IBM 개인정보 보호정책을 참고하세요.
구독한 뉴스레터는 영어로 제공됩니다. 모든 뉴스레터에는 구독 취소 링크가 있습니다. 여기에서 구독을 관리하거나 취소할 수 있습니다. 자세한 정보는 IBM 개인정보 보호정책 을 참조하세요.
커버로스팅은 일반적으로 초기 침입 전술이라기보다는 권한 상승의 수단으로 사용됩니다. 해커는 네트워크에 침입하기 위해 도메인 사용자 계정에 대한 제어권을 얻은 후 커버로스팅을 사용하여 범위를 확장합니다.
대부분의 커버로스팅 공격은 동일한 기본 방법을 따릅니다.
커버로스팅이 작동하는 이유를 이해하려면 먼저 커버로스의 기본 사항을 이해해야 합니다.
커버로스는 사용자 및 서비스(예: 앱, 데이터베이스 및 서버)가 Active Directory 및 기타 도메인 내에서 안전하게 인증하고 통신할 수 있도록 하는 인증 프로토콜입니다.
커버로스 인증 프로세스는 티켓팅 시스템을 사용합니다. 이 시스템의 중심에는 네트워크의 도메인 컨트롤러에서 작동하는 키 배포 센터(KDC)가 있습니다.
KDC는 본질적으로 도메인의 게이트키퍼 역할을 합니다. 네트워크에서 사용자와 서비스를 인증하고 티켓을 발행합니다. 티켓은 사용자의 ID를 증명하고 네트워크의 다른 리소스에 액세스할 수 있도록 하는 자격 증명입니다. 사용자와 서비스는 이러한 티켓을 교환하여 서로를 인증합니다.
사용자가 도메인에 로그인하면 먼저 KDC로 인증하고 티켓 부여 티켓(TGT)을 받습니다. 이 TGT를 통해 사용자는 도메인 서비스에 대한 액세스를 요청할 수 있습니다.
사용자가 서비스에 액세스하려는 경우 KDC의 티켓 부여 서비스(TGS)에 요청을 보냅니다. TGT는 사용자의 ID를 보증하기 위해 이 요청과 함께 제공됩니다.
이에 대한 응답으로 KDC는 서비스 계정 비밀번호를 사용하여 암호화된 'TGS 티켓'이라고도 하는 서비스 티켓을 발급합니다. 이는 대상 서비스만 사용자의 액세스 요청을 검증할 수 있도록 하기 위한 프로세스입니다. 사용자가 이 서비스 티켓을 대상 서비스에 제시하면 대상 서비스는 사용자를 인증하고 보안 세션을 시작합니다.
커버로스 설계에는 커버로스팅이 허용되는 몇 가지 세부 사항이 있습니다.
첫째, KDC는 사용자가 서비스에 액세스할 수 있는 권한이 있는지 여부를 확인하지 않습니다. 모든 사용자는 모든 서비스에 대한 티켓을 요청할 수 있습니다. 권한을 적용하고 권한이 없는 사용자를 차단하는 것은 개별 서비스의 몫입니다. 따라서 해커는 도메인 관리자나 기타 권한이 있는 사용자의 계정을 탈취할 필요가 없습니다. 손상된 계정은 모두 작동합니다.
둘째, 커버로스 도메인의 각 서비스는 도메인에서 서비스 실행을 담당하는 서비스 계정과 연결되어야 합니다. 서비스 계정을 통해 커버로스는 서비스를 인증하고, 서비스 티켓을 발급하고, 보안 제어를 시행할 수 있습니다. 또한 이러한 계정은 높은 권한을 갖는 경향이 있기 때문에 해커에게 표적이 될 수 있습니다.
셋째, 커버로스 티켓은 연결된 계정의 비밀번호 해시를 키로 사용하여 암호화됩니다. 커버로스팅의 경우 중요한 것은 서비스 티켓이 관련 서비스 계정의 비밀번호 해시를 사용한다는 점입니다.
계정 비밀번호는 KDC 및 관련 서비스만 해당 비밀번호를 알아야 하기 때문에 편리한 대칭 암호화 키로 설정됩니다. 그러나 티켓은 비밀번호 해시를 사용하여 암호화되기 때문에 해커는 티켓의 암호화를 해독하여 서비스 계정 비밀번호를 리버스 엔지니어링할 수 있습니다.
또한 수동으로 구성된 서비스 계정에는 '비밀번호가 만료되지 않음' 플래그가 활성화되어 있는 경우가 많습니다. 이는 오래된 네트워크에서는 서비스 계정이 오래된 보안 지침을 따르는 매우 오래된 비밀번호를 사용하기 때문에 쉽게 해독될 수 있음을 의미할 수 있습니다.
일반적인 커버로스팅 공격의 첫 번째 단계는 도메인 사용자의 계정을 탈취하는 것입니다. 해커는 이 단계에서 피싱 , 키로거 또는 기타 기술과 같은 다양한 사이버 공격 방법을 사용할 수 있습니다. 그런 다음, 해커는 이 계정을 사용하여 대상 도메인에 액세스할 수 있습니다.
해커는 네트워크에 있을 때 서비스 계정을 검색합니다. 서비스 사용자 이름(SPN)이 있는 계정을 검색함으로써 이러한 작업을 수행하는 경우가 많습니다. SPN은 커버로스 도메인의 서비스 계정에 서비스를 연결하는 고유 식별자입니다. 서비스 계정만 이 속성을 가지고 있기 때문에 SPN이 있는 계정을 열거하면 해커가 표적을 쉽게 찾을 수 있습니다. 모든 도메인 계정은 기본적으로 SPN을 열거할 수 있습니다.
해커는 PowerShell 명령과 경량 디렉터리 액세스 프로토콜(LDAP) 쿼리를 사용하여 SPN이 있는 계정을 노출시킬 수 있습니다. 또한 특수 해킹 및 침투 테스트 도구를 사용할 수 있습니다. 예를 들어 Impacket 툴킷에는 도메인의 서비스 계정 목록을 생성하는 "GetUserSPNs.py"라는 스크립트가 포함되어 있습니다.
해커는 탈취한 도메인 계정을 사용하여 표적으로 삼은 서비스에 대한 서비스 티켓을 요청합니다.
해커는 이러한 티켓을 사용하여 해당 서비스에 액세스하지 않습니다. 그럴 수도 있겠지만, 이들은 도난당했을 가능성이 있는, 낮은 수준의 사용자 계정에 대한 제한된 권한만 갖습니다. 대신 해커는 이러한 티켓을 네트워크에서 자신이 제어하는 컴퓨터로 가져옵니다.
해커는 훔친 티켓의 암호를 해독하여 서비스 계정의 암호를 검색합니다.
티켓은 서비스 계정의 비밀번호를 암호화 키로 사용하기 때문에 해커는 일반적으로 이 작업을 위해 무차별 대입 공격을 사용합니다. 이들은 서로 다른 비밀번호를 체계적으로 사용하여 암호화 키('해시')를 생성하고 이를 도난당한 티켓에 사용합니다. 암호화 키가 작동하면 키를 생성한 비밀번호가 서비스 계정의 비밀번호가 됩니다.
해커는 일반적인 암호로 구성된 단어 목록을 사용하여 암호 해독 속도를 높일 수 있습니다. 또한 다양한 도구를 사용하여 크래킹 프로세스를 자동화합니다. 가장 일반적인 커버로스팅 도구는 다음과 같습니다.
Imppacket: 침투 테스터를 위해 설계된 Python 툴킷입니다. 해커의 손에 들어가면 실제로 피해를 입힐 수 있는 몇 가지 스크립트가 포함되어 있습니다.
Rubeus: 침투 테스트를 위해 커버로스를 활용하도록 설계된 도구 세트입니다. 많은 윤리적 해킹 도구와 마찬가지로 비윤리적인 해커가 악의적인 목적으로 사용할 수 있습니다.
John the Ripper 및 Hashcat: 무차별 대입 공격을 실행할 수 있는 비밀번호 크래커입니다.
Mimikatz: 해커가 Kerberos 티켓을 추출하고 크랙하는 데 도움을 줍니다.
티켓 크래킹은 커버로스팅 프로세스에서 가장 큰 위험 신호이지만, 일반적으로 해커가 제어하는 디바이스의 대상 네트워크 외부에서 발생합니다. 조직의 보안 도구로는 이를 감지할 수 없습니다.
서비스 계정의 암호로 무장한 해커는 해당 계정에 로그인하여 권한을 사용해 민감한 리소스에 액세스하고 수평 이동 등을 수행할 수 있습니다.
예를 들어 해커가 SQL Server 서비스 계정의 비밀번호를 알아내면 해당 서버에서 호스팅되는 데이터베이스를 제어할 수 있습니다.
일반적으로 커버로스팅에는 손상된 도메인 사용자 계정이 필요하지만 보안 연구원인 Charlie Clark는 해커가 적절한 조건에서 계정을 탈취하지 않고도 서비스 티켓을 훔칠 수 있는 공격 기법을 발견했습니다.1.
사용자가 서비스 티켓을 받으려면 먼저 KDC로 인증하고 서비스 액세스를 요청할 수 있는 TGT를 받아야 합니다. Clark는 커버로스 익스플로잇 도구인 Rubeus를 사용하여 TGT 대신 서비스 티켓을 요청하도록 이 초기 인증 요청을 수정할 수 있었습니다. 이는 효과가 있었고 KDC는 서비스 티켓으로 응답했습니다.
이 방법은 제한적으로 적용할 수 있습니다. 이 기법이 작동하려면 해커가 커버로스에서 사전 인증이 필요하지 않은 계정에서 인증 요청을 보내는 것처럼 가장해야 합니다. 사전 인증이 필요한 계정(대부분의 경우)에는 Clark가 수정한 초기 인증 요청을 보내려면 사용자 자격 증명이 필요합니다. 하지만 그럼에도 불구하고 이 기법은 공격자에게 잠재적인 길을 열어줍니다.
해커들은 지난 몇 년 동안 가장 중요한 사이버 공격에 커버로스팅 기법을 사용했습니다.
2020년 SolarWinds 공격에서 러시아 국가 해커들은 맬웨어를 SolarWinds의 Orion 인프라 관리 플랫폼에 대한 합법적인 업데이트로 위장하여 유포했습니다. 해커들은 미국 국무부와 법무부를 포함한 여러 기업과 정부 기관을 침해했습니다. Mitre에 따르면 해커들은 커버로스팅을 사용하여 손상된 시스템에서 권한을 상승시켰습니다.2
마찬가지로 Akira 랜섬웨어와 관련된 해커들은 공격 범위를 확장하고 침입한 네트워크에 대한 액세스를 유지하기 위해 커버로스팅을 사용하는 경우가 많습니다. 2024년 4월 현재 Akira는 전 세계 250개 조직을 공격하여 총 4,200만 달러에 달하는 몸값을 갈취했습니다.3
골든 티켓 공격 또한 커버로스 인증 프로세스를 표적으로 삼지만 커버로스팅과는 다릅니다.
커버로스팅에서 해커는 티켓을 훔치고 크래킹하여 비밀번호를 알아내고 서비스 계정을 탈취합니다.
골든 티켓 공격의 경우, 해커는 먼저 도메인에서 관리자 수준의 권한을 얻습니다. 이렇게 하면 KDC에서 TGT를 암호화하는 데 사용하는 계정인 krbtgt 계정의 암호에 액세스할 수 있습니다. 해커는 이러한 권한을 사용하여 다른 사용자인 것처럼 가장하여 네트워크 리소스에 사실상 무제한으로 액세스할 수 있는 악성 커버로스 티켓을 만듭니다.
커버로스팅 공격은 공격자가 합법적인 계정으로 가장하는 데 많은 시간을 소비하기 때문에 발견하기 어렵습니다. 티켓 요청은 실제 요청과 섞여버리고 실제 비밀번호 크래킹은 네트워크 외부에서 이루어집니다.
하지만 조직이 공격 성공 가능성을 줄이고 진행 중인 커버로스팅을 더 효과적으로 차단하기 위해 사용할 수 있는 도구와 관행이 있습니다.
커버로스팅 공격은 도메인 계정의 제어권을 장악하기 때문에 향상된 IAM 제어 기능으로 이러한 계정을 보호하면 일부 보안 침해를 방지하는 데 도움이 될 수 있습니다.
중앙 집중식 비밀번호 관리 솔루션을 포함한 강력한 비밀번호 정책 및 관행은 해커가 비밀번호를 해독하는 것을 더 어렵게 만들 수 있습니다. 예를 들어 MITRE ATT&CK 프레임워크는 서비스 계정 비밀번호가 25자 이상으로 충분히 복잡하게 설정하며 정기적으로 변경할 것을 권장합니다.4
Active Directory에서 조직은 그룹 관리 서비스 계정을 사용할 수 있습니다. 이는 암호를 자동으로 생성, 관리하고 정기적으로 변경하는 서비스 계정으로, 관리자가 암호를 수동으로 관리할 필요가 없습니다.
적응형 또는 다중 인증(MFA)과 같은 강력한 인증도 사용자 계정을 도용으로부터 보호하는 데 도움이 될 수 있습니다. 하지만 서비스 계정에 MFA를 사용하는 것은 어렵고 비효율적인 경우가 많습니다.
권한 있는 액세스 관리 도구는 커버로스 서비스 계정 및 기타 매우 중요한 대상과 같은 권한 있는 계정의 자격 증명에 대한 추가 보안을 제공하는 데 도움이 될 수 있습니다.
서비스 계정 권한을 필요한 권한으로 제한함으로써 조직은 해커가 해당 계정을 침해하여 발생할 수 있는 피해를 최소화할 수 있습니다.
또한 서비스 계정은 비대화형 로그온으로 제한할 수 있으며 특정 서비스 및 시스템에서만 사용하도록 제한할 수 있습니다.
악의적인 티켓 요청은 종종 정상적인 티켓 요청과 섞이기도 하지만 해커는 분명한 흔적을 남기기도 합니다. 예를 들어 한 번에 여러 서비스에 대해 많은 티켓을 요청하는 계정은 커버로스팅 공격을 수행하고 있을 수 있습니다.
Windows 이벤트 뷰어 또는 보안 정보 및 이벤트 관리(SIEM) 시스템과 같은 이벤트 로그는 보안 팀이 의심스러운 활동을 탐지하는 데 도움이 될 수 있습니다. 사용자 행동 분석(UBA) 솔루션과 같이 사용자를 모니터링하는 도구는 합법적인 계정을 도용한 해커를 감지하는 데 도움이 될 수 있습니다.
보안 팀은 모니터링 툴을 정보 시스템에 맞게 조정하여 더 많은 위협 활동을 포착할 수 있습니다. 예를 들어 서비스 계정이 미리 정의된 범위를 벗어나 로그온을 시도할 때마다 알림이 트리거되고 조사가 필요하도록 도구를 구성할 수 있습니다.
많은 커버로스 인스턴스가 여전히 RC4 암호화 알고리즘을 지원합니다. 하지만 이 오래된 암호화 표준은 해커가 비교적 쉽게 뚫을 수 있습니다.
AES와 같은 더 강력한 암호화 유형을 사용하면 해커가 티켓을 크래킹하는 것이 더 어려워질 수 있습니다.
일부 조직에서는 도용을 목적으로 하는 가짜 도메인 계정인 허니토큰을 만듭니다. 해커가 허니토큰을 공격하면 보안 팀이 조치를 취할 수 있도록 자동으로 경고가 발생합니다.
허니토큰은 취약한 자격 증명과 높은 권한을 가진 것처럼 보이게 하여 실제 계정으로부터 주의를 분산시키도록 설계되었습니다.
모든 링크는 ibm.com 외부에 있습니다.
1 Clark, Charlie. New Attack Paths? As Requested Service Tickets. Semperis. 2022년 9월 27일
2 SolarWinds Compromise. MITRE ATT&CK. 2023년 4월 14일
3 StopRansomware: Akira Ransomware. Cybersecurity and Infrastructure Security Agency (CISA). 2024년 4월 18일
4 Steal or Forge Kerberos Tickets: Kerberoasting. MITRE ATT&CK. 2023년 3월 30일