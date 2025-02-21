시간이 지남에 따라 최신 방어 솔루션으로 인해 Active Directory(AD) 환경의 표적 및 대규모 열거가 모두 점점 더 많이 탐지되고 있습니다. 지난 여름 X-Force Red에서 인턴십을 하면서 FalconForce의 SoapHound가 Active Directory 환경을 열거하는 용도로 인기를 얻고 있다는 사실을 알게 되었습니다. 이 도구는 과거의 다른 AD 열거 도구와 달리 LDAP(Lightweight Directory Access Protocol)를 통해 직접 수집하는 대신 ADWS(Active Directory Web Services)를 통해 수집을 수행하여 Active Directory 열거에 새로운 관점을 도입했습니다. 우리는 이 기술의 사용 사례를 확장하는 데 관심이 있었고, 결국 Python으로 작성된 휴대용 라이브러리와 SoaPy라는 라이브러리를 활용하기 위한 사용자 지정 도구를 개발하여 Linux 호스트에서 ADWS와의 상호 작용을 간소화할 수 있었습니다.
ADWS는 포트 9389의 Active Directory 도메인 컨트롤러(DC)에서 기본적으로 활성화되며 ADAC(Active Directory Administrative Center) 및 PowerShell 내의 Active Directory 모듈과 같은 다양한 Microsoft 시스템 관리 도구에서 활용됩니다. 클라이언트는 XML 형식의 SOAP(Simple Object Access Protocol) 메시지를 사용하여 ADWS와 통신합니다. 이러한 메시지는 웹 서비스에서 구문 분석된 다음 도메인 컨트롤러의 로컬 LDAP 서비스와 상호 작용합니다. 이를 통해 LDAP 서비스 자체에 직접 바인딩할 필요 없이 쿼리 사용자에게 할당된 AD 권한을 사용하여 일반적인 AD 상호 작용(개체에 대한 읽기 및 쓰기 모두 포함)을 수행할 수 있습니다. 또한 연결이 로컬 ADWS 서비스에서 LDAP로 전달되면 이 메커니즘을 사용하여 수행된 모든 상호 작용은 Windows 이벤트 로그 내에서 자체적으로 연결되는 로컬 도메인 컨트롤러로 표시됩니다.
ADWS에는 웹 서비스 엔드포인트를 통해 노출되는 프로토콜 모음이 있습니다. 각 엔드포인트에는 고유하게 식별되는 고유 리소스 식별자(URI)가 있으며 그 앞에는 "net.tcp" 바인딩 유형이 붙습니다. 상호 작용을 위해 두 가지 인증 메커니즘이 지원됩니다. NNS(.NET NegoterateStream 프로토콜)라는 Windows 네이티브 프로토콜을 사용하기 위한 "Windows 통합" 인증과 TLS(전송 계층 보안)를 통한 인증에 사용되는 "사용자 이름/비밀번호" 메커니즘이 포함됩니다. 엔드포인트마다 ADWS와 다른 기능을 제공합니다. 예를 들어, "열거" 엔드포인트는 LDAP 데이터를 쿼리하고 읽는 데 사용할 수 있으며, "리소스" 엔드포인트는 LDAP 데이터를 쓰는 데 사용할 수 있습니다. 웹 서비스 엔드포인트의 전체 목록은 아래와 같습니다.
라이브러리를 만들기 전에는 RSAT(원격 서버 관리 도구)와 같은 Microsoft에서 구축한 도구와 .NET을 사용하여 만든 도구를 활용해야만 ADWS와 상호 작용할 수 있었기 때문에 기본적으로 프로토콜 사용이 Windows 호스트로 제한되었습니다. Linux 호스트에서 이 서비스와 상호 작용할 수 있으면 보안 전문가에게 Active Directory 상호 작용을 위한 추가 옵션을 제공할 수 있습니다.
이러한 차이로 인해 Linux 호스트에서 ADWS를 통해 LDAP와 상호 작용하는 도구인 SoapY를 만들게 되었습니다. ADWS와 상호 작용하는 데 사용되는 기본 프로토콜이 아직 Python에서 구현되지 않았기 때문에 이 도구를 만드는 데 극복해야 할 다양한 과제가 있었습니다. 이러한 프로토콜에 대한 문서가 상대적으로 부족하여 문제가 더욱 복잡해졌고, 소스 코드 분석과 패킷 캡처 검사를 통해 프로토콜을 리버스 엔지니어링해야 했습니다.
ADWS를 통해 성공적으로 통신하기 위해 Python 에 구현한 기술로는 NNS(.NET NegotiateStream 프로토콜), NMF(.NET 메시지 프레임 프로토콜) 및 NBFSE(.NET 이진 형식: SOAP 확장)가 있습니다. 이러한 구현과 나머지 도구의 총 코드 라인은 약 5,000줄에 달합니다. ADWS를 통해 LDAP와 상호 작용하는 데 필요한 비교적 모호한 프로토콜 계층이 많기 때문에 ADWS를 통해 간단한 쿼리를 수행하기까지 몇 달의 작업이 필요했습니다.
우리 팀이 ADWS와 상호 작용하기 위해 엔지니어링해야 했던 첫 번째 프로토콜 계층은 NMF였으며, 이 프로토콜의 사양은 여기에서 확인할 수 있습니다. 이 프로토콜은 메시지를 프레이밍하는 방법을 정의하며 주로 SOAP 메시지의 프레이밍에 사용됩니다. NMF에는 세션을 설정하는 데 사용되는 초기 핸드셰이크가 포함되며, 클라이언트에서 전송되는 첫 번째 메시지는 NMF 프리앰블 메시지입니다. 이 메시지에는 동작 모드(ADWS의 경우 항상 듀플렉스 모드), 서버에서 상호작용할 지정된 ADWS 웹 엔드포인트를 설정할 수 있도록 해주는 via 레코드, 그리고 마지막으로 데이터 전송에 사용할 인코딩 형식이 포함됩니다. 이러한 메시지의 구조를 보여주는 코드 예제는 그림 4에 나와 있습니다. 지원되는 유일한 인코딩 형식은 NBFSE이며, 이에 대해서는 나중에 설명합니다. 아래에서 볼 수 있듯이, via 레코드의 형식은 항상 "net.tcp://"로 시작하며, 그 뒤에 대상 서버의 호스트 이름, ADWS 서비스용 포트, 그리고 마지막으로 지정된 웹 엔드포인트가 이어집니다. LDAP에서 데이터를 요청할 때 "열거" 엔드포인트를 사용하려고 합니다.
NMF 프리앰블 메시지에 이어 클라이언트는 NMF 업그레이드 요청 메시지(0x9)를 전송하여 NNS 인증을 사용하여 세션을 업그레이드하고 NNS 핸드셰이크를 시작할 수 있는 권한을 요청합니다. 서버가 이 요청을 허용하면 NMF 업그레이드 응답 메시지(0xA)로 응답합니다.
NNS는 일반 보안 서비스 애플리케이션 프로그램 인터페이스(GSS-API) 데이터에 대한 프레임을 제공하는 기능을 하며, 단순 및 보호 GSS-API 협상(SPNEGO)을 활용하여 NTLM 또는 Kerberos 인증 프로토콜을 사용할지 여부를 협상합니다. 또한 NNS는 NTLM 또는 Kerberos를 통한 인증을 위한 프레이밍도 제공합니다. NNS에 대한 사양은 여기에서 확인할 수 있습니다. 아래 예는 NNS를 통한 NTLM을 사용한 인증에 중점을 둡니다.
다음으로 클라이언트는 인증 프로세스를 시작하기 위해 NNS 핸드셰이크를 전송합니다. 여기에는 특히 Impacket의 SPNEGO 라이브러리를 사용하여 생성하는 인증 토큰이 포함된 인증 페이로드가 포함됩니다.
그런 다음 서버는 NNS NTLMSSP_Challenge 메시지를 다시 보냅니다. 이 메시지에는 NTLMSSP_AUTH를 인증 요청 응답으로 작성하여 인증을 위해 서버로 다시 보내는 데 사용되는 챌린지가 포함됩니다. 인증에 성공하면 서버는 인증 상태를 나타내는 최종 NNS 핸드셰이크 메시지(0x15)를 다시 보냅니다. 주목할 만한 점은 서버 측에서 메시지 서명이 필요하기 때문에 ADWS가 NTLM 릴레이 공격에 취약하지 않다는 사실을 빠르게 알게 되었다는 점입니다.
NMF 연결이 NNS로 성공적으로 업그레이드되고 클라이언트가 서버에 인증되면 클라이언트는 NMF 프리앰블 종료 메시지(0xC)를 서버에 전송하여 프리앰블이 완료되었음을 알립니다. 서버는 NMF 프리앰블 확인 메시지(0xB)로 응답하여 프리앰블이 완료되었으며 클라이언트가 이제 데이터를 보낼 수 있음을 확인합니다.
앞서 언급했듯이 서버로 전송되는 데이터는 여기 사양에 정의된 대로 NBFSE 형식으로 구조화해야 합니다. NBFSE는 NMF를 통해 전송할 SOAP 데이터를 인코딩하거나 직렬화하는 데 사용됩니다. NBFSE는 NBFS(.NET 바이너리 형식: SOAP 데이터 구조)의 확장으로, 그 자체가 NBFX(.NET 바이너리 형식: XML 데이터 구조)의 확장이므로 세 가지 XML 형식 지정 사양을 모두 구현해야 합니다. NBFSE는 데이터 감소 절차에 대역 내 사전을 사용하도록 요구하지만, 빈 대역 내 사전으로 메시지를 전송하면 이 요구 사항을 우회할 수 있다는 사실을 발견했습니다.
NBFSE를 구현한 후에는 클라이언트가 인증 프로세스를 완료한 후 ADWS와 상호 작용하는 방식을 이해하는 데 중점을 두었습니다. 원래는 LDAP를 쿼리하려고 했기 때문에 구현한 첫 번째 데이터 메시지는 ADWS 열거 메시지였습니다. 이 메시지에는 서버에서 로컬 LDAP 서비스를 쿼리하는 데 사용해야 하는 LDAP 쿼리와 각 개체에 대해 반환되어야 하는 LDAP 속성 목록이 포함되어 있습니다. 또한 각 열거 메시지는 "열거" 작업과 "열거" 엔드포인트를 정의합니다. 이 시점부터의 각 메시지는 전체 SOAP 데이터 메시지이며, 예를 들어 열거 메시지는 아래와 같습니다.
열거 메시지를 수신하면 서버는 세션 문자열이 포함된 메시지로 응답하는데, 이 문자열을 UUID(범용 고유 식별자) 형식의 열거 컨텍스트라고 합니다. 그런 다음 이 열거 컨텍스트를 풀 메시지에서 사용하여 서버에서 LDAP 결과를 가져올 수 있습니다. 아래에는 "풀"이라는 적절한 작업과 열거 컨텍스트 정의를 포함하는 풀 메시지가 표시됩니다.
이 메시지가 서버로 전송되면 서버는 SOAP 형식의 LDAP 정보로 응답하고, 수신 클라이언트는 이 정보를 추가로 파싱할 수 있습니다.
클라이언트와 서버 간의 전체 메시지 상호 작용은 아래와 같습니다.
SoaPy는이러한 기본 프로토콜 라이브러리를 사용하여 원격 ADWS 인스턴스에 대한 LDAP 정찰 및 수정 작업을 수행하기 위해 저희가 만든 Python 도구입니다. 여기에는 "servicePrincipalName" 속성 세트가 있는 계정 열거, 제약 위임 및 비제약 위임으로 구성된 계정 식별 등 일반적인 AD 정찰 작업에 사용되는 사전 구축된 쿼리 모음이 포함되어 있습니다. 또한 SoaPy에는 운영자가 선택한 사용자 지정 쿼리에 대한 플래그와 리소스 기반 제한 위임(RBCD)을 악용하기 위해 LDAP 개체의 "msDs-AllowedToActOnBehalfOfOtherIdentity" 특성에 쓰는 옵션이 포함되어 있습니다.
이 프로젝트의 원래 목표는 Imppacket 제품군과 효과적으로 오버레이할 수 있는 도구를 만드는 것이었기 때문에 일반적인 Imppacket 예제 스크립트 사용 규칙의 대부분은 SoaPy에도 적용됩니다. Impacket 제품군을 활용하면 NTLM 및 커버로스와 같이 잘 문서화된 Active Directory 인증 프로토콜과의 상호 작용이 매우 쉬워졌지만, 현재 Impacket 프로젝트는 NNS, NMF 등을 지원하지 않았기 때문에 SoaPy에서 구현한 추가 프로토콜로 프로젝트를 확장했습니다.
예를 들어, SoaPy는 "-spns" 플래그를 전달하여 "servicePrincipalName" 속성이 설정된 사용자 계정을 검색하는 데 사용할 수 있습니다.
위의 데모에서는 "mssql_svc" 사용자라는 단일 결과가 반환됩니다. 현재는 반환된 개체에 대해 속성의 기본 하위 집합만 표시되지만 앞으로는 연산자가 쿼리에서 반환할 특정 속성을 사용자 지정할 수 있도록 할 예정입니다.
SoaPy는 https://github.com/xforcered/SoaPy에 있는 공식 IBM X-Force Red GitHub 페이지에서 오픈 소스 툴로 제공됩니다.
프로토콜에 대한 정보를 수집하는 것으로 확인된 유일한 로깅 메커니즘은 WCF(Windows Communication Foundation) 로깅(ADWS 서비스 구성 파일을 통해 활성화됨)과 .NET 로깅이었기 때문에 이러한 프로토콜을 다시 만들기 위해 ADWS에서 로그를 수집하는 것이 어려웠습니다. 대부분의 개발 프로세스는 PowerShell의 Active Directory 모듈에서 생성된 네트워크 트래픽을 관찰하고, WCF 로깅을 검토하고, 프로토콜 스택의 각 프로토콜 사양을 읽는 방식으로 수행되었습니다.
WCF 로깅은 "C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe.config"를 수정하여 활성화할 수 있습니다. 구성에 대한 자세한 내용은 Microsoft 공식 문서에 자세히 설명되어 있습니다.
LDAP 로깅은 Active Directory 환경에서 LDAP 상호 작용의 세부 정보에 대한 추가 정보를 수집하는 데 사용되는 열거 탐지 방법입니다. 로깅에서 반환되는 중요한 정보에는 쿼리를 시작한 클라이언트 주소, 쿼리가 시작된 컴퓨터, 사용된 LDAP 필터 문자열, 반환을 위해 선택한 속성, 마지막으로 LDAP 서버 인증에 사용된 사용자 컨텍스트 등이 있습니다.
예를 들어, 다음 스크린샷은 SoaPy로 Active Directory 열거를 수행한 후 LDAP 로깅이 활성화된 Windows 이벤트 뷰어의 스크린샷입니다.
LDAP 로깅 활성화에 대한 자세한 내용은 여기에서 확인할 수 있습니다.
SoaPy에서 열거를 탐지할 때 일반적인 LDAP 정찰 탐지 방법이 계속 적용됩니다. 클라이언트가 LDAP 서비스와 직접 상호 작용하지는 않지만 ADWS의 상호 작용으로 인해 유용한 모든 것이 모호해지는 것은 아닙니다. LDAP 필터, 속성 선택, 인증을 제공한 원래 사용자 계정 등 악의적인 지표는 여전히 ADWS에서 LDAP 서비스로 전달됩니다. 위 스크린샷은 Kerberoastable 계정을 열거하는 데 사용되는 일반적인 의심스러운 LDAP 쿼리를 보여줍니다. 이전에 구현된 LDAP 탐지는 이 이벤트에서 계속 트리거되지만, ADWS에 대해 쿼리가 수행되었기 때문에 로그에 로컬 도메인 컨트롤러의 소스 컴퓨터가 표시됩니다. 또한 로그에는 "도메인 사용자" 그룹의 권한이 낮은 사용자가 ADWS를 통한 간접 LDAP 액세스로 인해 DC에서 쿼리를 수행한 것으로 표시되는데, 이는 DC 액세스에 필요한 권한을 고려할 때 다른 시나리오에서는 드문 경우입니다. 또한, 시스템 액세스 제어 목록(SACL) 카나리아는 SoaPy를 사용하는 동안 특정 개체에 대한 액세스를 로깅하여 방어자에게 의심스러운 활동을 신속하게 알려주는 데 여전히 효과적입니다.
SoaPy에서 열거를 탐지하는 것은 직접 LDAP 열거를 탐지하는 것과 유사하지만, 사고 대응 절차의 일부로 열거의 소스를 찾을 때 추가적인 복잡성이 발생합니다. 이는 이벤트의 시작 컴퓨터와 IP 주소가 항상 DC이기 때문입니다. 잠재적인 열거 소스를 찾는 한 가지 방법은 열거를 수행하는 사용자와 환경의 활성 세션의 상관관계를 파악하는 것입니다. 이후 악용 기능을 운영하는 데 사용되는 사용자 컨텍스트가 열거를 수행하는 사용자 컨텍스트와 동일한 경우 효과적일 수 있지만, 항상 완전히 효과적인 접근 방식은 아닙니다. 이는 트래픽을 환경으로 프록시하고 도난당한 자격 증명을 사용하여 인증을 제공하는 데 악용 후 기능이 사용될 수 있기 때문입니다.
이러한 고려사항을 고려할 때, LDAP 기반 정찰의 일반적인 경고는 여전히 환경 내 이상 행동을 방어자에게 효과적으로 알릴 수 있으며, 쿼리를 수행하는 사용자 객체에 대한 견고한 침해 지표(IOC)를 제공할 수 있습니다. 그러나 작업의 소스 호스트를 결정하기 위해 추가 검토가 필요할 수 있습니다.
코드베이스를 유지 관리하고 지속적으로 개선하는 동시에 세분화된 속성 수집, 사용자 지정 속성 작성 및 ADCS 인증서 열거를 위한 추가 옵션을 포함하여 새로운 기능과 삶의 질 개선을 추가할 계획입니다. 기본 라이브러리와 SoaPy를 GitHub 풀 요청 형태로 Imppacket에 통합하는 것은 여전히 우리의 목표입니다. 우리가 알기로는 이러한 프로토콜과 상호 작용하기 위한 Python 코드가 이전에는 존재하지 않았기 때문에 NNS, NMF 등과 상호 작용하기 위한 백엔드 상호작용은 향후 이러한 프로토콜을 활용하는 다른 서비스와 상호 작용하려는 툴 개발자에게 유용할 것으로 생각됩니다.
ADWS(Active Directory Web Services)는 Windows Server 2008부터 도메인 컨트롤러에서 기본적으로 활성화되는 서비스로, LDAP와 상호 작용하여 사용자를 대신하여 쿼리를 수행하고 쿼리를 프록시할 수 있습니다. 이전에는 Linux 호스트를 통해 ADWS와의 상호 작용이 불가능하다는 사실을 알게 되었고, 이에 따라 SoaPy를 만들게 되었습니다. SoaPy는 개발 과정에서 어려움을 겪었고, Microsoft 사양의 도움 없이 맞춤형 프로토콜 구현을 만들어야 했습니다. 또한 SoaPy는 LDAP 서비스와 직접 상호 작용하는 대신 훨씬 더 은밀한 LDAP 열거 방식이라는 점에서 자체적인 탐지 고려 사항이 있습니다.
SoaPy가 Linux 호스트 또는 상호 작용에 필요한 기본 프로토콜을 활용하는 모든 서비스를 통해 ADWS와 상호 작용할 수 있는 기반을 마련하기를 바랍니다. 코드를 Imppacket에 병합하여 코드를 널리 보급하고 액세스할 수 있도록 하는 동시에 커뮤니티가 프로젝트를 추가 개발을 위한 도약점으로 사용하도록 유도하는 것이 주요 목표입니다.