도메인 환경에서 EDR을 활용한 내부 정찰 단계 탐지

공격자는 초기 침투 과정을 거쳐 코인 마이너나 랜섬웨어를 설치하여 수익을 얻을 수 있지만 백도어 또는 RAT 악성코드를 설치하여 먼저 감염 시스템에 대한 제어를 획득하는 경우가 많다. 인포스틸러 악성코드는 시스템에 존재하는 사용자의 정보들을 탈취하는 것이 목적이지만 이후 공격자가 탈취한 정보를 기반으로 이후 시스템에 대한 제어를 획득하여 최종적으로 코인 마이너나 랜섬웨어를 설치하는 목적으로 사용되는 경우도 있다.

만약 공격 대상이 하나의 특정 시스템에 국한된다면 상관없겠지만 기업이나 기관 내에 존재하는 환경으로 확인된 경우 공격자는 해당 시스템이 포함된 전체 인프라를 공격하려고 시도하는 경우가 있다. 조직의 인프라가 액티브 디렉터리(Active Directory)를 사용하는 환경이고 감염 시스템이 해당 네트워크에 포함되어 있을 경우, 공격자는 악성코드 및 여러 도구들을 이용해 해당 도메인 전체를 장악할 수 있다.

여기에서는 공격자가 액티브 디렉터리 환경에 속한 시스템을 장악한 이후 내부 네트워크를 정찰하여 정보를 수집하는 일반적인 과정을 다룬다. 이러한 과정에 성공할 경우 공격자는 자격 증명 정보를 탈취하고 탈취한 정보를 이용해 측면 이동 과정을 거쳐 도메인 환경을 장악할 것이다. 그리고 최종적으로는 네트워크에 연결된 전체 시스템에 랜섬웨어를 유포하거나 기업의 내부 정보를 탈취하여 수익을 얻는다.

이러한 내부 정찰 단계에서는 시스템 관리에 사용되는 정상 도구들이 사용되는 경우가 많다. 이에 따라 AntiVirus 같은 기존의 제품들로는 탐지에 한계가 존재하며 EDR을 활용해 의심스러운 행위를 모니터링하고 대응할 필요가 있다.

AhnLab EDR (Endpoint Detection and Response)은 국내 유일의 행위 기반 분석 엔진을 기반으로 엔드포인트 영역에 대해 강력한 위협 모니터링과 분석, 대응 역량을 제공하는 차세대 엔드포인트 위협 탐지 및 대응 솔루션이다. AhnLab EDR은 의심스러운 행위에 관한 유형별 정보를 상시 수집해 탐지 및 분석, 대응 관점에서 사용자가 위협을 정확하게 인식할 수 있는 기능을 제공하며 이를 통해 종합적인 분석을 통해 원인 파악과 적절한 대응, 재발 방지 프로세스를 수립할 수 있다.

1. 개요

디렉터리 서비스는 컴퓨터 네트워크의 사용자와 자원에 대한 정보를 통합하여 저장하고 관리하는 서비스이며, 윈도우에 구현된 디렉터리 서비스를 액티브 디렉터리라고 한다. 도메인은 AD의 기본 단위이며 해당 도메인에서 인증이나 권한 설정과 같은 관리를 담당하는 서버를 도메인 컨트롤러(Domain Controller)라고 한다. 즉 특정 도메인의 도메인 컨트롤러는 해당 도메인 전체에 대한 실질적인 관리를 담당하기 때문에 공격자가 DC에 대한 제어를 획득할 경우 전체 도메인에 대한 제어를 획득하게 된다.

로컬 환경과 유사하게 도메인 환경에서도 관리자 그룹이 존재하며 Domain Admins 그룹에 속한 계정은 도메인에 대한 제어 권한을 가지고 있다. 공격자의 목표는 Domain Admins 그룹에 포함된 계정의 자격 증명 정보를 탈취하는 것인데, Domain Admins 그룹의 계정이 도메인 컨트롤러에 원격으로 접근이 가능하여 최종적으로 도메인에 대한 다양한 제어를 수행할 수 있기 때문이다. 물론 Domain Admins 그룹에 속하는 계정 외에도 유사한 권한을 갖는 그룹이 존재할 수 있으며 이는 관리자의 설정에 따라 다르다.

공격자가 도메인 환경에서 도메인 관리자 계정을 탈취하기 위해서는 먼저 도메인의 구조를 파악할 필요가 있다. 이를 위해 윈도우에서 기본적으로 제공되는 net 명령이나 파워쉘 명령들을 사용할 수 있지만 대부분의 공격자들은 침투 테스트 도구들을 활용하고 있다. 일반적으로 공격자들은 네트워크 조사를 위한 포트 스캐너라든지, AD 환경에 대한 다양한 정보들을 제공해 주는 AdFind, PowerView 그리고 BloodHound와 같은 도구들을 주로 사용한다.

2. 포트 스캐닝

포트 스캐닝은 특정 네트워크 즉 공격 대상 도메인에 대한 정보를 획득하는 대표적인 방식으로 현재 활성화된 시스템 및 포트 번호 즉 동작 중인 서비스의 정보를 획득할 수 있다. 공격자는 네트워크를 탐색하기 위한 목적으로 포트 스캐닝 공격을 수행하며 이를 통해 서브넷 정보, 호스트 정보 등 네트워크의 구조를 확인한다. 코발트 스트라이크는 포트 스캐닝 기능을 기본적으로 제공하기 때문에 다음과 같은 간단한 명령으로 포트 스캐닝 공격을 수행할 수 있다.

코발트 스트라이크는 기업이나 기관의 네트워크 및 시스템에 대한 보안 취약점을 점검하기 위한 목적으로 사용 가능한 도구이다. 이에 따라 포트 스캐닝과 같은 내부 정찰 단계뿐만 아니라 권한 상승, 측면 이동, 명령 제어 등 침투 테스트 단계별로 다양한 기능들을 지원한다. 하지만 이를 사용하지 않는 공격자라면 다른 포트 스캐너 도구들을 이용해 감염 시스템이 포함된 네트워크를 조사할 것이다.

Advanced Port Scanner는 GlobeImposter, MedusaLocker [2], Crysis, Venus 등 외부에 노출된 원격 데스크탑 서비스를 공격 대상으로 하는 랜섬웨어 공격자들이 자주 사용하는 도구이다. 비록 다양한 공격에서 사용되고 있지만 관리자가 조직의 네트워크를 점검하는 목적으로도 사용 가능한 도구이기 때문에 AntiVirus 제품으로 이러한 도구들을 완벽하게 차단하는 데에는 한계가 존재한다.

AhnLab EDR은 Advanced Port Scanner와 같은 포트 스캐너 도구를 이용해 조직의 네트워크를 스캐닝 하는 행위에 대해 다음과 같이 위협으로 탐지하여 관리자가 이를 인지할 수 있도록 도와준다.

3. net & 파워쉘 명령

Net 명령은 윈도우에서 기본적으로 제공되는 명령으로서 주로 네트워크 자원 관리와 관련된 작업에 사용된다. 비록 기본 명령이긴 하지만 컴퓨터의 사용자나 네트워크 구조 정보를 조회하는데 유용하며 액티브 디렉터리 환경에서도 네트워크에 속한 시스템이나 사용자들에 대한 정보를 제공해 주기도 한다.

이에 따라 공격자들은 감염 시스템에 대한 제어를 탈취한 이후 net 명령을 사용해 감염 시스템이 포함된 네트워크에 대한 기본적인 정보들을 수집하는 경향이 있다. 다음 명령들은 액티브 디렉터리 환경을 대상으로 하는 실제 공격 사례에서 사용된 대표적인 net 명령들이다.

> net time > net user > net group /domain > net group /domain “Domain Admins” > net group /domain “Enterprise Admins” > net group /domain “Domain Computers” > net group /domain “Domain Controllers” > net localgroup Administrators

AhnLab EDR은 의심스러운 net 명령을 주요 행위로 탐지하여 관리자가 이를 인지하고 원인 파악과 적절한 대응을 진행할 수 있도록 지원한다.

공격자는 윈도우에서 기본적으로 지원하는 net 명령을 이용하기도 하지만 파워쉘을 활용하기도 한다. 예를 들어 다음 파워쉘 명령들은 net 명령과 유사하게 실제 공격에서 사용되었다. [3] [4]

> Get-ADDomain > Get-ADComputer -Filter {enabled -eq $true} -properties *|select DNSHostName, IPv4Address, OperatingSystem, LastLogonDate > Get-ADDomainController

4. PowerView

PowerView는 PowerSploit 프로젝트에도 포함된 도구로서 윈도우 도메인 환경에서 다양한 정보를 수집해서 보여준다. 대표적으로 사용자나 그룹, 컴퓨터와 같은 액티브 디렉터리 객체들에 대한 정보들과 네트워크 공유 정보들이 있으며 이러한 정보들을 통해 공격자는 도메인 환경의 구조를 파악하고 권한 상승을 위해 공격해야 할 대상을 식별할 수 있다.

위에서 다룬 net 명령이나 기본 파워쉘 명령들보다 훨씬 다양한 기능들을 제공하기 때문에 특히 윈도우 도메인 관련 정보를 보여주는 기능들이 많아 액티브 디렉터리 환경에 대한 공격에 자주 사용된다.

예를 들어 Get-Domain(또는 Get-NetDomain) 명령은 현재 도메인의 기본적인 정보들을 보여주며 Get-DomainUser(또는 Get-NetUser) 명령은 현재 도메인에 존재하는 사용자들과 각 사용자들에 대한 정보들을 그리고 Get-DomainGroup(또는 Get-NetGroup) 명령은 현재 도메인의 그룹 정보들을 반환한다. 이외에도 Get-DomainComputer(또는 Get-NetComputer) 명령을 이용해 현재 도메인에 속해있는 로컬 시스템들의 정보를 획득할 수 있다.

과거 IcedID 뱅킹 악성코드를 유포한 공격자는 감염 시스템에 코발트 스트라이크를 설치한 이후 다음과 같은 PowerView 명령들을 이용해 도메인 정보를 획득하였다. [5]

> Get-Domain > Get-DomainUser > Get-DomainComputer -OperatingSystem server -Properties dnshostname > Get-DomainComputer -Properties dnshostname -Ping > Get-DomainController > Get-PSDrive

5. AdFind

AdFind는 현재 네트워크 상의 액티브 디렉터리 정보를 수집해 주는 커맨드 라인 형태의 도구이다. 앞에서 다룬 PowerView와 유사하게 도메인 컨트롤, 서브넷 목록, 도메인에 존재하는 컴퓨터 / 사용자 / 그룹 정보, 현재 시스템이 속한 액티브 디렉터리 정보 등을 수집하는 데 사용된다. 공격자는 AdFind의 결과를 활용해 도메인 환경의 구조를 파악하고 측면 이동을 위한 공격 대상을 식별할 수 있다.

과거 Ryuk 랜섬웨어 공격자는 Batch 파일 “adf.bat”를 이용해 다음과 같은 AdFind 명령들을 실행하였다. 위의 IcedID 사례에서는 PowerVIew를 사용하였지만 Ryuk 랜섬웨어 공격자는 관리자가 조직의 도메인 환경을 점검하는 목적으로도 사용 가능한 도구인 AdFind를 사용함으로써 도메인 정보를 더 은밀하게 수집하였다. [6]

> AdFind.exe -gcb -sc trustdmp > AdFind.exe -sc trustdmp > AdFind.exe -f “objectcategory=computer” > AdFind.exe -f “(objectcategory=person)” > AdFind.exe -f “(objectcategory=group)” > AdFind.exe -f “(objectcategory=organizationalUnit)” > AdFind.exe -subnets -f (objectCategory=subnet) > AdFind.exe -f objectcategory=computer -csv name cn dNSHostName

AdFind는 정상적인 목적으로도 사용 가능한 도구이기 때문에 AntiVirus 제품으로 이를 차단하는 데에는 한계가 존재한다. AhnLab EDR은 AdFind를 이용해 조직의 액티브 디렉터리 정보를 수집하는 행위에 대해 다음과 같이 위협으로 탐지하여 관리자가 이를 인지할 수 있도록 도와준다.

6. BloodHound

BloodHound는 액티브 디렉터리 도메인 관련 정보를 수집하여 권한 상승을 위한 공격 경로를 찾는데 사용된다. GUI 기반으로 모델링 한 결과를 보여주는데 공격자가 도메인 내에서 도메인 관리자 권한을 얻기 위한 최소 경로를 그래프 형태로 시각화하여 보여준다.

BloodHound의 SharpHound는 도메인 환경에서 정보를 수집하는 도구로서 공격자는 도메인 내의 특정 시스템에서 이를 실행하여 정보를 수집한다. SharpHound는 실행 파일 포맷 즉 “SharpHound.exe”와 파워쉘 스크립트 포맷의 “SharpHound.ps1”을 지원한다. 수집되는 정보로는 트러스트 관계, 그룹 정책 설정, 액티브 디렉터리 객체들에 대한 정보들이 있다.

수집한 정보는 zip 압축 파일 형태이며 공격자는 이후 BloodHound가 구축된 시스템으로 이 파일을 가져와 BloodHound로 이를 분석하여 아래와 같이 다양한 정보들을 시각화하여 보여준다.

AhnLab EDR은 BloodHound의 SharpHound.exe 실행 파일 및 SharpHound.ps 파워쉘 스크립트를 이용해 조직의 액티브 디렉터리 정보를 수집하는 행위에 대해 다음과 같이 위협으로 탐지하여 관리자가 이를 인지할 수 있도록 도와준다.

7. 결론

액티브 디렉터리를 사용하는 조직의 도메인 환경에 침입한 공격자는 다양한 도구들을 이용해 액티브 디렉터리 관련 정보를 획득할 수 있다. 공격자는 PowerView, AdFind와 같은 도구들을 이용해 도메인의 기본적인 정보들을 수집하고 포트 스캐너를 이용해 공격 대상을 확인하고 이후 측면 이동 과정을 진행할 것이다. 측면 이동 과정의 최종적인 목적은 도메인 관리자 권한을 얻어 도메인 환경 전체를 장악하는 것이며 BloodHound는 이를 위한 최적의 경로를 구하는데 사용된다.

내부 정찰 단계에서는 PowerView, BloodHound와 같은 도구들뿐만 아니라 정상적인 목적으로 사용되는 net 명령어, AdFind, 포트 스캐너와 같은 관리 도구들이 활용된다. 이에 따라 내부 정찰 단계에서 이루어지는 공격자의 정보 수집 행위들은 AntiVirus 같은 기존 보안 제품들을 이용해 탐지하거나 차단하는데 한계가 존재한다. AhnLab EDR은 악성코드뿐만 아니라 일반적인 관리 목적으로 사용 가능한 도구들을 탐지하여 관리자가 원인을 파악하고 적절한 대응 및 재발 방지 프로세스를 수립할 수 있도록 도와준다.

행위 진단
– Execution/EDR.Behavior.M10741
– Suspicious/DETECT.T1018.M2919
– LateralMovement/EDR.PowerView.M4055
– LateralMovement/EDR.ADFind.M10710
– Execution/DETECT.Scripting.M4091
– Execution/EDR.SharpHound.M11547