반응형

오늘의 보안용어 : Kerberoasting

Kerberoasting란?

Kerberoasting이란 Active Directory 환경에서 서비스 계정(Service Account)의 Kerberos 서비스 티켓(TGS)을 탈취한 뒤, 오프라인에서 비밀번호를 크래킹하여 계정을 탈취하는 공격 기법입니다

 

Kerberos란?

Kerberos는 Windows Active Directory에서 사용하는 사용자 인증 프로토콜입니다.

사용자가 로그인하면 Kerberos가 사용자의 신원을 확인하고, 필요한 서비스에 접근할 수 있는 티켓(Ticket)을 발급합니다.

대표적인 티켓은 다음과 같습니다.

  • TGT (Ticket Granting Ticket) : 티켓을 발급받기 위한 티켓
  • TGS (Ticket Granting Service Ticket) : 특정 서비스에 접근하기 위한 티켓

Kerberoasting은 TGS를 악용하는 공격입니다.

 

공격 과정

① 일반 사용자 계정 로그인
          ↓
② 서비스 계정(SPN) 조회
          ↓
③ TGS(Service Ticket) 요청
          ↓
④ TGS 티켓 획득
          ↓
⑤ 오프라인에서 비밀번호 크래킹
          ↓
⑥ 서비스 계정 탈취
 

왜 위험할까?

서비스 계정은 다음과 같은 특징이 있습니다.

  • 비밀번호를 자주 변경하지 않음
  • 권한이 높은 경우가 많음
  • 사람이 직접 로그인하지 않는 경우가 많음

따라서 비밀번호가 유출되면 공격자는 높은 권한을 획득할 수 있습니다.


공격자가 노리는 것

예를 들어

SQL Server 서비스 계정

Backup 서비스 계정

Exchange 서비스 계정
 

이런 계정들은 관리자 수준의 권한을 가진 경우가 많아 공격 대상이 됩니다.


SOC에서 탐지 포인트

관제사는 다음과 같은 행위를 주의 깊게 봅니다.

  • 비정상적으로 많은 TGS 요청
  • 여러 SPN(Service Principal Name)에 대한 요청
  • 업무 시간 외 Kerberos 티켓 요청
  • 하나의 사용자가 다수의 서비스 티켓 요청

대응 방안

  • 서비스 계정에 강력하고 긴 비밀번호 사용
  • gMSA(Group Managed Service Account) 사용
  • 불필요한 SPN 제거
  • Kerberos 이벤트 로그 모니터링
  • 이상 징후 탐지 및 위협 헌팅 수행
반응형

+ Recent posts