당신의 AD 는안녕하십니까? AD(Active Directory) 관리자계정탈취를통한기업내부망장악사례와대응방안 본사고노트의전부나일부를인용시반드시 [ 자료 : 한국인터넷진흥원 ] 을명시하여주시기바랍니다.

Transcription

1 당신의 AD 는안녕하십니까? AD(Active Directory) 관리자계정탈취를통한기업내부망장악사례와대응방안 본사고노트의전부나일부를인용시반드시 [ 자료 : 한국인터넷진흥원 ] 을명시하여주시기바랍니다.

2 1. 개요 최근, 윈도우기반의 Active Directory( 이하 AD) 체계를이용하여 IT 서비스를운영하는기업이해킹된사례가다수확인된다. AD는다수의윈도우시스템 (PC, 서버 ) 을중앙에서관리 ( 계정정책변경, 시스템접근권한, 시스템정보수집등 ) 하기위해사용되는효율적인체계이지만, 시스템관리권한이중앙으로집중된다는점에서보안이각별히요구된다. 기업이 AD 체계를운영할때가장보안에신경써야할영역은 AD 관리자계정탈취에대한위험성 관리 와 Domain controller( 이하 DC) 서버내부침투에대한위험성관리 이다. 한국인터넷진흥원 (KISA) 은 AD 관리자계정이탈취되어 DC 서버등기업시스템전체가장악되고, 결국내부정보유출및랜섬웨어감염으로이어지는사고를대응하였다. 본사고노트에서는 AD 체계를이용하는기업의해킹사례를토대로공격자들이사용하는공격기법과 방어자들이숙지해야할대응방법을소개한다. 2. 사고의시작 작년 11월경, KISA는해킹경유지로악용된서버를분석하는과정에서특정기업 ( 이하 A 社 ) 내부정보가다량유출된사실을확인하였다. 유출된정보는기업내부시스템이악성코드에감염 ( 추정시점 : `18년 11월 7일 ~ 11월 19일 ) 되어해킹경유지로수집된것이었다. 사고를인지한후 KISA는 A 社의사고원인분석및재발방지를위한대응을진행하였다. < 그림 1, 해킹경유지에서발견된 A 社감염정보 > A 社는국내중견제조기업으로다수의동남아국가및국내공장에서생산된제품을미국과유럽, 일본으로 수출하는글로벌기업으로내부에서다수의시스템 (PC, 서버등 ) 을운영중이며, 메일서버등을포함한 윈도우기반의사내모든 PC 는중앙관리체계 AD( 단일도메인 ) 에연동되어운영중이었다. KISA 는해킹경유지등공격자 IP 를사내방화벽에서긴급차단하여추가정보유출을방지하고, 주요공격자정보 * 를활용하여피해범위식별, 시스템內악성코드제거등긴급조치를우선진행하였다. * 악성코드샘플 ( 백신탐지업데이트 ), 감염시발생되는시스템특징 ( 레지스트리, 생성폴더및파일등 ) - 1 -

3 3. 사고분석내용피해원인식별및재발방지대책수립을위해진행된사고분석과정에서공격자들의전략과공격과정에서남는흔적을분석하였다. o 분석대상 : DC 서버등을포함한감염시스템다수및방화벽로그아래는 KISA 의 A 社사고분석내용이다. 전체공격흐름도 < A 社 ( 제조업 ) Attack Life Cycle ( 기간 : 이전 ~11.23, 약 2 주 ) > < 그림 2, 해킹공격흐름에따른흔적 (TTPs) > 사고개요도 < 그림 3, 해킹사고개요도 > - 2 -

4 AD(Active Directory) 운영환경 o 사내시스템은단일도메인의 DC 서버 (Win 2008 Server) 에연동되어운영 주요공격기법 o ( 최초침투 2018년 11월 7일이전 ) - 공격자는 A 社업무연동서버에로컬관리자계정 (Administrator) 으로접속 A 社는사고발생 3개월전, 해외지사와의업무연동을목적으로윈도우기반 (2012) 의 채널링테스트서버 를구축하였으며, 원활한데이터연동테스트등을위해 IP 접근제어설정없이원격데스크탑서비스를운영 < 그림 4, 최초외부로그인흔적 > o ( 거점확보 2018년 11월 7일 ( 수 )) - 내부공격거점구축을위해 1 패스워드탈취도구사용 2 악성코드 2종설치 3 기존계정을수정한백도어 계정생성 파일명및경로 내 용 ( 생성일자 ) 1 c:\hp\auto64.exe(mimikatz) 계정패스워드를탈취하여, 특정파일에저장 (16:31:35) 2 c:\windows\svchost.exe 외부로키로깅파일전송, 명령다운 실행등 (17:44:04) 3 c:\windows\rdpclip.exe 외부로파일전송, 명령어실행등 (17:46:37) 4 백도어계정 (Guest) 수정 관리자, RDP 사용자그룹 (17:50:48) < 표1, 공격거점악용을위한공격자행위 > - 3 -

5 < 그림 5, 패스워드탈취툴 (mimikatz) 실행흔적 ( 레지스트리분석 ) > < 그림 6, 자동실행에등록된악성코드 2 종 ( 레지스트리분석 ) > < 그림 7, 명령조종지에서발견된피해 ( 거점 ) 시스템의키로깅파일 > < 그림 8, 백도어계정 (Guest) 수정및로그인시간 ( 레지스트리및이벤트로그분석 ) > - 4 -

6 o ( 내부정찰 2018년 11월 8일 ( 목 )) - 네트워크스캔을통해시스템및네트워크환경 (AD) 확인 * 사설 ( ) 및공인망을대상으로네트워크스캔 ( 일반, 정밀 ) [ 일반스캔 ] 명령어기반의 TCP 스캐너이용 ( 배치파일로실행 ) 파일명및경로기능 1 C:\compaq\hpdiags\s\winlogon.exe TCP Port Scanner V1.2 2 C:\compaq\hpdiags\s\b.bat 전쟁의신 VIP 전용 (TCP Port Scanner와결합 ) 3 C:\compaq\hpdiags\s\ip.txt 스캔 IP 대역설정파일 4 C:\compaq\hpdiags\s\error1.txt; Onerror.txt 스캔결과값 < 표2, 일반스캔도구 > < 그림 9, 일반스캔도구및결과파일생성일시 > < 그림 10, TCP Port Scanner 를이용한스캔 배치파일 (b.bat) > < 그림 11, 스캔결과값 > [ 정밀스캔 ] Famatech 社 GUI 기반의스캐너 (Advanced IP Scanner) 이용파일명및경로기능 C:\compaq\hpdiags\service manager.exe NetBios, 시스템정보 (OS, MAC), Radmin( 원격접속툴 ) 등스캔 < 표3, 정밀스캔도구 > - 5 -

7 < 그림 12, 정밀스캔도구및결과파일생성일시 > < 그림 13, 스캔결과 (p.xml) 값 2,046 회수행 > o ( 내부침투 2018 년 11 월 9 일 ( 금 ) ~ 11 월 12 일 ( 월 )) - `17 년보안패치가발표된 SMB 취약점 (MS17-010) 을악용하여, 일부관리되지않은시스템에백도어 (netuser) 계정생성 파일명및경로 기능 1 C:\hp\share\log\hpcond\Eternalblue.bat SMB 취약점실행배치파일 2 C:\hp\share\log\hpcond\Eternalblue exe SMB 취약점공격도구 3 C:\hp\share\log\hpcond\Doublepulsar exe 성공시, 실행되는백도어계정생성런쳐 3-1 C:\hp\share\log\hpcond\storage\smb_x86.dll 백도어계정 (netuser) 생성코드 (32비트) 3-2 C:\hp\share\log\hpcond\storage\smb_x64.dll 백도어계정 (netuser) 생성코드 (64비트) < 표4, SMB 취약점공격에이용된도구 > < 그림 14, SMB 취약점배치파일 (eternalblue.bat) 내용 > - 6 -

8 user Netuser System1234! /add & net localgroup Administrators Netuser /add & net localgroup "remote desktop users" Netuser /add < 그림 15, smb_x##.dll 악성파일內계정생성 (netuser) 부분 > < 그림 16, 공격성공로그 > < 그림 17, 공격실패로그 > o ( 계정탈취및내부전파 2018 년 11 월 12 일 ( 월 ) ~ 11 월 23 일 ( 금 )) - AD 관리자계정 을이용하여악성코드전파 악성코드전파방법 1 ( 공격지 ) 원격관리유틸리티 (psexec.exe) 를이용하여, 피해시스템명령어셸실행 해석 : victim IP 에 AD 관리자계정등으로접속후, 시스템계정권한으로 cmd 셸실행 2 ( 피해시스템 ) 악성코드 (remotro.jpg, a.bat 등 ) 를특정폴더에복사 - 7 -

9 3 ( 피해시스템 ) 악성코드 (remotro.jpg) 를시스템디렉토리에파일명변경 (svchost.exe) 후복사, 특정서비스명 (TERMINEL) 으로자동실행등록 < 그림 18, 악성코드전파방법 > o ( 정보유출및랜섬감염 2018 년 11 월 7 일 ~ 11 월 23 일 ) - AD 서버등을포함한다수의내부주요시스템이악성코드감염및기업정보등이공격지로유출 < 그림 19, 악성코드에감염된시스템 (` ~11.18) > - 8 -

10 < 그림 20, 명령조종지통신내역 ( 방화벽로그 ) > < 그림 21, 거점피해서버에서他감염시스템접속흔적 레지스트리분석 > - 정보유출후주요서버의특정파티션 (D 드라이브 ) 을암호화시켜가상화폐요구 - 9 -

11 4. 대응방안 이번사고사례의경우에서볼수있듯이, AD domain controller의관리자계정이탈취되면모든하위시스템들이랜섬웨어감염이나정보유출위험에노출될수있다. AD시스템을안전하게운영하기위해서는 Microsoft 社의보안가이드에대한심층적인이해및다양한통제구현이필요하지만, 이번사례에서는간략히계정관리, 접근통제와모니터링측면으로나누어살펴본다. 4.1 계정관리강화 특권관리자계정구분사용 AD domain controller에서사용되는 AD관리자계정은반드시전용계정을별도로관리하여일반업무용 AD계정과는분리하여사용한다. 또한관리자전용계정은공용계정이아닌개인별로각각발급하여사용함으로써, 장애발생시나인력변동시에도특권권한관리자 (Privileged administrator) 계정소유자를빠르게식별하여삭제하거나변경할수있어야한다. 추가적으로평소관리자계정을사용하지않는기간에는계정을비활성하고필요한경우만활성화하여사용한다면혹시라도인증정보 (Credential) 가유출된경우에도침해시도를예방할수있다 인증정보 (Credential) 주기관리관리자계정만해당되는대책은아니지만, 정기적인비밀번호갱신주기는반드시모든사용자및관리자계정에적용되어야한다. 의도치않게문서파일또는침해사고등으로인증정보가유출된경우에해당비밀번호가만료되지않는다면오랜기간동안큰위험이계속잔존하는상태가된다. 비밀번호갱신정책에는최근에사용한비밀번호들을재사용할수없는제약조건도고려되어야한다. 4.2 접근통제보안강화 특권권한관리자단말보호 Domain controller관리를위한관리자용단말은인터넷과격리된망분리환경으로구성되어야한다. 물리적인망분리구성이어렵다면, 가상머신소프트웨어또는윈도우 10에내장된가상머신을활용하여, Host OS는인터넷을차단하고, Host OS에설치된가상머신을통해 AD 접속용 OS와인터넷접속용 OS를분리하여사용한다 접속경로통제강화 AD 서버들은반드시사전에등록 인증된시스템에서만관리자접속을허용해야한다. 특히윈도우단말이나시스템관리중에 AD서버접속이필요하다고해서작업중이던 PC 또는서버에서 AD서버에관리자계정으로접속하면관리자인증정보가유출될위험이있다. 4.3 이상징후탐지및대응강화 중요시스템의가시성확보 AD, DB 서버등 Domain 에속한중요시스템의중앙화된로그수집및모니터링이필요하다. 이러한중앙 로그수집및관리를통해시스템내의로그가삭제, 비정상적인로그인발생이나서비스가설치된경우 침해사고발생징후로간주해원인분석및대응이가능하도록구성해야한다

12 4.3.2 특권관리자인증이벤트통보 AD 관리자의로그온인증이벤트는매우중요한보안모니터링대상이다. 따라서관리자인증및로그온이벤트가발생하면, 계정소유자와보안팀에이메일이나문자 / 메신저메세지를통해알리도록통보시스템을구현한다. 이러한통보체계를통해관리자본인이시도하지않은로그온이벤트를인지할수있고, 보안팀에서도비정상적인지역또는비업무시간대의로그온시도를탐지할수있다. 일반적인경우에는 SIEM(Security Information and Event Management) 시스템이나통합로그관리시스템을통해로그온이벤트를통보한다. 하지만간단한파워쉘이나상용도구를활용해도구현할수있다. 5. 결론 이번사고를대응하면서최초피해서버의사고시점은 2018년 11월 7일이전으로판단되나, 이전시스템로그가존재하지않아주요사고원인이된로컬관리자계정탈취부분을확인하지못한점이사고분석가입장에서가장아쉬우며, 한국인터넷진흥원은이런점을보완하기위해 19년 1월 10일인터넷보호나라를통해기업의보안담당자를위한로그설정노트를배포중이다. 자료위치 : 보호나라 ( 가이드및매뉴얼 41번( 한눈에보는로그설정노트 (3종)) 또한피해기관의 AD 관리자계정이일반서버의휴지통에서발견되고, 수년동안변경되지않았던점등으로 미루어, 관리되고있지않은 AD 관리자계정이해커에게노출될시한기업에얼마나큰피해를발생 시킬수있는지확인할수있는지사고사례였다. AD 환경에서의랜섬웨어전파등 AD 환경을노린유사유형의해킹공격은지속적으로증가하고있어, 기업내보안담당자들은본사고사례의대응방안등을참고하여내부시스템의이상유무점검을확인하길 바란다