Golden Ticket 공격이란 무엇인가?

Golden Ticket 공격이란 무엇인가?

공격자가 도메인의 KRBTGT 암호 해시를 탈취합니다. 곧이어, 공격자는 Kerberos 티켓을 위조하여 향후 10년간 Domain Admin 권한을 부여받습니다. 도메인 컨트롤러는 이 위조된 티켓을 완전히 신뢰하며, 합법적인 인증과 구별할 수 없습니다.

이것이 Golden Ticket 공격입니다. 공격자는 탈취한 KRBTGT 계정 암호 해시를 사용해 Ticket-Granting Ticket(TGT)을 위조하여, 표준 보안 통제를 우회하는 암호학적으로 유효한 자격 증명을 생성합니다. 티켓이 KRBTGT 계정의 장기 키로 암호화되어 있으면, KDC의 티켓 발급 서비스는 이를 진짜 사용자의 진짜 요청으로 간주합니다. 도메인 컨트롤러는 암호학적 서명이 수학적으로 동일하게 보이기 때문에 위조 티켓과 합법 티켓을 구별할 수 없습니다.

CISA는 국가 주도 공격 캠페인과 랜섬웨어 운영에서 자격 증명 탈취 및 Kerberos 기반 공격을 지속적으로 문서화하고 있으며, 이 기법은 기업이 직면한 가장 지속적인 사후 침해 공격 중 하나입니다.

공격자가 Golden Ticket 공격을 실행하기 위해서는 세 가지 전제 조건이 필요합니다: 도메인 컨트롤러 또는 동등한 권한 시스템에 대한 관리자 접근 권한, NTDS.dit 데이터베이스 또는 LSASS 프로세스 메모리에서 KRBTGT 계정 해시 추출, 도메인 FQDN, 도메인 SID, 대상 사용자 정보 수집입니다. 이 조건이 충족되면, 공격자는 네트워크 외부에서 티켓을 위조할 수 있으며 도메인 컨트롤러와의 통신이 필요하지 않습니다.

Golden Ticket과 사이버 보안의 관계

Golden Ticket 공격은 네트워크 경계 방어 및 엔드포인트 보안에 초점을 맞춘 보안 통제를 우회하는 신원 기반 공격입니다. 이는 초기 침해를 넘어 자격 증명 접근 단계로 진입한 공격자에 대응하는 것입니다.

위조된 티켓이 암호학적으로 합법적인 인증 이벤트와 동일하게 보이기 때문에 표준 보안 통제는 실패합니다. 시그니처 기반 탐지는 Golden Ticket을 식별할 수 없습니다. 다중 인증(MFA)도 이를 방어하지 못합니다. 암호 정책도 무의미해집니다. 조직은 기존 Golden Ticket을 무효화하려면 KRBTGT 암호를 두 번 재설정해야 합니다.

MITRE ATT&CK는 공식적으로 이 기법을 세 가지 전술에 동시에 분류합니다: 

• Credential Access (T1558.001),
• Lateral Movement (도메인 전체 리소스 접근 가능),
• Persistence (티켓이 수년간 유효함). 

CISA 권고문은 러시아 국가 지원 APT 공격자들이 Windows Active Directory 서버를 대상으로 권한 상승을 시도했음을 확인하며, Akira와 같은 랜섬웨어 운영은 자격 증명 추출 도구를 사용해 Kerberos 인증 인프라를 적극적으로 공격합니다.

Golden Ticket 공격을 방어하려면 공격자가 악용하는 Kerberos 구성 요소를 이해해야 합니다.

Golden Ticket 공격이 조직에 미치는 영향

Golden Ticket 공격이 성공하면 공격자는 Active Directory 환경 내 모든 리소스에 무제한 접근 권한을 얻게 됩니다. 임의의 사용자로 인증하고, 모든 시스템에 접근하며, 표준 보안 경고 없이 수개월 또는 수년간 이 접근을 유지할 수 있습니다.

도메인 전체 리소스 접근

위조된 TGT를 가진 공격자는 환경 내를 자유롭게 이동합니다. 민감한 지적 재산이 저장된 파일 서버, 비즈니스 커뮤니케이션용 이메일 시스템, 고객 기록이 저장된 데이터베이스, 백업 인프라에 접근할 수 있습니다. 보안 통제는 이를 합법적인 Kerberos 인증으로 인식하며, 비인가 접근으로 감지하지 못합니다.

지속적인 장기 접근

Golden Ticket은 백도어로 작동하여 일반적인 사고 대응 조치에도 살아남습니다. 손상된 계정의 암호를 재설정해도 효과가 없습니다. 사용자 계정을 비활성화해도 접근이 차단되지 않습니다. 위조된 티켓은 모든 도메인 컨트롤러에서 KRBTGT 암호를 두 번 재설정하는 프로토콜을 완료할 때까지 유효하게 남아 있습니다. 많은 조직이 서비스 중단 우려로 이 과정을 지연합니다.

데이터 유출 및 규제 노출

무제한 도메인 접근은 대규모 데이터 탈취를 가능하게 합니다. 공격자는 고객 데이터베이스, 재무 기록, 직원 정보, 독점 비즈니스 데이터를 체계적으로 추출할 수 있습니다. GDPR, HIPAA, 또는 PCI-DSS 적용 대상 조직의 경우, Golden Ticket 침해는 일반적으로 의무적 침해 통지 및 잠재적 규제 처벌을 유발합니다.

운영 및 복구 비용

Golden Ticket 공격 복구에는 상당한 자원이 필요합니다. 모든 도메인 컨트롤러에서 KRBTGT 암호를 두 번 재설정하고, 기존 Kerberos 티켓을 모두 폐기하며, 권한 계정 자격 증명을 재설정하고, 초기 침해 벡터를 식별하기 위한 포렌식 분석을 수행해야 하며, 경우에 따라 손상된 도메인 컨트롤러를 클린 백업에서 재구축해야 합니다. Golden Ticket 사용은 초기 배포 후 수주 또는 수개월이 지나 발견되는 경우가 많아 포렌식 조사 범위가 확대됩니다.

이러한 영향으로 Golden Ticket 공격은 가장 심각한 Active Directory 침해 중 하나입니다. 방어를 위해서는 공격의 핵심 구성 요소를 이해해야 합니다.

Golden Ticket 공격의 핵심 구성 요소

Golden Ticket 공격은 네 가지 Kerberos 구성 요소를 악용합니다: KRBTGT 서비스 계정, TGT, PAC 구조, KDC입니다.

• KRBTGT 계정: KRBTGT 계정은 도메인의 Kerberos 서비스 계정입니다. 모든 도메인 컨트롤러는 이 계정의 암호 해시로 모든 TGT를 암호화 및 서명합니다. 공격자가 이 해시를 추출하면, 도메인 내 모든 인증 티켓을 검증하는 암호 키를 소유하게 됩니다.
• Ticket-Granting Ticket (TGT): TGT는 KDC가 사용자 로그인 성공 후 발급하는 인증 자격 증명입니다. 사용자는 특정 리소스에 대한 서비스 티켓을 요청할 때 TGT를 제시합니다. 일반 TGT는 제한된 유효 기간 후 만료되지만, 위조된 Golden Ticket은 임의의 만료일을 가질 수 있습니다.
• Privilege Attribute Certificate (PAC): PAC는 Kerberos 티켓 내에 포함된 권한 데이터로, 사용자 그룹 멤버십, 권한, 접근 권한을 명시합니다. 공격자는 PAC 데이터를 위조하여 실제 계정 권한과 무관하게 Domain Admin 권한을 부여받을 수 있습니다.
• Key Distribution Center (KDC): KDC는 도메인 컨트롤러에서 실행되며, 모든 Kerberos 인증 요청을 처리하고 KRBTGT 계정 해시로 암호 서명을 검증하여 티켓을 검증합니다.

이 네 가지 구성 요소는 Golden Ticket 공격 중 특정 순서로 상호작용합니다.

Golden Ticket 위조에 사용되는 기법

공격자는 특수화된 도구와 확립된 방법론을 사용해 KRBTGT 해시를 추출하고 TGT를 위조합니다. 이러한 기법을 이해하면 공격자가 위조 과정을 완료하기 전에 자격 증명 탈취 시도를 식별할 수 있습니다.

KRBTGT 해시 추출 방법

공격자는 두 가지 주요 벡터를 통해 KRBTGT 암호 해시를 추출합니다. 첫 번째는 도메인 컨트롤러의 NTDS.dit 데이터베이스 파일을 대상으로 하며, 이 파일에는 모든 Active Directory 자격 증명이 저장됩니다. ntdsutil, secretsdump, 볼륨 섀도 복사본과 같은 도구로 오프라인 추출이 가능합니다. 두 번째 벡터는 도메인 컨트롤러의 LSASS 프로세스 메모리를 대상으로 하며, 이곳에는 자격 증명 데이터가 평문 또는 쉽게 복호화 가능한 형식으로 존재합니다.

공통 공격 도구

MITRE ATT&CK는 공격자가 Golden Ticket 공격에 사용하는 여러 도구를 문서화하고 있습니다:

• Mimikatz: KRBTGT 추출과 kerberos::golden 모듈을 통한 티켓 위조 모두 가능한 가장 널리 문서화된 도구
• Rubeus: 보안 통제 회피에 강점을 가진 C# 기반 구현체
• Impacket: TGT 생성을 위한 ticketer.py를 포함한 Python 기반 툴킷
• Sliver: Kerberos 티켓 조작 기능이 내장된 명령-제어 프레임워크

오프라인 위조 과정

KRBTGT 해시를 추출한 후, 공격자는 네트워크 외부 시스템에서 위조 티켓을 생성합니다. 도메인 SID, 대상 사용자명, 그룹 멤버십(일반적으로 Domain Admins), 임의의 유효 기간을 지정합니다. 위조 과정에는 도메인 컨트롤러와의 통신이 필요 없으므로, 공격자가 티켓을 주입하고 인증을 시작할 때까지 네트워크 모니터링에 탐지되지 않습니다.

이러한 기법을 인지하면 공격 신호를 감지하는 모니터링 전략을 수립할 수 있습니다.

Golden Ticket 공격의 지표

Golden Ticket 공격은 인증 로그, 네트워크 트래픽, 엔드포인트 텔레메트리 전반에 식별 가능한 패턴을 생성합니다. 보안팀은 정상 Kerberos 동작에서 벗어난 이상 징후를 모니터링하여 이러한 지표를 찾을 수 있습니다.

인증 로그 이상

Windows 보안 이벤트 로그는 Golden Ticket 사용을 드러내는 Kerberos 활동을 기록합니다. 이벤트 ID 4768, 4769, 4770은 TGT 요청, 서비스 티켓 요청, 티켓 갱신을 기록합니다. 비정상적으로 긴 유효 기간의 티켓, 예상치 못한 IP 주소에서의 인증 이벤트, 사용자의 일반 역할 또는 접근 패턴과 일치하지 않는 서비스 요청을 확인하십시오.

암호화 다운그레이드 신호

위조 티켓은 종종 RC4 암호화를 사용합니다. 이는 구형 공격 도구가 기본적으로 이 알고리즘을 사용하기 때문입니다. RC4가 비활성화되고 AES 암호화만 허용된 환경에서 RC4로 암호화된 Kerberos 티켓은 높은 신뢰도의 지표입니다. SIEM에서 도메인 정책이 AES만 허용할 때 RC4 사용을 경고하도록 구성하십시오.

자격 증명 접근 전조

Golden Ticket 배포에는 사전 자격 증명 탈취가 필요합니다. LSASS 프로세스 비정상 접근, NTDS.dit 파일 작업, 도메인 컨트롤러에서의 볼륨 섀도 복사본 생성, 알려진 자격 증명 추출 도구 실행 등 사전 공격 단계를 모니터링하십시오. 자격 증명 접근 시도를 탐지하면 티켓 위조만 모니터링하는 것보다 더 빠른 경고가 가능합니다.

행동 기준선 이탈

사용자는 직무에 따라 예측 가능한 리소스 집합에 인증합니다. Golden Ticket 사용은 기존 기준선에서 벗어난 인증 패턴을 만듭니다. 사용자 계정이 갑자기 평소 범위를 벗어난 시스템에 서비스 티켓을 요청하거나, 익숙하지 않은 네트워크 구간에서 인증하거나, 비정상 시간대에 민감 리소스에 접근하는 경우 즉각적인 조사가 필요합니다.

이러한 지표는 방어자가 모니터링 및 대응 역량을 구조화하는 데 참고가 됩니다.

Golden Ticket 공격의 작동 방식

Golden Ticket 공격은 사후 침해 기법으로, 공격자가 먼저 도메인 컨트롤러에 대한 관리자 접근 권한을 획득하고 KRBTGT 계정 암호 해시를 추출한 후 TGT를 위조해야 합니다.

• 1-2단계: 초기 침해 및 KRBTGT 추출: 공격자는 피싱, 취약점 악용, 자격 증명 탈취를 통해 초기 접근을 확보합니다. CISA 권고문 AA23-250a는 APT 공격자가 Zoho ManageEngine의 CVE-2022-47966을 악용하여 LSASS 메모리 덤프를 수행하고 전체 Active Directory 도메인에서 자격 증명을 수집한 사례를 문서화합니다. 공격자는 Mimikatz, Rubeus, Sliver와 같은 도구를 배포해 KRBTGT 암호 해시를 추출하고 외부 시스템으로 유출합니다.
• 3단계: 티켓 위조: 공격자는 탈취한 KRBTGT 해시, 도메인 SID, 대상 사용자 정보를 사용해 오프라인에서 위조 TGT를 생성합니다. PAC 데이터 구조에 임의의 권한(일반적으로 Domain Admins 그룹 멤버십)을 지정하고, 확장된 유효 기간을 설정하며, 탈취한 KRBTGT 해시로 티켓을 암호화합니다.
• 4-5단계: 수평 이동 및 지속적 접근: 공격자는 손상된 시스템 메모리에 위조 TGT를 주입하고 도메인 전반에 서비스 티켓을 요청합니다. KDC는 위조 TGT의 암호 서명을 검증하고 서비스 티켓을 발급합니다. 공격자는 위조 자격 증명으로 파일 서버, 데이터베이스, 이메일 인프라, 백업 시스템에 인증합니다. KRBTGT 암호를 두 번 재설정해야 하는 이유는 도메인 컨트롤러가 하위 호환성을 위해 현재 및 이전 암호 해시를 모두 유지하기 때문입니다.

이러한 공격 단계를 인지하면 모니터링 및 대응 전략을 수립할 수 있습니다.

Golden Ticket 공격 탐지 방법

Golden Ticket 공격을 탐지하려면 Kerberos 인증 패턴을 모니터링하고 보안 인프라 전반의 이상 징후를 상관 분석해야 합니다. 시그니처 기반 도구는 위조 티켓이 암호학적으로 유효하므로 식별할 수 없습니다. 탐지 전략은 행동 분석 및 인증 이상에 초점을 맞춰야 합니다.

Kerberos 이벤트에 대한 SIEM 모니터링 구성

Windows 보안 이벤트 로그는 Golden Ticket 탐지의 주요 데이터 소스입니다. SIEM에서 이벤트 ID 4768, 4769, 4770, 4771을 수집 및 분석하도록 구성하십시오. 이는 TGT 요청, 서비스 티켓 요청, 티켓 갱신, 인증 실패를 기록합니다. 도메인 정책을 초과하는 유효 기간의 티켓, 정상 사용자 패턴에서 벗어난 IP 주소의 인증 요청, 사용자 행동 기준선과 일치하지 않는 서비스 티켓 요청을 플래그하는 상관 규칙을 생성하십시오.

암호화 다운그레이드 모니터링

많은 Golden Ticket 공격 도구는 티켓 위조 시 기본적으로 RC4 암호화를 사용합니다. 환경에서 AES만 Kerberos 인증에 허용한다면, RC4로 암호화된 티켓은 위조의 높은 신뢰도 지표입니다. Kerberos 인증 이벤트에서 RC4 암호화 유형에 대한 경고를 구성하고 모든 발생을 즉시 조사하십시오.

자격 증명 접근 시도 추적

Golden Ticket 공격에는 사전 KRBTGT 해시 추출이 필요합니다. 도메인 컨트롤러에서 자격 증명 탈취 전 단계를 모니터링하십시오:

• LSASS 프로세스 메모리 비정상 접근
• NTDS.dit 데이터베이스 파일 작업 또는 추출 시도
• 시스템 상태를 대상으로 한 볼륨 섀도 복사본 생성
• Mimikatz, secretsdump 등 알려진 자격 증명 추출 도구 실행

자격 증명 탈취 시도를 탐지하면 위조 티켓 사용을 기다리는 것보다 더 빠른 경고가 가능합니다.

행동 분석 배포

각 사용자 계정에 대해 정상 리소스 접근 패턴, 근무 시간, 네트워크 위치를 기준으로 인증 기준선을 수립하십시오. 행동 분석 플랫폼은 이러한 기준선에서 벗어난 이탈(예: 사용자가 직무와 무관한 민감 시스템에 갑자기 인증하거나, 익숙하지 않은 네트워크 구간에서 접근)을 식별합니다. 개별 인증 이벤트가 합법적으로 보여도 이러한 이상은 Golden Ticket 사용을 시사할 수 있습니다.

엔드포인트 및 신원 텔레메트리 상관 분석

효과적인 탐지는 엔드포인트, 신원, 네트워크 소스의 데이터를 상관 분석해야 합니다. 도메인 컨트롤러에서의 LSASS 메모리 접근 이벤트와 이후 Kerberos 인증 이상을 연결해 자격 증명 탈취-티켓 위조 시퀀스를 식별하십시오. 신원 보안 플랫폼은 이 상관 분석을 자동화하고 공격 체인 진행을 경고할 수 있습니다.

탐지 역량은 예방 및 대응 전략에 정보를 제공합니다.

Golden Ticket 공격 예방 및 완화 방법

Golden Ticket 공격을 예방하려면 KRBTGT 계정 보호, 도메인 컨트롤러 접근 강화, 자격 증명 손상 이후에도 공격자 이동을 제한하는 통제 구현이 필요합니다.

정기적인 KRBTGT 암호 교체 시행

정기적인 KRBTGT 암호 재설정 프로토콜을 수립하십시오. Active Directory는 하위 호환성을 위해 현재 및 이전 암호 해시를 모두 유지하므로, 기존 Golden Ticket을 완전히 무효화하려면 KRBTGT 암호를 두 번 재설정해야 합니다. 위험 허용도에 따라 적절한 주기로 이 재설정을 예약하십시오. 많은 조직이 분기별로 교체를 수행합니다.

도메인 컨트롤러 접근 강화

특권 접근 워크스테이션 및 점프 서버를 통한 도메인 컨트롤러 관리자 접근을 제한하고 세션 모니터링을 시행하십시오. 도메인 컨트롤러와 직접 통신할 수 있는 시스템을 제한하는 네트워크 분할을 구현하십시오. 도메인 컨트롤러에 엔드포인트 탐지 및 대응 솔루션을 배포해 자격 증명 추출 도구 및 LSASS, NTDS.dit을 대상으로 한 의심스러운 프로세스 활동을 모니터링하십시오.

자격 증명 위생 준수

관리자용 특권 계정과 비특권 계정을 분리하십시오. Domain Admin 자격 증명은 자격 증명 탈취 위험이 높은 일반 워크스테이션에서 사용하지 않아야 합니다. 자동 만료되는 시간 제한 관리자 접근을 구현해 자격 증명 추출 가능 기간을 줄이십시오.

레거시 인증 프로토콜 비활성화

Kerberos 인증에서 RC4 암호화를 비활성화하고 도메인 전체에 AES 암호화를 적용하십시오. 이는 공격자가 RC4를 기본으로 사용하는 구형 도구를 사용할 때 높은 신뢰도의 탐지 신호를 제공합니다. 가능하다면 NTLM 등 다른 레거시 프로토콜도 비활성화해 자격 증명 탈취 공격 표면을 줄이십시오.

디셉션 기술 배포

디셉션 기반 방어는 가짜 자격 증명 캐시와 허니 계정을 생성해 공격자의 정찰 단계에서 유인합니다. 공격자가 이 미끼와 상호작용하면 즉시 침해 시도를 경고받을 수 있습니다. 이 접근법은 공격자가 KRBTGT 해시에 도달하기 전에 자격 증명 탈취 활동을 식별합니다.

사고 대응 플레이북 준비

Golden Ticket 사고 대응 절차를 문서화하고 연습하십시오. 플레이북에는 KRBTGT 두 번 재설정 프로토콜, 기존 Kerberos 티켓 폐기 절차, 특권 계정 자격 증명 재설정, 초기 침해 벡터 식별을 위한 포렌식 분석 지침이 포함되어야 합니다. 신속한 실행이 공격자 지속성을 제한합니다.

이러한 예방 통제는 탐지 역량과 함께 환경 내 Golden Ticket 위험을 줄입니다.

Golden Ticket 메커니즘 이해의 중요성

Golden Ticket 공격 메커니즘을 이해한 보안팀은 시그니처 기반 탐지에서 행동 분석 중심의 모니터링 전략으로 전환할 수 있습니다. 시그니처 기반 도구는 위조 티켓이 암호학적으로 유효하므로 실패합니다. 행동 분석은 비정상 TGT 요청, 예상치 못한 IP 주소에서의 서비스 티켓 작업, 비정상 유효 기간의 티켓 등 이상 Kerberos 인증 패턴을 식별합니다.

이해는 사고 대응 준비성도 향상시킵니다. 플레이북에는 KRBTGT 암호 두 번 재설정 프로토콜, LSASS 메모리 덤프 및 NTDS.dit 추출에 대한 포렌식 분석 절차, 도메인 전체 접근 시나리오에 대한 격리 전략이 포함되어야 합니다.

공격의 전제 조건은 보안팀에 탐지 기회를 제공합니다.

Golden Ticket 공격의 한계

공격자는 Golden Ticket 공격을 실행하기 전에 KRBTGT 계정 암호 해시를 반드시 획득해야 하므로, 방어자에게 탐지 기회를 제공합니다.

• 도메인 컨트롤러 접근 필요: 공격자는 KRBTGT 해시를 추출하기 위해 먼저 도메인 컨트롤러 또는 동등한 특권 시스템을 침해해야 합니다. 이는 자격 증명 접근 단계에서 탐지 기회를 만듭니다. 도메인 컨트롤러 접근 시도, LSASS 프로세스 조작, NTDS.dit 데이터베이스 접근 패턴을 모니터링하십시오.
• 암호학적 이상 지표: 위조 티켓은 종종 식별 가능한 특성을 보입니다. RC4가 비활성화된 환경에서의 RC4 암호화 사용은 높은 신뢰도의 신호입니다. 과도하게 긴 유효 기간, PAC 데이터 구조 누락, 예상치 못한 IP 주소에서의 인증 이벤트도 탐지 포인트입니다.
• 사후 침해 분류: Golden Ticket은 다단계 공격 체인 내 사후 침해 기법으로 작동합니다. 공격자는 네트워크 접근, 정찰, 권한 상승, KRBTGT 해시 추출을 먼저 달성해야 티켓 위조가 의미를 가집니다. 방어 전략은 Golden Ticket 사용만 모니터링하는 것이 아니라, 초기 침해 시퀀스 차단에 중점을 두어야 합니다.

이러한 제약에도 불구하고, 보안팀은 방어를 약화시키는 실수를 자주 저지릅니다.

Golden Ticket 공격 방어의 일반적 실수

보안팀은 Golden Ticket 공격 방어 시 네 가지 일반적 오류를 범합니다.

1. KRBTGT 암호 단일 재설정: KRBTGT 암호를 한 번만 재설정하고 기존 Golden Ticket이 무효화되었다고 가정합니다. Active Directory는 현재 및 이전 암호 해시를 모두 유지합니다. 단일 재설정은 이전 해시를 유효하게 남겨두므로, 공격자의 위조 티켓이 계속 작동합니다. 반드시 KRBTGT 암호를 두 번 재설정해야 위조 티켓을 완전히 무효화할 수 있습니다.
2. 시그니처 기반 탐지 의존: 시그니처 기반 보안 통제를 배포해 패턴 매칭으로 Golden Ticket 공격을 탐지하려고 합니다. 보안 도구는 유효한 KRBTGT 키로 암호화된 경우 위조 티켓과 합법 티켓을 암호학적으로 구별할 수 없습니다. 대신 이상 Kerberos 패턴을 모니터링하는 행동 분석이 필요합니다.
3. 불충분한 이벤트 로그 보존: Windows 보안 이벤트 로그 보존 기간이 부족해 Golden Ticket 포렌식에 필요한 장기 조사 타임라인을 놓칩니다. 공격자는 KRBTGT 해시 추출과 실제 악용 사이에 대기할 수 있습니다. 보안팀은 초기 침해와 이후 티켓 사용을 상관 분석할 수 있도록 장기 로그 보존이 필요합니다.
4. 사전 공격 단계 무시: Golden Ticket 사용 식별에만 집중하고, 반드시 선행되어야 하는 자격 증명 탈취 단계를 무시합니다. CISA 권고문 AA23-250a는 APT 공격자가 관리자 접근을 얻기 전에 LSASS 메모리 덤프를 수행한 사례를 문서화합니다. LSASS 프로세스 비정상 상호작용, 알려진 자격 증명 추출 도구 실행을 모니터링해 자격 증명 추출 단계를 탐지하십시오.

이러한 실수를 피하려면 증거 기반 보안 통제를 구현해야 합니다.

Golden Ticket 공격 보호를 위한 모범 사례

Golden Ticket 공격 방어는 KRBTGT 계정 관리, Kerberos 인증 모니터링, 신속한 사고 대응에 중점을 둔 보안 통제 구현이 필요합니다.

• KRBTGT 계정 암호 두 번 재설정: 두 번 재설정 프로토콜에 따라 정기적인 KRBTGT 암호 재설정 일정을 수립하십시오. Active Directory는 하위 호환성을 위해 현재 및 이전 KRBTGT 암호 해시를 모두 유지하므로, 단일 재설정으로는 기존 Golden Ticket이 무효화되지 않습니다. 두 번째 재설정만이 모든 위조 티켓을 완전히 무효화합니다.
• Kerberos 모니터링을 위한 SIEM 구성: Security Information and Event Management(SIEM) 시스템을 구성해 Windows 이벤트 ID 4768, 4769, 4770, 4771에서 이상 패턴을 탐지하십시오. 모니터링은 다음을 플래그해야 합니다:

1. AES만 허용된 환경에서의 RC4 암호화 사용
2. 비정상 유효 기간의 티켓
3. 예상치 못한 IP 주소에서의 인증 이벤트
4. 사용자 역할 기준선과 일치하지 않는 서비스 요청

이상 파일 접근과 비정상 Kerberos 서비스 티켓 요청을 상관 분석하십시오. 신원 보안 플랫폼인 Singularity Identity는 실시간으로 자격 증명 탈취 및 권한 상승 시도를 탐지해 공격자가 Active Directory 인프라를 표적으로 삼을 때 경고합니다.

• 도메인 컨트롤러 접근 보호: 특권 접근 관리 통제를 구현해 도메인 컨트롤러 관리자 접근을 전용 점프 박스로 제한하고 세션 모니터링을 시행하십시오. 도메인 컨트롤러에 엔드포인트 탐지 및 대응(EDR) 솔루션을 배포해 자격 증명 덤프 도구를 모니터링하십시오.
• 행동 분석 배포: Kerberos 티켓 위조 또는 재생 시도를 식별하는 분석을 배포해 이상 인증 시퀀스를 모니터링하십시오. Singularity XDR은 인증 이상과 엔드포인트 이벤트를 상관 분석해 Golden Ticket 공격 체인을 재구성합니다.
• 장기 로그 보존 유지: Windows 보안 이벤트 로그 보존 기간을 연장해 전체 공격 체인에 대한 포렌식 조사가 가능하도록 하십시오. Kerberos 인증 로그를 SIEM 플랫폼에 중앙 집중화하고 인증 이상에 대한 상관 규칙을 적용하십시오.

이러한 통제를 수동으로 구현하려면 상당한 자원이 필요합니다. 보안 플랫폼은 이 작업의 많은 부분을 자동화할 수 있습니다.

SentinelOne으로 Golden Ticket 공격 차단

SentinelOne의 Singularity™ Platform은 환경 전반에서 Golden Ticket 공격을 식별하는 데 필요한 행동 분석 및 자동 상관 분석 기능을 제공합니다.

Singularity™ XDR은 2024년 MITRE ATT&CK 평가에서 모든 벤더 중 88% 더 적은 경고를 기록하면서 100% 탐지 정확도를 달성했습니다. 이를 통해 보안팀은 오탐 조사 대신 실제 위협에 집중할 수 있습니다. 플랫폼의 Storyline 기술은 LSASS 메모리 접근 이벤트와 이후 Kerberos 인증 이상을 연결해 자격 증명 탈취-티켓 위조 시퀀스를 머신 속도로 재구성합니다.

Singularity™ Identity는 하이브리드 환경(Active Directory 및 클라우드 신원 제공자 - Entra ID, Okta, Ping, SecureAuth, Duo 포함) 전반을 방어합니다. 플랫폼은 자격 증명 탈취 시도를 탐지하고, 수평 이동을 차단하며, 디셉션 기술로 공격자를 AD 인프라에서 벗어나게 유도하고 조사용 텔레메트리를 생성합니다.

Purple AI는 자연어 쿼리와 AI 기반 분석으로 위협 헌팅을 가속화합니다. 잠재적 Golden Ticket 활동 조사 시, Purple AI는 여러 이벤트의 인증 지표를 상관 분석해 오탐을 줄이고 조사를 신속하게 진행합니다.

SentinelOne Wayfinder Managed Detection and Response는 24/7/365 상시 운영되는 관리형 서비스로, 사내 전문가가 자동 탐지에 인간적 맥락을 더합니다. 분석가는 심층 포렌식 및 효과적인 사고 대응을 수행할 수 있습니다. MDR Elite는 통합 사고 대응 준비성을 제공하며, 고압 상황에 대비할 수 있도록 지원합니다. IRR 리테이너 및 온디맨드 DFIR 전문가에 접근할 수 있습니다.

SentinelOne Singularity™ Network Discovery는 네트워크 탐지 및 네트워크 내 불법 장치를 식별할 수 있습니다. 탐지 후 위협을 식별, 격리, 차단하며 수평 이동을 방지합니다. Network Discovery는 관리되지 않는 장치를 탐지하고 원클릭으로 격리할 수 있습니다. 또한 미확인 장치가 관리 호스트와 어떻게 통신하는지 모니터링합니다. 정책을 구축하고, 서브넷 단위로 전환할 수 있습니다.

SentinelOne Cloud Workload Security는 클라우드 인스턴스(AWS, Azure, Google Cloud) 및 Kubernetes 컨테이너를 보호합니다. 이는 도메인 가입 하이브리드 인프라를 통해 클라우드 환경으로 확장될 수 있는 Golden Ticket 공격 방어에 필수적입니다.

SentinelOne의 행동 기반 AI 엔진(정적 및 런타임)은 자격 증명 탈취를 차단하고, 티켓 위조 발생 전 비정상 인증 패턴을 탐지해 공격을 킬체인 초기에 차단할 수 있습니다.

SentinelOne 데모 요청을 통해 이러한 기능이 환경 내 Golden Ticket 공격을 어떻게 차단하는지 확인하십시오.