Kerberoasting은 Active Directory 내 서비스 계정을 노리는 공격 기법입니다. 본 가이드는 Kerberoasting의 작동 방식, 잠재적 영향 및 효과적인 방어 전략을 살펴봅니다.
서비스 계정 모니터링과 강력한 암호 정책 구현의 중요성을 알아보세요. Kerberoasting을 이해하는 것은 조직이 Active Directory 환경을 보호하는 데 필수적입니다.
Kerberoasting 공격이란 무엇일까요? Kerberoasting은 Windows 네트워크에서 사용자와 장치를 안전하게 인증하기 위해 일반적으로 사용되는 Kerberos 인증 프로토콜을 표적으로 하는 사이버 공격입니다. Kerberoasting 공격에서 공격자는 특수 도구를 사용하여 네트워크에서 암호화된 Kerberos 티켓을 추출한 후, 암호화를 해독하여 민감한 정보나 네트워크 리소스에 접근하려고 시도합니다.
Kerberoasting 공격과 그 작동 방식을 자세히 살펴보기 전에, 서비스 계정의 아키텍처를 이해해야 합니다.
- 서비스 계정 암호는 동일한 길이를 가지며 만료되지 않습니다.
- 대부분의 서비스 계정은 높은 권한을 가지며, AD에 대한 전체 관리자 권한을 제공하는 도메인 관리자(Domain Admins)와 같은 고특권 그룹의 구성원인 경우가 많습니다.
- 서비스 계정 비밀번호를 해독하면 공격자는 Kerberos 메커니즘을 악용하여 전체 AD 도메인을 침해할 수 있습니다.
Kerberos 인증 프로토콜이란 무엇인가요?
Kerberos는 Windows 네트워크에서 사용자 및 장치를 안전하게 인증하기 위해 일반적으로 사용되는 인증 프로토콜입니다. Kerberos 프로토콜은 네트워크를 통해 평문 비밀번호를 전송하지 않고도 티켓을 사용하여 사용자 및 장치를 안전하게 인증합니다. 이러한 티켓은 사용자와 인증 서버 간에 공유된 비밀 키를 사용하여 암호화됩니다. Kerberoasting 공격에서 공격자는 네트워크에서 이러한 암호화된 티켓을 추출한 후, 무차별 대입 공격이나 사전 기반 공격을 통해 암호화를 해독하고 티켓이 부여하는 민감한 정보나 리소스에 접근하려고 시도할 수 있습니다.
Kerberoasting은 서비스 티켓을 악용하여 자격 증명을 훔치는 것을 포함합니다. Singularity XDR를 통한 고급 위협 탐지에 대해 자세히 알아보세요.Singularity XDR.
Kerberoasting 공격이 만연한 이유는 무엇일까요?
Kerberoasting 공격은 탐지 및 방지가 어려울 수 있기 때문에 만연합니다. Kerberos 프로토콜은 안전하고 효율적으로 설계되었지만, 인증 과정에서 티켓을 암호화 및 복호화하는 데 사용되는 비밀 키의 기밀성에 의존합니다. 공격자가 이러한 비밀 키를 획득하면 이를 이용해 티켓을 추출하고 복호화할 수 있으며, 이를 통해 민감한 정보나 네트워크 리소스에 접근할 수 있습니다.
또한 Kerberos 프로토콜은 기업 네트워크에서 흔히 사용됩니다. 이는 Windows 네트워크를 공격자에게 특히 매력적인 표적으로 만듭니다. 기업 네트워크에 대한 성공적인 Kerberoasting 공격은 공격자에게 다량의 민감한 자원과 정보에 대한 접근 권한을 제공할 수 있기 때문입니다.또한 공격자는 인증 서버나 표적 네트워크 리소스와 직접 상호작용할 필요 없이 원격으로 공격을 수행할 수 있습니다. 이로 인해 방어자가 공격이 성공하기 전에 이를 식별하고 차단하기가 어렵습니다. 종합적으로 이러한 요소들의 조합으로 인해 Kerberoasting 공격은 널리 퍼져 있으며, 안전한 인증을 위해 Kerberos 프로토콜에 의존하는 조직에 잠재적으로 큰 피해를 줄 수 있습니다.
Kerberoasting 공격의 작동 방식
1. 계정 인증
Kerberoasting 공격에서 공격자는 먼저 Kerberos 인증 서비스로부터 서비스 티켓을 요청할 수 있는 권한을 획득합니다. 이는 적절한 권한을 가진 합법적 사용자의 계정을 해킹함으로써 가능합니다. 공격자는 티켓이 부여하는 네트워크 리소스에 대한 접근 권한을 획득하는 데 성공하면, 해당 티켓이 속한 사용자나 장치의 실제 비밀번호를 알 필요 없이 접근할 수 있습니다.p>
Kerberoasting 기법은 대상 시스템에 패킷을 전혀 전송하지 않고 일반 사용자로서 AD에서 서비스 계정 자격 증명을 추출하는 효과적인 방법입니다.
2. Kerberos 서비스 티켓
Kerberoasting 공격에서 공격자는 Kerberos 인증 서비스로부터 다량의 서비스 티켓을 획득한 후, 이 티켓들을 사용하여 해당 티켓과 연관된 계정의 암호를 해독하려고 시도합니다. 이 기법에서 공격자는 유효한 Kerberos 티켓 부여 티켓(TGT)을 악용하거나 네트워크 트래픽을 스니핑하여 무차별 대입(Brute Force) 공격에 취약할 수 있는 티켓 부여 서비스(TGS) 티켓을 획득할 수 있습니다.
3. 암호 해독
공격자는 적절한 권한을 가진 합법적인 사용자의 계정을 사용하여 Kerberos 인증 서비스에 서비스 티켓을 요청함으로써 이를 획득할 수 있습니다. 공격자가 서비스 티켓을 획득하면, 해당 티켓과 연관된 비밀번호를 해독하기 위해 특수 도구를 사용할 수 있습니다. 공격자는 취약한 서비스 계정 비밀번호를 오프라인에서 해독하기 위해 다음과 같은 과정을 사용합니다.
4. 권한 상승 공격
공격이 성공하면 공격자는 서비스 티켓과 연결된 계정에 접근할 수 있게 되어, 민감한 정보에 대한 무단 접근 권한을 획득하거나 기타 악의적인 활동을 수행할 수 있습니다. 이는 Kerberos 인증 프로토콜을 사용하는 조직에 심각한 보안 위협이 될 수 있습니다. 첫 번째 단계는 서비스 주체 이름(SPN)을 발견하는 것입니다. (SPN)을 발견하는 것입니다. 공격자는 Active Directory PowerShell 모듈을 사용하여 특정 유형의 모든 SPN을 쉽게 찾을 수 있습니다. 공격자가 스캔하는 데 가장 유용한 SPN 유형은 "SQL"입니다. 예를 들어, 아래에 표시된 Get-ADObject cmdlet은 Active Directory에 등록된 모든 SQL 서버를 발견합니다.
"get-adobject -filter {serviceprincipalname -like "*sql*"} -prop serviceprincipalname"
아래 그림에서 볼 수 있듯이, 공격자는 유효한 도메인 사용자의 인증 티켓 (TGT)를 제시하여 도메인 컨트롤러(DC)로부터 임의의 서비스 주체 이름(SPN)에 대한 하나 이상의 Kerberos 티켓 부여 서비스(TGS) 티켓을 요청합니다. 공격자는 NTLM 암호 해시가 이 암호화 유형과 광범위하게 사용됨에 따라 Microsoft의 Kerberos RC4 암호화(RC4_HMAC_MD5)에 대한 레거시 지원을 악용합니다. TGS 티켓을 요청할 때 공격자는 RC4 암호화를 사용하도록 강요할 수 있습니다.
대상 서버를 식별한 후, 공격자는 서비스 계정과 관련된 SPN 목록을 얻습니다. 이 서비스 계정을 사용하여 도메인 컨트롤러(DC)로부터 Kerberos TGS 서비스 티켓을 요청할 수 있습니다.
"Add-Type -AssemblyName System.IdentityModel"
"New-Object System.IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList "<MSSQLSvc/HOST:PORT>""
참고: 오픈소스 도구 Mimikatz RC4 암호화 유형을 사용합니다.
클라이언트가 티켓을 수신하면 공격자는 관리자 권한 없이도 사용자의 메모리에서 모든 Kerberos 서비스 티켓을 파일로 내보낼 수 있습니다.
전반적으로 Kerberoasting 공격에 일반적으로 사용되는 단계는 다음과 같습니다:
- 공격자는 Kerberos 인증 서비스로부터 서비스 티켓을 요청하는 데 필요한 권한을 획득합니다. 이는 적절한 권한을 가진 정상 사용자의 계정을 탈취함으로써 수행될 수 있습니다.
- 공격자는 탈취한 계정을 사용하여 Kerberos 인증 서비스로부터 대량의 서비스 티켓을 요청합니다.
- Kerberos 인증 서비스는 요청된 서비스 티켓을 공격자에게 발급합니다.
- 공격자는 특수 도구를 사용하여 서비스 티켓과 연관된 비밀번호를 해독합니다.
- 비밀번호가 해독되면 공격자는 서비스 티켓과 연관된 계정에 접근할 수 있게 됩니다.
- 이제 공격자는 해킹된 계정을 이용해 민감한 정보에 무단 접근하거나 다른 악의적인 활동을 수행할 수 있습니다.
- 공격자는 이 과정을 반복하여 추가 서비스 티켓을 획득하고, 해당 티켓과 연결된 비밀번호를 해독하여 더 많은 계정에 접근합니다.
- 공격자는 침해된 계정을 사용하여 네트워크 접근을 확대하고, 네트워크 내 횡방향 이동이나 악성코드 배포와 같은 고급 공격을 수행할 수 있습니다.
Kerberoasting 공격 사례
- Wocao 작전 동안 위협 행위자들은 PowerSploit의 Invoke-Kerberoast 모듈을 사용하여 암호화된 서비스 티켓을 요청하고 오프라인에서 Windows 서비스 계정의 암호를 무차별 대입 공격했습니다. 이러한 서비스 티켓은 네트워크 내 다른 시스템에서 관련 서비스 계정으로 인증하는 데 사용될 수 있습니다. 위협 행위자들은 이후 무차별 대입 공격을 통해 이러한 서비스 계정의 비밀번호를 추측하려 시도했는데, 해당 비밀번호는 종종 취약하거나 여러 계정에서 공유되는 경우가 많습니다. 서비스 계정 비밀번호를 해독함으로써 위협 행위자들은 네트워크 내 민감한 시스템 및 데이터에 접근할 수 있었습니다.
- 솔로게이트 백도어 사건에서 APT29 위협 행위자들은 오프라인에서 해독하기 위해 액티브 디렉터리 서비스 주체 이름(SPN)에 대한 티켓 부여 서비스(TGS) 티켓을 획득했습니다.
솔로게이트 백도어 사건은 정부 기관 및 기술 기업을 포함한 다양한 조직을 표적으로 한 사이버 공격이었습니다. APT29 그룹으로 추정되는 공격자들은 "Solorigate"라는 정교한 백도어를 사용하여 피해자의 네트워크에 접근했습니다. 네트워크에 접근했습니다. 공격자들이 사용한 전술 중 하나는 Kerberoasting이었습니다. 서비스 계정의 암호를 해독함으로써 공격자들은 네트워크 내 민감한 시스템과 데이터에 접근할 수 있습니다.
- 또 다른 사건에서는 FIN7 위협 그룹이 자격 증명 접근을 위해 Kerberoasting을 사용했으며 네트워크를 통해 측면 이동을 수행했습니다.
Kerberoasting 공격 탐지 및 방지 전략
아이덴티티 보안
Identity Security는 Active Directory와 같은 ID 인프라를 표적으로 하는 공격을 탐지하는 새로운 기능입니다. 이 솔루션은 Active Directory 내에서 공격에 취약한 ID 설정을 탐지하고, 잠재적인 Kerberoasting 공격을 거의 실시간으로 탐지할 수 있습니다.
Kerberoasting 공격을 방지하는 또 다른 방법은 모든 계정에 강력하고 고유한 암호를 사용하는 것입니다. 이를 통해 공격자가 획득한 서비스 티켓과 연관된 비밀번호를 해독하기가 더 어려워집니다.
또한, 사용자가 계정에 로그인할 때 추가적인 인증 양식을 제공해야 하는 다중 요소 인증과 같은 보안 조치를 사용하십시오. 이를 통해 공격자가 서비스 티켓을 획득하고 암호를 해독하더라도 계정에 접근하는 것을 방지할 수 있습니다.또한 조직은 Kerberoasting 공격을 탐지하고 방지하기 위한 도구와 기술을 활용할 수 있습니다. 예를 들어, 네트워크 모니터링 도구를 사용하여 Kerberos 인증 프로토콜과 관련된 비정상적인 활동을 감지하고, 침입 탐지 시스템을 통해 잠재적 공격에 대한 경고를 받을 수 있습니다.
전반적으로 강력한 비밀번호, 2단계 인증 및 보안 기술을 조합하면 Kerberoasting 공격을 방지하고 민감한 정보에 대한 무단 접근을 차단하는 데 도움이 될 수 있습니다.
위협 헌팅
Kerberoasting 공격의 맥락에서 위협 헌팅을 활용하여 Kerberos 인증 서비스로부터 서비스 티켓을 요청하는 데 사용되는 사용자 계정의 초기 침해를 식별하고 방지할 수 있습니다. 이는 공격자가 서비스 티켓을 획득하고 공격을 실행하는 것을 막는 데 도움이 됩니다.&
또한 위협 헌팅은 Kerberos 인증 프로토콜과 관련된 비정상적인 활동을 탐지할 수 있습니다. 예를 들어, 대량의 서비스 티켓 요청이나 해당 티켓과 연관된 비밀번호 해킹 시도 등이 포함됩니다. 이를 통해 진행 중인 Kerberoasting 공격을 식별하고 방어하기 위한 적절한 조치를 취할 수 있습니다.
위협 헌팅 팀은 Singularity™ 신원 보안 상태 관리 솔루션에서 수집한 인텔리전스를 활용하여 기업 내 잠재적 취약점에 대한 평가 결과를 보고할 수 있습니다. Singularity 신원 보안 솔루션은 Kerberos 티켓 열거를 시도하는 공격자를 탐지하고 잠재적 Kerberoasting 공격에 대한 이벤트를 트리거합니다.위장 기술
위장 기술은 Kerberoasting 공격 방어에 활용될 수 있습니다. 미끼, 유인 장치, 가짜 계정 등을 포함하는 위장 기술은 공격자를 유인하고 시도된 공격을 탐지 및 방어하도록 설계되었습니다.
Kerberoasting 공격의 맥락에서, 기만 기술은 Kerberos 인증 서비스로부터 서비스 티켓을 요청하는 데 사용될 수 있는 가짜 계정을 생성하는 데 사용될 수 있습니다. 그런 다음 이러한 가짜 계정과 관련된 활동을 모니터링하고 서비스 티켓과 관련된 암호를 해독하려는 시도를 탐지할 수 있습니다.
공격자가 미끼에 대해 Kerberoasting 공격을 시도한다고 가정해 보겠습니다. 이 경우 보안 팀에 경보를 발령하고 공격자의 IP 주소, 사용 중인 도구 및 기법 등 공격에 대한 정보를 제공할 수 있습니다. 이를 통해 보안 팀은 공격을 방어하고 피해 발생을 방지할 수 있습니다.
위장 기술은 일부 경우 효과적일 수 있지만, 케르베로스팅 공격 문제에 대한 완벽한 해결책은 아닙니다. 조직은 이러한 공격으로부터 보호하기 위해 다양한 보안 조치를 조합하여 사용해야 합니다.
Kerberoasting은 자격 증명 도용 및 추가 침해로 이어질 수 있습니다. Singularity XDR로 이러한 위험을 조기에 탐지하십시오.
Kerberoasting 공격을 방지하고 완화하는 방법
조직은 완화 전략으로 전체 도메인이 침해되는 것을 방지하기 위해 다음과 같은 모범 사례를 구현할 수 있습니다.&
- 모든 서비스 계정에 길고 복잡한 비밀번호(25자 이상)를 사용하도록 합니다.
- 서비스 계정 비밀번호를 정기적으로 변경합니다(최소 1년에 한 번).
- 그룹 관리 서비스 계정(gMSA) (gMSA)를 사용하여 비밀번호를 관리하고 관리자가 각 서비스 계정의 자격 증명을 수동으로 관리할 필요가 없도록 하십시오.
- MITRE ATT&CK 또한 RC4 대신 AES Kerberos 암호화(또는 다른 강력한 암호화 알고리즘)를 활성화할 것을 권장하여 공격자가 오프라인에서 해시를 해독하기 어렵게 만듭니다. 계정 탭의 체크박스를 사용하여 AES 128/256비트 암호화 유형을 활성화하십시오.
Kerberos 보안 정책 설정 및 권장 사항
조직은 공격자가 자격 증명을 도용할 위험을 줄이기 위해 Kerberos 정책 설정에 세심한 주의를 기울여야 합니다. 이러한 정책 설정은 컴퓨터 구성Windows 설정보안 설정계정 정책Kerberos 정책에 있습니다.&
공격자는 취약한 정책 설정을 탐색하여 이를 악용할 수 있습니다. 다음은 Kerberos 보안 정책 설정 및 권장 옵션입니다.
- 사용자 로그온 제한 적용 – 이 정책 설정이 비활성화된 경우, 사용자는 사용 권한이 없는 서비스에 대한 세션 티켓을 획득할 수 있습니다. 이 정책을 "사용"으로 설정하는 것이 권장됩니다.
- 서비스 티켓 최대 유효 기간 – 이 정책은 특정 서비스에 접근하기 위해 부여된 세션 티켓을 사용할 수 있는 최대 분수를 결정합니다.
권장 설정은 이 정책을 600분으로 설정하는 것입니다. "서비스 티켓의 최대 유효 기간"에 너무 높은 값을 구성하면 사용자가 로그온 시간 외에 네트워크 리소스에 접근할 수 있게 될 수 있습니다. 또한 비활성화된 사용자 계정은 계정이 비활성화되기 전에 발급된 유효한 서비스 티켓으로 네트워크 서비스에 계속 접근할 수 있습니다.
- 사용자 티켓 최대 유효 기간 – 이 정책은 사용자의 티켓 부여 티켓(TGT) 사용 최대 시간(시간 단위)을 결정합니다. 사용자의 티켓 부여 티켓이 만료되면 시스템은 새 티켓을 요청하거나 기존 티켓을 갱신해야 합니다. 권장 설정은 10시간입니다. 값을 너무 높게 설정하면 사용자가 로그온 시간 외에 네트워크 리소스에 접근할 수 있습니다. 또한 비활성화된 사용자 계정은 계정 비활성화 전에 발급된 유효한 사용자 티켓으로 네트워크 서비스에 계속 접근할 수 있습니다. 값을 너무 낮게 설정하면 티켓 요청 시 키 배포 센터(KDC) 성능에 영향을 미쳐 서비스 거부(DoS) 공격을 유발할 수 있습니다.
- 사용자 티켓 갱신의 최대 수명 – 이 정책 설정은 사용자의 티켓 부여 티켓을 갱신하는 기간(일)을 결정합니다. 권장 설정은 7일입니다. 값을 너무 높게 구성하면 사용자가 매우 오래된 사용자 티켓을 갱신할 수 있습니다.
- 컴퓨터 시계 동기화 최대 허용 오차 – 이 정책 설정은 클라이언트 시계 시간과 Kerberos 인증을 제공하는 도메인 컨트롤러 시간 사이에서 Kerberos V5가 허용하는 최대 시간 차이(분 단위)를 결정합니다. 권장 설정은 5분입니다.
SentinelOne Singularity Identity가 Kerberoasting 공격으로부터 보호하는 방법
SentinelOne Singularity Identity는 Kerberoasting과 같은 공격을 지속적으로 감시합니다. Ranger AD 솔루션은 Kerberos 티켓 열거를 탐지하고 잠재적인 Kerberoasting 공격 시 이벤트를 발생시킵니다. Singularity Identity는 또한 해시, 인증 토큰 및 Kerberos 티켓을 포함한 기만적인 자격 증명을 배포합니다. 이를 통해 미끼 티켓을 사용하는 공격자를 탐지하고, 그들을 미끼 시스템으로 리디렉션하여 교전할 수 있습니다.
심층적인 위협 인텔리전스 확보
SentinelOne 위협 추적 서비스 WatchTower가 어떻게 더 큰 인사이트를 확보하고 공격에 대응하는 데 도움이 되는지 알아보세요.
자세히 알아보기Kerberoasting에 대해 더 알아보기
Kerberoasting과 Mimikatz
Mimikatz는 Kerberoasting 공격을 수행하는 데 사용할 수 있는 도구입니다. Mimikatz는 암호 및 기타 인증 자격 증명을 포함한 컴퓨터 시스템에서 민감한 정보를 추출하기 위해 설계된 유틸리티입니다.
Kerberoasting 공격의 맥락에서 Mimikatz는 Kerberos 인증 서비스에서 서비스 티켓을 획득한 다음 관련 암호를 해독할 수 있습니다. 이를 통해 공격자는 서비스 티켓과 연결된 계정에 대한 무단 액세스 권한을 얻을 수 있습니다.
Mimikatz는 합법적 목적과 악의적 목적 모두에 사용될 수 있는 강력한 도구입니다. 보안 전문가가 시스템 보안을 테스트하는 데 유용할 수 있지만, 공격자가 사이버 공격을 수행하는 데에도 사용될 수 있습니다. 따라서 조직은 Kerberoasting 공격에서의 사용으로부터 보호해야 합니다.
Kerberoasting과 골든 티켓
Kerberoasting과 골든 티켓은 모두 Kerberos 인증 프로토콜을 대상으로 한 사이버 공격을 수행하는 데 사용될 수 있는 기술입니다.
Kerberoasting은 Kerberos 인증 서비스로부터 다량의 서비스 티켓을 획득한 후, 특수 도구를 사용하여 해당 티켓과 연관된 암호를 해독하는 것을 포함합니다. 이를 통해 공격자는 서비스 티켓과 연관된 계정에 대한 무단 접근 권한을 획득할 수 있습니다.
반면 골든 티켓은 네트워크상의 어떤 사용자든 인증할 수 있는 위조된 Kerberos 티켓입니다. 이로 인해 골든 티켓을 획득한 공격자는 네트워크에 무단 접근하여 다른 악의적인 활동을 수행할 수 있습니다.
두 기술 모두 Kerberos 인증 프로토콜을 공격하는 데 사용될 수 있지만, 서로 다른 메커니즘을 가지며 다른 목적으로 활용될 수 있습니다. 조직은 이러한 기술 간의 차이점을 이해하고 시스템 보안을 유지하기 위해 이에 대한 방어 조치를 취하는 것이 중요합니다.
골든 티켓 공격은 공격자가 네트워크 리소스에 접근하기 위해 기존 티켓을 추출하고 복호화하는 케르베로스팅 공격과 유사합니다. 그러나 골든 티켓 공격에서는 공격자가 완전히 새롭고 위조된 티켓을 생성하여 적용된 모든 접근 제어 또는 인증 프로토콜을 우회할 수 있습니다.
케르베로스팅과 실버 티켓
실버 티켓은 공격자가 네트워크 상에서 합법적인 서비스를 사칭할 수 있게 하는 위조된 케르베로스 티켓입니다. 이를 통해 공격자는 네트워크 리소스에 접근하고 다른 악의적인 활동을 수행할 수 있습니다.
두 기술 모두 Kerberos 인증 프로토콜을 공격하는 데 사용될 수 있지만, 서로 다른 메커니즘을 가지며 다른 목적으로 활용될 수 있습니다. 조직은 이러한 기술 간의 차이점을 이해하고 시스템 보안을 유지하기 위해 이에 대한 방어 조치를 취하는 것이 중요합니다.
많은 조직이 서비스 계정에 지나치게 많은 권한을 부여하고 종종 취약한 비밀번호를 설정하여 공격자가 도메인 사용자로부터 도메인 관리자로 쉽게 이동할 수 있는 길을 열어줍니다. 지속적인 평가를 구현하고 Kerberos 구성을 검증하면 권한 상승 및 측면 이동에 취약해지는 것을 방지할 수 있습니다.
Kerberoasting 공격 FAQ
Kerberoasting은 공격자가 Active Directory 환경에서 서비스 계정을 표적으로 삼는 포스트 익스플로잇 기법입니다. 이 공격은 Kerberos 인증 프로토콜로부터 암호화된 서비스 티켓을 요청한 후, 이 티켓을 오프라인으로 가져와 암호 해시를 해독하는 방식으로 작동합니다. 공격자는 특히 서비스 주체 이름(SPN)을 가진 계정을 표적으로 삼습니다. 인증된 도메인 사용자라면 누구나 해당 서비스에 대한 티켓을 요청할 수 있기 때문입니다.
Hashcat이나 John the Ripper 같은 도구를 사용해 암호 해시를 해독하면, 서비스 계정을 사칭하여 해당 계정이 권한을 가진 모든 시스템에 접근할 수 있습니다.
Kerberoasting 공격은 주로 머신 계정이 아닌 서비스 주체 이름(SPN)이 연결된 사용자 계정을 표적으로 삼습니다. 공격자가 사용자 계정에 집중하는 이유는 머신 비밀번호는 도메인에서 자동 관리되며 정기적으로 변경되고 기본적으로 복잡하기 때문입니다. SPN이 있는 사용자 계정은 도메인에서 시행하는 암호 정책이 항상 적용되는 것은 아니기 때문에 더 취약하며, 암호 강도는 사용자에게 달려 있습니다.
SQL Server, IIS 또는 기타 엔터프라이즈 서비스와 같은 애플리케이션을 실행하는 서비스 계정이 일반적인 대상입니다. 이러한 계정은 종종 높은 권한과 민감한 데이터에 대한 접근 권한을 가지고 있어, 권한 상승 및 측면 이동에 유용합니다.
조직은 서비스 계정에 대해 최소 25자 이상의 강력한 암호 정책을 구현하여 Kerberoasting을 방어할 수 있습니다. 비밀번호를 자동으로 회전시키고 수동 비밀번호 관리를 제거하는 그룹 관리 서비스 계정(gMSA)을 배포해야 합니다. 비정상적인 TGS 티켓 요청과 RC4 암호화 사용을 모니터링하세요. 이는 Kerberoasting 시도의 일반적인 지표입니다. 서비스 계정에 최소 권한 원칙을 적용하여 필요한 최소 권한만 부여하도록 보장하세요.
정기적인 보안 감사를 통해 불필요한 SPN을 식별 및 제거하고, 더 이상 필요하지 않은 오래된 서비스 계정은 비활성화하거나 삭제해야 합니다. SentinelOne Singularity™ Identity와 같은 솔루션도 Kerberoasting 공격을 방어할 수 있습니다.
일반적인 Kerberoasting 도구로는 SPN 열거부터 티켓 추출까지 전체 과정을 자동화할 수 있는 Rubeus가 있습니다. 공격자들은 또한 유효한 도메인 자격 증명이 필요한 Linux 기반 공격을 위해 Impacket의 GetUserSPNs.py 스크립트를 사용합니다. Mimikatz는 메모리에서 Kerberos 티켓을 추출할 수 있는 또 다른 인기 있는 도구입니다.
암호 해독을 위해 공격자는 일반적으로 모드 13100을 사용하는 Hashcat이나 John the Ripper를 사용하여 추출된 티켓 해시를 오프라인에서 해독합니다. Invoke-Kerberoast와 같은 PowerShell 스크립트를 사용하면 손상된 Windows 시스템에서 직접 공격을 수행할 수도 있습니다.
MFA는 Kerberoasting 공격을 직접 방지할 수 없습니다. 이 공격은 초기 인증 프로세스보다는 Kerberos 프로토콜의 설계를 악용하기 때문입니다. 그러나 MFA는 서비스 티켓 요청에 필요한 초기 도메인 사용자 자격 증명을 공격자가 획득하기 어렵게 만들어 중요한 보호 기능을 제공합니다.
