Microsoft는 LSASS 프로세스에서 Windows 자격 증명을 도용하려는 해커의 시도를 차단하기 위해, 기본적으로 Microsoft Defender ASR 보안 규칙을 사용하고 있습니다.
위협 행위자는 네트워크를 감염시켜서 자격 증명을 훔치거나 익스플로잇을 사용하여 다른 기기로 측면 이동을 시도합니다.
Windows 자격 증명을 훔치는 가장 일반적인 방법 중 하나는 감염된 기기에 대해 관리자 권한을 얻은 다음 Windows에서 실행되는 LSASS 프로세스의 메모리를 덤프하는 것입니다. 사용자가 로그인에 성공하면 다양한 자격 증명이 생성되고 메모리의 로컬 보안 시스템 서비스인 LSASS에 저장되기 때문입니다.
이 메모리 덤프에는 컴퓨터에 로그인한 사용자의 Windows 자격 증명에 대한 NTLM 해시가 포함되어 있어, 일반 텍스트 암호에 대해 무차별 대입이 가능하거나 Pass-the-Hash 공격에 사용되어 다른 장치에 로그인할 수 있습니다.
[그림 1]은 위협 행위자가 mimikatz 프로그램을 사용하여 LSASS에서 NTLM 해시를 덤프하는 방법에 대한 예시입니다.
[그림 1] LSASS 덤프에서 mimikatz를 사용한 NTLM 자격 증명 덤프 (출처 : BleepingComputer)
mimikatz는 본래 LSASS의 취약점을 보완하고, 침투 테스터와 보안 전문가들이 시스템 내에서 자격 증명 덤핑 취약점을 확인하기 위해 개발된 도구입니다. 그러나 공격자들도 mimikatz를 활용하여 윈도우에서 각종 사용자 계정과 관련된 정보를 훔치는 데 악용하고 있습니다.
Microsoft Defender는 mimikatz와 같은 프로그램을 차단하지만, LSASS 메모리 덤프는 여전히 원격 컴퓨터로 전송되어 차단될 염려 없이 자격 증명을 덤프할 수 있습니다.
위협 행위자가 LSASS 메모리 덤프를 남용하는 것을 방지하기 위해, Microsoft는 LSASS 프로세스에 대한 액세스를 방지하는 보안 기능을 도입했습니다.
이러한 보안 기능 중 하나는 Credential Guard로, 권한을 가진 사용자도 접근할 수 없도록 LSASS 프로세스를 가상화된 컨테이너에서 격리 및 실행하여 공격자가 LSASS에 저장된 자격 증명을 덤프하는 것을 방지합니다.
그러나 이 기능은 드라이버 또는 응용 프로그램과 충돌을 유발하여, 일부 조직에서 해당 기능을 활성화하지 못하게 할 수 있습니다.
Credential Guard에서 발생하는 충돌을 일으키지 않고 Windows 자격 증명 도용을 완화하는 방법으로, Microsoft는 기본적으로 Microsoft Defender ASR(Attack Surface Reduction) 규칙을 곧 활성화할 예정입니다.
'Windows 로컬 보안 기관 하위 시스템에서 자격 증명 도용 차단' 규칙은 관리 권한이 있더라도 프로세스가 LSASS 프로세스를 열고 메모리를 덤프하는 것을 방지합니다.
[그림 2] Process Explorer가 LSASS 프로세스를 덤프하지 못하도록 차단하는 ASR 규칙
(출처 : BleepingComputer)
이 새로운 변경 사항은 2022년 2월 9일 Microsoft의 ASR 규칙 문서에 대해 최신 정보를 발견한 보안 연구원 Kostas에 의해 발견되었습니다.
Microsoft는 ASR 규칙에 대한 최신 문서에서 아래와 같이 설명했습니다.
"Windows 로컬 보안 기관 하위 시스템(lsass.exe)에서 ASR(Attack Surface Reduction) 규칙이 자격 증명 도용 차단의 기본 상태가 활성화되는 것으로 변경되고 기본 모드가 차단으로 설정됩니다. 다른 모든 ASR 규칙은 기본 상태가 비활성화된 상태로 유지됩니다."
"최종 사용자 알림을 줄이기 위해 추가 필터링 로직이 이미 규칙에 통합되었습니다. 고객은 기본 모드를 재정의하는 감사, 경고 또는 비활성화 모드로 규칙을 구성할 수 있습니다. 이 규칙의 기능은 규칙이 on-by-default 모드로 구성되었는지 또는 차단 모드를 수동으로 활성화했는지 여부에 관계없이 동일합니다."
ASR 규칙은 이벤트 로그에 오탐이나 노이즈를 유발하는 경향이 있기 때문에, Microsoft는 이전에 기본적으로 보안 기능을 활성화하지 않았습니다.
그러나 Microsoft는 최근 관리자 및 Windows 사용자가 사용하여 공격 표면을 증가시키는 공통 기능을 제거함으로써, 편의성을 희생하면서 보안을 선택하기 시작했습니다.
예를 들어 Microsoft는 최근 4월에 다운로드한 Office 문서의 VBA 매크로가 Office 응용 프로그램 내에서 활성화되는 것을 방지하여 맬웨어에 대한 인기 있는 배포 방법을 중단할 것이라고 발표했습니다.
또한, 위협 행위자가 일반적으로 맬웨어를 설치하고 명령을 실행하는 데 사용하는 WMIC 도구의 사용이 중단되었다는 사실도 확인되었습니다.
기본적으로 ASR 규칙을 사용하도록 설정하면 Windows 자격 증명 도용에 상당한 영향을 미치지만 절대적인 해결책은 아닙니다. 이는 ASR 기능이 Microsoft Defender를 기본 바이러스 백신으로 실행하는 Windows Enterprise 라이선스에서만 지원되기 때문입니다.
그러나 BleepingComputer에 따르면, LSASS ASR 규칙은 Windows 10 및 Windows 11 Pro 클라이언트에서도 작동합니다.
유감스럽게도 다른 바이러스 백신 솔루션이 설치되면 ASR은 해당 기기에서 즉시 비활성화됩니다.
또한, 보안 연구원은 위협 행위자가 이러한 파일명/디렉토리에서 도구를 실행하여 ASR 규칙을 우회하고 LSASS 프로세스를 계속 덤프할 수 있도록 하는 빌트인 Microsoft Defender 제외 경로를 발견했습니다.
mimikatz 개발자 Benjamin Delpy는 Microsoft가 다른 규칙을 위해 빌트인 제외 규칙을 추가했을 수 있지만, 이러한 제외는 모든 규칙에 영향을 미치므로 LSASS 제한을 우회한다고 BleepingComputer에 말했습니다.
[그림 3] 빌트인 제외 규칙에 대한 LSASS 제한 우회 (출처 : Adam Chester 트위터)
그리고 Delpy는 업데이트 될 변경 사항에 대해 아래와 같이 설명했습니다.
"예를 들어, 사용 기간이나 신뢰할 수 있는 목록 기준을 충족하지 않으면 실행 파일을 실행하지 못하도록 차단하는 규칙에서 디렉터리를 제외하려는 경우, 이 규칙에서만 가능하지 않습니다. 차단은 LSASS 액세스를 포함한 모든 ASR 규칙에 대한 것입니다.”
그러나 이러한 모든 문제에도 불구하고 Delpy는 이 변경 사항을 Microsoft의 주요 단계로 보고 있으며, Windows 자격 증명을 훔치는 위협 행위자의 능력에 상당한 영향을 미칠 것이라고 믿고 있습니다.
현재, ASR 규칙이 기본적으로 활성화되는 시기에 대해서는 알려진 바가 없습니다.
공격자가 윈도우에서 메모리에 자격 증명을 덤프 및 탈취를 위해 사용할 수 있는 도구는 mimikatz 이외에도 다양한 방법과 도구를 사용할 수 있습니다.
|
(출처 :
)
보안관제센터 MIR Team
해커들, TCP Middlebox 반사 무기화를 통한 증폭된 DDoS 공격 실행해 (0) | 2022.03.04 |
---|---|
Dridex 봇넷, Entropy 랜섬웨어 배포 중 (0) | 2022.02.24 |
악성코드 개발자, Maze·Egregor·Sekhmet 랜섬웨어용 마스터 복호화 키 온라인에 공개해 (0) | 2022.02.11 |
FBI, Lockbit 랜섬웨어 기술 세부 정보 및 보안 지침 공유 (0) | 2022.02.08 |
이메일 탈취에 악용되는 Zimbra 제로데이 취약점 (0) | 2022.02.08 |
댓글 영역