[정보보안기사] pass the hash
정보보안기사 17회 실기
Q1. 다음에서 설명하는 공격 명칭을 쓰시오.
mimikatz를 활용해 윈도우의 HTML 및 LANMAN 해시값을 탈취하여 원격으로 로그인하는 공격 기법이다.
A. pass the hash
mimikatz(미미카츠)는 윈도우상에서 각종 계정과 관련된 정보를 탈취하고 이를 해독하기 위한 도구
- Github상 무료로 공개
- 관리자 권한으로 실행된 cmd/PowerShell 등을 이용해야 함
- lsass 프로세스에 디버거를 붙이고 메모리 정보를 획득
- lsass.exe -> Local Security Authority Subsystem Service
- 계정, 비밀번호 등의 메모리 정보를 다룸
- 시스템 보안 정책 강화를 위한 윈도우 프로세스
- 윈도우 컴퓨터/서버에 접속하는 유저들을 감시
- 로그인을 검사, 비밀번호 변경을 관리, 로그 작성 등 역할
- lsass 프로세스는 메모리상 각종 계정에 대한 정보를 올려두고 사용
- debug 모드로 메모리 획득 가능
- PC가 켜져 있는 동안 한 번 이상 로그인 한 계정에 대해서만 정보 획득 가능
- 윈도우 8.1이후부터는 lsass 프로세스에 추가적인 보안 장치를 적용 (탈취 X)
(원문 : https://nairns.tistory.com/41)
NTLM(NT LAN Manager)는 Windows 네트워크에서 사용자에게 인증, 무결성 및 기밀성을 제공하기 위한 프로토콜
- Windows NT 제품군의 모든 구성원이 사용하는 인증 절차
- NTLM 인증은 네트워크에 사용자 암호, 해시 상태의 암호를 전송하지 않음
- challenge / response 절차를 사용
- 재전송 공격에 취약한 ID + PASSWORD 방식을 보완하기 위한 인증 방식
- 대칭키를 활용하여 소지기반 보안을 추가한 일회성 인증 방법
- (1) 사용자가 인증을 원할 경우 서버에선 사용자에게 일회성 Challenge를 보냄
- (2) 사용자는 이를 비밀키로 암호화하여 서버에 Response
- Challenge는 일회성으로 매번 다른 값으로 변경되는 난수 예측이 불가능
- 은행의 시크리트 카드보다 OTP가 보안성이 훨씬 좋은 것과 같은 맥락
LANMAN은 네트워크 로그온에 사용할 Challenge/Response 인증 프로토콜
- 위에 소개한 NTLM과 사용 OS를 제외하고는 거의 동일
- mimikatz를 통해 메모리에 저장된 LANMAN 해시값과 NTLM 탈취 가능
pass the hash는 공격자가 탈취한 NTLM / LANMAN 해시를 사용하여 원격 서버/서비스를 인증하는 공격 기술
- mimikatz로 정보들을 훔치고 이것으로 인증을 진행하는 연계 방식
- Pass the Ticket이라는 유사 공격이 존재
- Kerberos 티켓을 사용하여 원격 서버/서비스에 인증하는 공격 기술
- 최종적으로 인근 네트워크에 원격 엑세스를 시도
- 자격 증명을 획득한 공격자는 원격데스크톱 서비스를 이용하여 다른 네트워크로 이동
- 네트워크에서 탐지가 어려움
- 엔드포인트 단에서 실패/성공이력을 통해 탐지 가능 (이벤트로그)