Advanced Threat Analytics 의심스러운 활동 가이드

적용 대상: Advanced Threat Analytics 버전 1.9

적절한 조사에 따라 의심스러운 활동은 다음과 같이 분류될 수 있습니다.

• 정탐: ATA에서 탐지한 악의적인 행위입니다.

• 무해한 참 긍정 (실제 긍정): 침투 테스트와 같은 실제이지만 위협이 없는 행동을 ATA에서 탐지한 것입니다.

• 거짓 양성: 실제 활동이 없었지만 발생한 경보입니다.

ATA 경고로 작업하는 방법에 대한 자세한 내용은 의심스러운 활동 작업을 참조하세요.

질문 또는 피드백은 ATA 팀에 문의하세요 ATAEval@microsoft.com.

중요한 그룹의 비정상적인 수정

설명

공격자는 권한이 높은 그룹에 사용자를 추가합니다. 이렇게 하면 더 많은 리소스에 액세스하고 지속성을 얻을 수 있습니다. 탐지는 사용자 그룹 수정 활동을 분석하여 프로파일링하고, 중요한 그룹에 비정상적인 추가가 발생하면 경고를 발합니다. 프로파일링은 ATA에서 지속적으로 수행됩니다. 경고를 트리거하기 전의 최소 기간은 도메인 컨트롤러당 1개월입니다.

ATA의 중요한 그룹에 대한 정의는 ATA 콘솔 작업을 참조하세요.

검색은 도메인 컨트롤러에서 감사되는 이벤트에 의존합니다. 도메인 컨트롤러가 필요한 이벤트를 감사하도록 하려면 이 도구 사용합니다.

조사

1. 그룹 수정이 합법적인가요?
   거의 발생하지 않으며 "정상"으로 학습되지 않은 합법적인 그룹 수정으로 인해 경고가 발생할 수 있으며 이는 무해한 참 긍정으로 간주될 수 있습니다.

2. 추가된 개체가 사용자 계정인 경우 관리 그룹에 추가된 후 사용자 계정이 수행한 작업을 확인합니다. 더 많은 컨텍스트를 얻으려면 ATA의 사용자 페이지로 이동합니다. 추가가 발생하기 전이나 후에 계정과 관련된 다른 의심스러운 활동이 있었습니까? 중요한 그룹 수정 보고서를 다운로드하여 다른 수정 사항이 무엇이고 같은 기간 동안 누가 수정했는지 확인합니다.

수정

중요한 그룹을 수정할 권한이 있는 사용자 수를 최소화합니다.

해당하는 경우 Active Directory에 대한 권한 있는 액세스 관리를 설정합니다.

컴퓨터와 도메인 간의 신뢰 손상

설명

신뢰가 손상되면 이러한 컴퓨터에 Active Directory 보안 요구 사항이 적용되지 않을 수 있습니다. 이는 기준 보안 및 규정 준수 실패 및 공격자의 소프트 타겟으로 간주됩니다. 이 감지에서는 24시간 이내에 컴퓨터 계정에서 Kerberos 인증 오류가 5회 이상 발생할 경우 경고가 발생합니다.

조사

조사 중인 컴퓨터가 도메인 사용자가 로그인할 수 있도록 허용하고 있나요?

• 그렇다면 수정 단계에서 이 컴퓨터를 무시할 수 있습니다.

수정

필요한 경우 컴퓨터를 도메인에 다시 가입시키거나 컴퓨터의 암호를 다시 설정합니다.

LDAP 단순 바인딩을 사용한 무차별 암호 대입 공격

설명

무차별 암호 대입 공격에서 공격자는 하나 이상의 계정에 대해 올바른 암호를 찾을 때까지 다른 계정에 대해 다양한 암호로 인증을 시도합니다. 일단 발견되면 공격자는 해당 계정을 사용하여 로그인할 수 있습니다.

이 탐지에서 ATA가 대량의 단순 바인드 인증을 감지하면 경고가 발동됩니다. 이는 여러 사용자에 걸쳐 작은 암호 집합을 사용하여 가로로 이용할 수 있습니다. 또는 소수의 사용자에 대한 큰 암호 집합을 사용하여 수직으로 사용할 수 있습니다. 또는 이러한 두 가지 옵션의 조합일 수 있습니다.

조사

1. 관련된 계정이 많은 경우 다운로드 세부 정보를 선택하여 Excel 스프레드시트의 목록을 봅니다.

2. 경고를 선택하여 전용 페이지로 이동합니다. 로그인 시도가 성공적인 인증으로 끝났는지 확인합니다. 이 시도는 인포그래픽의 오른쪽에 추측된 계정 으로 표시됩니다. 그렇다면 원본 컴퓨터에서 일반적으로 사용되는 추측된 계정이 있나요? 그렇다면 의심스러운 활동을 억제합니다.

3. 추측된 계정이 없는 경우 일반적으로 원본 컴퓨터에서 사용되는 공격된 계정이 있나요? 그렇다면 의심스러운 활동을 억제합니다.

수정

복잡하고 긴 암호는 무차별 암호 대입 공격에 필요한 첫 번째 수준의 보안을 제공합니다.

암호화 다운그레이드 작업

설명

암호화 다운그레이드는 가장 높은 수준의 암호화를 사용하여 일반적으로 암호화되는 프로토콜의 다른 필드의 암호화 수준을 다운그레이드하여 Kerberos를 약화시키는 방법입니다. 약화된 암호화된 필드는 오프라인 무차별 암호 대입 시도에 더 쉬운 대상이 될 수 있습니다. 다양한 공격 방법이 약한 Kerberos 암호화 알고리즘을 활용합니다. 이 탐지 과정에서 ATA는 컴퓨터와 사용자가 사용하는 Kerberos 암호화 유형을 학습하고, 약한 암호가 사용될 때 이를 경고합니다. (1) 원본 컴퓨터 및/또는 사용자에 대해 비정상적인 경우이며, (2) 알려진 공격 기술과 일치할 때 경고가 발생합니다.

세 가지 탐지 유형이 있습니다.

1. 스켈레톤 키 – 도메인 컨트롤러에서 실행되는 맬웨어이며 암호를 모르고 모든 계정으로 도메인에 대한 인증을 허용합니다. 이 맬웨어는 종종 약한 암호화 알고리즘을 사용하여 도메인 컨트롤러에서 사용자의 암호를 해시합니다. 이 탐지에서 도메인 컨트롤러로부터 티켓을 요청하는 계정으로의 KRB_ERR 메시지의 암호화 방법이 이전에 학습된 동작에 비해 낮아졌습니다.

2. 골든 티켓 – 골든 티켓 경고에서 원본 컴퓨터에서 TGS_REQ(서비스 요청) 메시지의 TGT 필드의 암호화 방법이 이전에 학습된 동작에 비해 다운그레이드되었습니다. 이는 시간 변칙을 기반으로 하지 않습니다(다른 골든 티켓 검색에서와 같이). 또한 ATA에서 검색한 이전 서비스 요청과 연결된 Kerberos 인증 요청이 없습니다.

3. Overpass-the-Hash – 공격자는 Kerberos AS 요청을 이용해 약한 도난 해시를 사용하여 강력한 티켓을 생성할 수 있습니다. 이 탐지에서는 소스 컴퓨터의 AS_REQ 메시지 암호화 유형이 이전과 비교하여, 학습된 동작(즉, 컴퓨터에서 AES를 사용함)에 비해 다운그레이드되었습니다.

조사

먼저 경고에 대한 설명을 확인하여 위의 세 가지 검출 유형 중 어떤 것을 다루고 있는지 파악합니다. 자세한 내용은 Excel 스프레드시트를 다운로드합니다.

1. 스켈레톤 키 - 스켈레톤 키가 도메인 컨트롤러에 영향을 주었는지 확인합니다.
2. 골든 티켓 – Excel 스프레드시트에서 네트워크 활동 탭으로 이동합니다. 관련 다운그레이드된 필드는 요청 티켓 암호화 유형이고, 소스 컴퓨터 지원 암호화 유형에는 더 강력한 암호화 방법이 나열됩니다. 1. 원본 컴퓨터와 계정을 확인하거나 여러 원본 컴퓨터와 계정이 공통점을 가지고 있는지 확인합니다(예: 모든 마케팅 담당자가 경고를 트리거할 수 있는 특정 앱을 사용). 거의 사용되지 않는 사용자 지정 애플리케이션이 낮은 암호화 암호화를 사용하여 인증하는 경우가 있습니다. 원본 컴퓨터에 이러한 사용자 지정 앱이 있는지 확인합니다. 이 경우 아마도 무해한 진성 양성일 것이며 억제할 수 있습니다. 2. 해당 티켓에서 액세스하는 리소스를 확인합니다. 모두 액세스하는 리소스가 하나 있는 경우 유효성을 검사하고 액세스해야 하는 유효한 리소스인지 확인합니다. 또한 대상 리소스가 강력한 암호화 방법을 지원하는지 확인합니다. Active Directory 리소스 서비스 계정의 특성 msDS-SupportedEncryptionTypes 확인하여 이를 확인할 수 있습니다.
3. Overpass-the-Hash – Excel 스프레드시트에서 네트워크 작업 탭으로 이동합니다. 관련 다운그레이드된 필드는 암호화된 타임스탬프 암호화 유형이고 출처 컴퓨터 지원 암호화 유형에는 더 강력한 암호화 방법이 포함되어 있습니다. 1. 스마트 카드 구성이 최근에 변경된 경우 사용자가 스마트 카드를 사용하여 로그인할 때 이 경고가 트리거될 수 있는 경우가 있습니다. 관련된 계정에 대해 이와 같은 변경 내용이 있는지 확인합니다. 그렇다면 이것은 아마도 정상 경고일 수 있으며 무시할 수 있습니다. 1. 해당 티켓에서 액세스하는 리소스를 확인합니다. 액세스하는 리소스가 하나 있는 경우, 그것이 접근 권한이 있는 유효한 리소스인지 확인하며 유효성을 검사하세요. 또한 대상 리소스가 강력한 암호화 방법을 지원하는지 확인합니다. Active Directory 리소스 서비스 계정의 특성 msDS-SupportedEncryptionTypes 확인하여 이를 확인할 수 있습니다.

수정

1. 기본 키 – 맬웨어를 제거합니다. 자세한 내용은 기본 키 맬웨어 분석을 참조하세요.

2. 골든 티켓 – 골든 티켓 의심스러운 활동의 지침을 따릅니다. 또한 Golden Ticket을 만들려면 도메인 관리자 권한이 필요하므로 해시 권장 사항 전달을 구현합니다.

3. Overpass-the-Hash – 관련 계정이 중요하지 않은 경우 해당 계정의 암호를 다시 설정합니다. 이렇게 하면 기존 티켓이 만료될 때까지 계속 사용할 수 있지만 공격자가 암호 해시에서 새 Kerberos 티켓을 만들 수 없습니다. 계정이 민감한 경우 KRBTGT 계정을 골든 티켓 위협에 대비해 두 번 초기화하는 것이 좋습니다. KRBTGT를 두 번 초기화하면 이 도메인의 모든 Kerberos 티켓이 무효화되므로, 이를 수행하기 전에 신중하게 계획하세요. KRBTGT 계정 문서의 지침을 참조하세요. 이는 횡적 이동 기술이므로 해시 권장 사항 전달의 모범 사례를 따릅니다.

Honeytoken 활동

설명

Honeytoken 계정은 이러한 계정과 관련된 악의적인 활동을 식별하고 추적하기 위해 설정된 디코이 계정입니다. 허니토켄 계정은 공격자를 유인하는 매력적인 이름(예: SQL-Admin)을 가지면서 사용하지 않아야 합니다. 이러한 활동은 악의적인 동작을 나타낼 수 있습니다.

허니 토큰 계정에 대한 자세한 내용은 ATA 설치 - 7단계를 참조하세요.

조사

1. 원본 컴퓨터의 소유자가 의심스러운 활동 페이지(예: Kerberos, LDAP, NTLM)에 설명된 방법을 사용하여 Honeytoken 계정을 인증하는 데 사용했는지 확인합니다.

2. 원본 컴퓨터의 프로필 페이지로 이동하여 해당 컴퓨터에서 인증된 다른 계정을 확인합니다. Honeytoken 계정을 사용하는 경우 해당 계정의 소유자에게 문의하세요.

3. 비대화형 로그인일 수 있으므로 원본 컴퓨터에서 실행되는 애플리케이션 또는 스크립트를 확인해야 합니다.

1~3단계를 수행한 후 양성 사용의 증거가 없는 경우 악성이라고 가정합니다.

수정

Honeytoken 계정이 의도한 용도로만 사용되는지 확인합니다. 그렇지 않으면 많은 경고를 생성할 수 있습니다.

해시 통과 공격을 사용한 ID 도용

설명

Pass-the-Hash는 공격자가 한 컴퓨터에서 사용자의 NTLM 해시를 훔쳐 다른 컴퓨터에 액세스하는 데 사용하는 횡적 이동 기술입니다.

조사

대상 사용자가 소유하거나 정기적으로 사용하는 컴퓨터에서 해시가 사용되었나요? 그렇다면 경고는 거짓 양성이며, 그렇지 않은 경우 진성 양성일 수 있습니다.

수정

1. 관련 계정이 중요하지 않은 경우 해당 계정의 암호를 다시 설정합니다. 암호를 다시 설정하면 공격자가 암호 해시에서 새 Kerberos 티켓을 만들지 못하게 됩니다. 기존 티켓은 만료될 때까지 계속 사용할 수 있습니다.

2. 관련 계정이 중요한 경우 골든 티켓 의심스러운 활동에서와 같이 KRBTGT 계정을 두 번 다시 설정하는 것이 좋습니다. KRBTGT를 두 번 다시 설정하면 모든 도메인 Kerberos 티켓이 무효화되므로 영향을 미리 계획합니다. KRBTGT 계정 문서의 지침을 참조하세요. 일반적으로 횡적 이동 기술이므로 해시 권장 사항 전달의 모범 사례를 따르세요.

Pass-the-Ticket 공격을 사용한 ID 도용

설명

Pass-the-Ticket은 공격자가 한 컴퓨터에서 Kerberos 티켓을 훔쳐 도난당한 티켓을 재사용하여 다른 컴퓨터에 액세스하는 데 사용하는 횡적 이동 기술입니다. 이 탐지에서 Kerberos 티켓은 두 개 이상의 다른 컴퓨터에서 사용됩니다.

조사

1. 세부 정보 다운로드 단추를 선택하여 관련된 IP 주소의 전체 목록을 봅니다. 하나 또는 두 컴퓨터의 IP 주소가 작은 DHCP 풀(예: VPN 또는 WiFi)에서 할당된 서브넷의 일부인가요? IP 주소가 공유되는가요? 예를 들어 NAT 디바이스를 사용하시겠습니까? 이러한 질문에 대한 답변이 '예'이면 경고는 가양성입니다.

2. 사용자를 대신하여 티켓을 전달하는 사용자 지정 애플리케이션이 있나요? 그렇다면 무해한 참 긍정 케이스입니다.

수정

1. 관련 계정이 중요하지 않은 경우 해당 계정의 암호를 다시 설정합니다. 암호 재설정은 공격자가 암호 해시에서 새 Kerberos 티켓을 만들지 못하게 합니다. 기존 티켓은 만료될 때까지 계속 사용할 수 있습니다.

2. 계정이 민감한 경우 KRBTGT 계정을 골든 티켓 위협에 대비해 두 번 초기화하는 것이 좋습니다. KRBTGT를 두 번 초기화하면 이 도메인의 모든 Kerberos 티켓이 무효화되므로, 이를 수행하기 전에 신중하게 계획하세요. KRBTGT 계정 문서의 지침을 참조하세요. 이는 횡적 이동 기술이므로 해시 권장 사항 전달의 모범 사례를 따르세요.

Kerberos 골든 티켓 활동

설명

도메인 관리자 권한이 있는 공격자는 KRBTGT 계정을 손상시킬 수 있습니다. 공격자는 KRBTGT 계정을 사용하여 모든 리소스에 대한 권한 부여를 제공하는 Kerberos TGT(티켓 부여 티켓)를 만들 수 있습니다. 티켓 만료는 임의의 시간으로 설정할 수 있습니다. 이 가짜 TGT는 "골든 티켓"이라고 하며 공격자가 네트워크에서 지속성을 달성하고 유지할 수 있도록 합니다.

이 탐지는 Kerberos 티켓 수권 티켓(TGT)이 사용자 티켓 보안 정책에서 지정한 최대 수명의 허용된 시간을 초과하여 사용될 때 경고가 트리거됩니다.

조사

1. 그룹 정책에서 사용자 티켓 설정의 최대 수명(최근 몇 시간 이내)이 변경되었나요? 그렇다면 경고를 닫습니다 (오탐이었습니다).

2. 이 경고에 포함된 ATA 게이트웨이가 가상 머신인가요? 그렇다면 최근에 저장된 상태에서 다시 시작했나요? 그렇다면 이 경고를 닫습니다 .

3. 위의 질문에 대한 답변이 '아니요'이면 악의적이라고 가정합니다.

수정

KRBTGT 계정 문서의 지침에 따라 KRBTGT(Kerberos Ticket Granting Ticket) 암호를 두 번 변경합니다. KRBTGT를 두 번 초기화하면 이 도메인의 모든 Kerberos 티켓이 무효화되므로, 이를 수행하기 전에 신중하게 계획하세요. 또한 Golden Ticket을 만들려면 도메인 관리자 권한이 필요하므로 해시 권장 사항 전달을 구현합니다.

악의적인 데이터 보호 개인 정보 요청

설명

DPAPI(데이터 보호 API)는 Windows에서 브라우저, 암호화된 파일 및 기타 중요한 데이터로 저장된 암호를 안전하게 보호하는 데 사용됩니다. 도메인 컨트롤러는 도메인에 가입된 Windows 컴퓨터에서 DPAPI로 암호화된 모든 비밀을 해독하는 데 사용할 수 있는 백업 master 키를 보유합니다. 공격자는 해당 마스터 키를 사용하여 모든 도메인에 가입된 컴퓨터에서 DPAPI로 보호되는 비밀을 해독할 수 있습니다. 이 검색에서 DPAPI를 사용하여 백업 마스터 키를 검색할 때 경고가 트리거됩니다.

조사

1. 원본 컴퓨터가 Active Directory 대해 조직에서 승인한 고급 보안 스캐너를 실행하고 있나요?

2. 그렇다면 예이고 항상 그렇게 해야 한다면, 의심스러운 활동을 닫고 제외합니다.

3. 그렇다면 예, 이 작업을 수행하지 않아야 한다면, 의심스러운 활동을 닫으십시오.

수정

DPAPI를 사용하려면 공격자가 도메인 관리자 권한이 필요합니다. 해시 권장 사항 전달을 구현합니다.

디렉터리 서비스의 악의적인 복제

설명

Active Directory 복제는 한 도메인 컨트롤러에서 수행된 변경 내용이 다른 모든 도메인 컨트롤러와 동기화되는 프로세스입니다. 필요한 권한이 있으면 공격자가 복제 요청을 시작하여 암호 해시를 포함하여 Active Directory에 저장된 데이터를 검색할 수 있습니다.

이 검색에서는 도메인 컨트롤러가 아닌 컴퓨터에서 복제 요청이 시작될 때 경고가 트리거됩니다.

조사

1. 문제의 컴퓨터가 도메인 컨트롤러인가요? 예를 들어 복제 문제가 있는 새로 승격된 도메인 컨트롤러입니다. 그렇다면 의심스러운 활동을 닫습니다 .
2. 문제의 컴퓨터가 Active Directory 데이터를 복제해야 하나요? 예를 들어 Microsoft Entra Connect입니다. 그렇다면 의심스러운 활동을 닫고 제외 합니다.
3. 원본 컴퓨터 또는 계정을 선택하여 프로필 페이지로 이동합니다. 복제 시 발생한 작업을 확인하고 로그인한 사람, 액세스한 리소스와 같은 비정상적인 활동을 검색합니다.

수정

다음 사용 권한의 유효성을 검사합니다.

• 디렉터리 변경 내용 복제

• 디렉터리 변경 사항을 모두 복제합니다.

자세한 내용은 SharePoint Server 2013 프로필 동기화에 대한 Grant Active Directory Domain Services 권한을 참조하세요. AD ACL 스캐너 활용하거나 Windows PowerShell 스크립트를 만들어 도메인에서 이러한 사용 권한이 있는 사용자를 확인할 수 있습니다.

대규모 개체 삭제

설명

일부 시나리오에서 공격자는 정보만 도용하는 대신 DoS(서비스 거부) 공격을 수행합니다. 많은 수의 계정을 삭제하는 것은 DoS 공격을 시도하는 한 가지 방법입니다.

이 감지에서 전체 계정의 5% 이상이 삭제될 때마다 경고가 트리거됩니다. 검색을 수행하려면 삭제된 개체 컨테이너에 대한 읽기 권한이 필요합니다. 삭제된 개체 컨테이너에 대한 읽기 전용 사용 권한을 구성하는 방법에 대한 자세한 내용은 디렉터리 개체에 대한 보기 또는 설정 권한에서 삭제된 개체 컨테이너에 대한 사용 권한 변경을 참조하세요.

조사

삭제된 계정 목록을 검토하고 대규모 삭제를 정당화하는 패턴 또는 비즈니스 이유가 있는지 확인합니다.

수정

Active Directory 계정을 삭제할 수 있는 사용자에 대한 사용 권한을 제거합니다. 자세한 내용은 디렉터리 개체에 대한 사용 권한 보기 또는 설정을 참조하세요.

위조된 권한 부여 데이터를 사용한 권한 상승

설명

이전 버전의 Windows Server 알려진 취약성을 통해 공격자는 PAC(Privileged Attribute Certificate)를 조작할 수 있습니다. PAC는 Kerberos 티켓의 필드로, 사용자 권한 부여 데이터(예: Active Directory의 그룹 멤버십)를 포함하여 공격자에게 추가 권한을 부여할 수 있습니다.

조사

1. 세부 정보 페이지에 액세스하려면 경고를 선택합니다.

2. 대상 컴퓨터( ACCESSED 열 아래)가 MS14-068(도메인 컨트롤러) 또는 MS11-013(서버)으로 패치되었나요? 그렇다면 의심스러운 활동을 닫습니다 (거짓 양성입니다).

3. 대상 컴퓨터가 패치되지 않은 경우 원본 컴퓨터가 PAC를 수정하는 것으로 알려진 OS/애플리케이션을 FROM 열에서 실행하나요? 그렇다면 의심스러운 활동을 표시하지 않습니다 (무해한 참 긍정).

4. 이전 두 질문에 대한 답변이 '아니요'인 경우 이 활동이 악의적이라고 가정합니다.

수정

최대 Windows Server 2012 R2 운영 체제를 사용하는 모든 도메인 컨트롤러에 KB3011780가 설치되어 있고, 2012 R2까지의 모든 멤버 서버 및 도메인 컨트롤러가 KB2496930으로 최신 상태인지 확인합니다. 자세한 내용은 Silver PAC 및 위조 PAC를 참조하세요.

계정 열거를 이용한 정찰

설명

계정 열거 정찰에서 공격자는 수천 개의 사용자 이름이 있는 사전 또는 KrbGuess와 같은 도구를 사용하여 도메인에서 사용자 이름을 추측하려고 시도합니다. 공격자는 이러한 이름을 사용하여 Kerberos 요청을 만들어 도메인에서 유효한 사용자 이름을 찾습니다. 추측이 사용자 이름을 성공적으로 결정하는 경우 공격자는 보안 주체를 알 수 없는 대신 필요한 Kerberos 오류 사전 인증을 받게 됩니다.

이 검색에서 ATA는 공격이 발생한 위치, 총 추측 시도 횟수 및 일치하는 횟수를 검색할 수 있습니다. 알 수 없는 사용자가 너무 많은 경우 ATA는 이를 의심스러운 활동으로 검색합니다.

조사

1. 경고를 선택하여 세부 정보 페이지로 이동하세요.

   1. 이 호스트 컴퓨터는 도메인 컨트롤러에 계정이 있는지 여부를 쿼리해야 하나요(예: Exchange 서버)?

2. 이 동작을 생성할 수 있는 스크립트 또는 애플리케이션이 호스트에서 실행되고 있나요?

   이러한 질문 중 하나에 대한 답변이 '예'이면, 의심스러운 활동을 닫고(무해한 참 긍정이기 때문에), 해당 호스트를 의심스러운 활동 목록에서 제외합니다.

3. Excel 스프레드시트로 경고의 세부 정보를 다운로드하면 계정 시도 목록을 기존 계정과 기존 계정이 아닌 것으로 구분하여 편리하게 볼 수 있습니다. 스프레드시트에서 존재하지 않는 계정 시트를 보면 계정이 친숙해 보이는 경우 해당 계정이 비활성화된 계정 또는 회사를 떠난 직원일 수 있습니다. 이 경우 사전에서 시도될 가능성은 거의 없습니다. 가장 가능성이 높은 것은 Active Directory에서 여전히 존재하는 계정을 확인하기 위한 애플리케이션 또는 스크립트입니다. 이는 무해한 참 양성입니다.

4. 이름이 거의 익숙하지 않은 경우 추측 시도가 Active Directory 기존 계정 이름과 일치했나요? 일치하는 항목이 없는 경우 시도는 쓸모가 없지만 경고에 주의하여 시간이 지남에 따라 업데이트되는지 확인해야 합니다.

5. 추측 시도가 기존 계정 이름과 일치하는 경우 공격자는 사용자 환경에 계정이 있는지 알고 있으며 무차별 암호 대입을 사용하여 검색된 사용자 이름을 사용하여 도메인에 액세스하려고 시도할 수 있습니다. 추측된 계정 이름을 확인하여 의심스러운 추가 활동을 확인합니다. 일치하는 계정이 중요한 계정인지 확인합니다.

수정

복잡하고 긴 암호는 무차별 암호 대입 공격에 필요한 첫 번째 수준의 보안을 제공합니다.

디렉터리 서비스 쿼리를 사용한 정찰

설명

디렉터리 서비스 정찰은 공격자가 디렉터리 구조 및 대상 권한 있는 계정을 공격의 이후 단계에 매핑하는 데 사용됩니다. 보안 계정 관리자 원격(SAM-R) 프로토콜은 이러한 매핑을 수행하기 위해 디렉터리를 쿼리하는 데 사용되는 방법 중 하나입니다.

이 감지에서는 ATA가 배포된 후 첫 달 동안 경고가 트리거되지 않습니다. 학습 기간 동안, ATA 프로필은 각각의 컴퓨터에서 SAM-R 쿼리가 만들어지는 방식을 분석하여 중요한 계정에 대한 열거형과 개별 쿼리 모두를 포함합니다.

조사

1. 경고를 선택하여 세부 정보 페이지로 이동하세요. 실행된 쿼리(예: 엔터프라이즈 관리자 또는 관리자)와 성공했는지 여부를 확인하십시오.

2. 해당 원본 컴퓨터에서 이러한 쿼리를 만들어야 하나요?

3. 그렇다면 경고가 업데이트되면 의심스러운 활동을 억제합니다.

4. 그렇다면 더 이상 이 작업을 수행하지 말아야 한다면, 의심스러운 활동을 닫으세요.

5. 관련 계정에 대한 정보가 있는 경우: 이러한 쿼리는 해당 계정에서 수행해야 하나요, 아니면 해당 계정이 일반적으로 원본 컴퓨터에 로그인하나요?

   • 그렇다면 경고가 업데이트되면 의심스러운 활동을 억제합니다.

   • 그렇다면 더 이상 이 작업을 수행하지 않아야 합니다, 의심스러운 활동을 종료하십시오.

   • 위의 모든 항목에 대한 답변이 아니요인 경우 악의적이라고 가정합니다.

6. 관련된 계정에 대한 정보가 없는 경우 엔드포인트로 이동하여 경고 시 로그인한 계정을 확인할 수 있습니다.

수정

1. 컴퓨터에서 취약성 검사 도구를 실행하고 있나요?
2. 공격의 특정 쿼리된 사용자 및 그룹이 권한 있는 계정인지 아니면 높은 가치의 계정(즉, CEO, CFO, IT 관리 등)인지 조사합니다. 그렇다면 엔드포인트에서 다른 작업도 살펴보고 쿼리된 계정이 로그인된 컴퓨터를 모니터링합니다. 이는 횡적 이동의 대상이 될 수 있기 때문일 수 있습니다.

DNS를 활용한 정찰

설명

DNS 서버에는 네트워크의 모든 컴퓨터, IP 주소 및 서비스의 맵이 포함되어 있습니다. 이 정보는 공격자가 네트워크 구조를 매핑하고 공격의 이후 단계를 위해 흥미로운 컴퓨터를 대상으로 지정하는 데 사용됩니다.

DNS 프로토콜에는 여러 쿼리 형식이 있습니다. ATA는 비 DNS 서버에서 시작된 AXFR(전송) 요청을 검색합니다.

조사

1. 원본 컴퓨터(원본...)가 DNS 서버인가요? 그렇다면 이것은 아마도 오탐일 것입니다. 유효성을 검사하려면 경고를 선택하여 세부 정보 페이지로 이동하세요. 테이블의 쿼리에서 쿼리된 도메인을 확인합니다. 이러한 기존 도메인이 있나요? 그렇다면 닫기하여 의심스러운 활동을 종료하십시오 (거짓 양성입니다). 또한 향후 오탐을 방지하기 위해 ATA 게이트웨이와 원본 컴퓨터 간에 UDP 포트 53이 열려 있는지 확인하세요.
2. 원본 컴퓨터가 보안 스캐너를 실행하고 있나요? 그렇다면 닫기 및 제외를 사용하여 직접 또는 제외 페이지(구성에서 ATA 관리자가 사용할 수 있음)를 통해 ATA의 엔터티를 제외합니다.
3. 앞의 모든 질문에 대한 답변이 '아니요'이면 원본 컴퓨터에 초점을 맞추고 계속 조사하세요. 원본 컴퓨터를 선택하여 프로필 페이지로 이동합니다. 요청 시 발생한 작업을 확인하여 로그인한 사람, 액세스한 리소스와 같은 비정상적인 활동을 검색합니다.

수정

DNS를 사용한 정찰이 발생하지 않도록 내부 DNS 서버를 보호하는 작업은 지정된 IP 주소로만 영역 전송을 사용하지 않도록 설정하거나 제한하여 수행할 수 있습니다. 영역 전송 제한에 대한 자세한 내용은 영역 전송 제한(Restrict Zone Transfers)을 참조하세요. 영역 전송 수정은 내부 및 외부 공격으로부터 DNS 서버를 보호하기 위해 해결해야 하는 검사 목록 중 하나입니다.

SMB 세션 열거를 사용한 정찰

설명

SMB(서버 메시지 블록) 열거형을 사용하면 공격자가 사용자가 최근에 로그온한 위치에 대한 정보를 가져올 수 있습니다. 공격자가 이 정보를 가지고 나면 네트워크에서 횡적으로 이동하여 특정 중요한 계정으로 이동할 수 있습니다.

이 탐지에서는 도메인 컨트롤러에 대해 SMB 세션 나열이 발생할 때 경고가 트리거됩니다.

조사

1. 경고를 선택하여 세부 정보 페이지로 이동하세요. 작업을 수행한 계정/s와 노출된 계정(있는 경우)을 확인합니다.

   • 원본 컴퓨터에서 실행되는 보안 스캐너의 종류가 있나요? 그렇다면 의심스러운 활동을 닫고 제외 합니다.

2. 작업을 수행한 관련 사용자를 확인합니다. 일반적으로 원본 컴퓨터에 로그인합니까, 아니면 이러한 작업을 수행해야 하는 관리자인가요?

3. 그렇다면 경고가 업데이트되면 의심스러운 활동을 억제합니다.

4. 그렇다면 업데이트하지 않아야 하며, 의심스러운 활동을 닫습니다.

5. 위의 모든 답변이 '아니요'인 경우 활동이 악의적이라고 가정합니다.

수정

1. 원본 컴퓨터를 포함합니다.
2. 공격을 수행한 도구를 찾아 제거합니다.

원격 실행 시도가 감지됨

설명

관리자 자격 증명을 손상하거나 제로 데이 익스플로잇을 사용하는 공격자는 도메인 컨트롤러에서 원격 명령을 실행할 수 있습니다. 지속성 확보, 정보 수집, DOS(서비스 거부) 공격 또는 기타 이유로 사용할 수 있습니다. ATA는 PSexec 및 원격 WMI 연결을 검색합니다.

조사

1. 이는 도메인 컨트롤러에 대해 관리 작업을 수행하는 IT 팀 구성원 및 서비스 계정뿐만 아니라 관리 워크스테이션에도 일반적입니다. 이 경우 동일한 관리자 또는 컴퓨터가 작업을 수행하므로 경고가 업데이트되면 경고를 억제하십시오.
2. 문제의 컴퓨터가 도메인 컨트롤러에 대해 이 원격 실행을 수행할 수 있나요?
   • 해당 계정이 도메인 컨트롤러에 대해 이 원격 실행을 수행할 수 있나요?
   • 두 질문에 대한 대답이 '예'이면 경고를 닫습니다 .
3. 두 질문에 대한 답변이 아니요인 경우 이 활동은 진정한 긍정으로 간주되어야 합니다. 컴퓨터 및 계정 프로필을 확인하여 시도의 원본을 찾습니다. 원본 컴퓨터 또는 계정을 선택하여 프로필 페이지로 이동합니다. 로그인한 사람, 액세스한 리소스 등과 같은 비정상적인 활동을 검색하여 이러한 시도 당시 발생한 작업을 확인합니다.

수정

1. 비계층 0 컴퓨터에서 도메인 컨트롤러에 대한 원격 액세스를 제한합니다.

2. 관리자를 위해 강화된 컴퓨터만 도메인 컨트롤러에 연결할 수 있도록 권한 있는 액세스를 구현합니다.

민감한 계정 자격 증명 노출 및 계정 자격 증명을 노출하는 서비스

설명

일부 서비스는 계정 자격 증명을 일반 텍스트로 보냅니다. 이는 중요한 계정에 대해서도 발생할 수 있습니다. 네트워크 트래픽을 모니터링하는 공격자는 악의적인 목적으로 이러한 자격 증명을 catch한 다음 다시 사용할 수 있습니다. 중요한 계정에 대한 명확한 텍스트 암호는 경고를 트리거하는 반면, 중요하지 않은 계정의 경우 5개 이상의 다른 계정이 동일한 원본 컴퓨터에서 명확한 텍스트 암호를 보내면 경고가 트리거됩니다.

조사

경고를 선택하여 세부 정보 페이지로 이동하세요. 노출된 계정을 확인합니다. 이러한 계정이 많은 경우 다운로드 세부 정보를 선택하여 Excel 스프레드시트의 목록을 봅니다.

일반적으로 원본 컴퓨터에는 LDAP 단순 바인딩을 사용하는 스크립트 또는 레거시 애플리케이션이 있습니다.

수정

원본 컴퓨터에서 구성을 확인하고 LDAP 단순 바인딩을 사용하지 않도록 합니다. LDAP 단순 바인딩을 사용하는 대신 LDAP SALS 또는 LDAPS를 사용할 수 있습니다.

의심스러운 인증 실패

설명

무차별 암호 대입 공격에서 공격자는 하나 이상의 계정에 대해 올바른 암호를 찾을 때까지 다른 계정에 대해 다양한 암호로 인증을 시도합니다. 일단 발견되면 공격자는 해당 계정을 사용하여 로그인할 수 있습니다.

이 탐지에서 많은 인증 오류가 Kerberos 또는 NTLM을 사용하여 발생했을 때 경고가 트리거됩니다. 이는 여러 사용자에 걸쳐 소규모의 암호 집합을 사용하여 가로 공격으로 발생할 수 있으며, 또는 대규모의 암호 집합을 소수의 사용자에게 적용하여 세로 공격으로 발생할 수 있습니다. 또는 이러한 두 옵션의 조합으로 발생할 수 있습니다. 경고를 트리거할 수 있는 최소 기간은 1주일입니다.

조사

1. 다운로드 세부 정보를 선택하여 Excel 스프레드시트의 전체 정보를 봅니다. 다음 정보를 가져올 수 있습니다.
   • 공격받은 계정 목록
   • 성공적인 인증으로 로그인 시도가 종료된 추측된 계정 목록
   • NTLM을 사용하여 인증 시도가 수행된 경우 관련 이벤트 활동이 표시됩니다.
   • Kerberos를 사용하여 인증 시도가 수행된 경우 관련 네트워크 활동이 표시됩니다.
2. 원본 컴퓨터를 선택하여 프로필 페이지로 이동합니다. 로그인한 사람, 액세스한 리소스 등과 같은 비정상적인 활동을 검색하여 이러한 시도 당시 발생한 작업을 확인합니다.
3. NTLM을 사용하여 인증을 수행했으며 경고가 여러 번 발생하고 원본 컴퓨터가 액세스하려고 시도한 서버에 대한 정보가 충분하지 않은 경우 관련 도메인 컨트롤러에서 NTLM 감사를 사용하도록 설정해야 합니다. 이렇게 하려면 이벤트 8004를 켭니다. 원본 컴퓨터, 사용자 계정 및 원본 컴퓨터가 액세스하려고 시도한 서버에 대한 정보가 포함된 NTLM 인증 이벤트입니다. 인증 유효성 검사를 보낸 서버를 알고 나면 인증 프로세스를 더 잘 이해하려면 4624와 같은 이벤트를 확인하여 서버를 조사해야 합니다.

수정

복잡하고 긴 암호는 무차별 암호 대입 공격에 필요한 첫 번째 수준의 보안을 제공합니다.

의심스러운 서비스 만들기

설명

공격자는 네트워크에서 의심스러운 서비스를 실행하려고 시도합니다. ATA는 의심스러운 것으로 보이는 새 서비스가 도메인 컨트롤러에 생성되었을 때 경고를 발생합니다. 이 경고는 이벤트 7045를 사용하며 ATA 게이트웨이 또는 경량 게이트웨이에서 적용되는 각 도메인 컨트롤러에서 검색됩니다.

조사

1. 문제의 컴퓨터가 관리용 워크스테이션이거나 IT 팀 구성원 및 서비스 계정이 관리 작업을 수행하는 컴퓨터인 경우 이는 거짓 양성일 수 있으며, 경고를 억제하고 필요한 경우 이를 제외 목록에 추가해야 할 수 있습니다.

2. 이 컴퓨터에서 인식하는 서비스인가요?

   • 문제의 계정이 이 서비스를 설치할 수 있나요?

   • 두 질문에 대한 대답이 '예'이면 경고를 닫 거나 제외 목록에 추가합니다.

3. 두 질문에 대한 답변이 '아니요'인 경우 이는 진정한 긍정으로 간주되어야 합니다.

수정

• 특정 사용자만 새 서비스를 만들 수 있도록 도메인 머신에 대한 권한이 적은 액세스를 구현합니다.

비정상적인 동작에 따른 신원 도용 의심

설명

ATA는 3주간의 슬라이딩 기간 동안 사용자, 컴퓨터 및 리소스의 엔터티 동작을 학습합니다. 동작 모델은 엔터티가 로그인한 컴퓨터, 엔터티가 액세스를 요청한 리소스 및 이러한 작업이 수행된 시간을 기반으로 합니다. ATA는 기계 학습 알고리즘에 따라 엔터티의 동작과 편차가 있을 때 경고를 보냅니다.

조사

1. 문제의 사용자가 이러한 작업을 수행해야 하나요?

2. 잠재적인 오류 사례로 고려할 수 있는 경우는 다음과 같습니다: 휴가에서 돌아온 사용자, 업무의 일부로 과도한 액세스를 수행하는 IT 담당자(예: 특정 일이나 주에 헬프데스크 지원이 급증한 경우), 원격 데스크톱 애플리케이션. 경고를 닫고 제외하면 사용자는 더 이상 탐지에 포함되지 않습니다.

수정

이 비정상적인 동작이 발생한 원인에 따라 다른 작업을 수행해야 합니다. 예를 들어 네트워크를 스캔한 경우 승인되지 않은 경우 원본 컴퓨터를 네트워크에서 차단해야 합니다.

비정상적인 프로토콜 구현

설명

공격자는 비표준 방식으로 다양한 프로토콜(SMB, Kerberos, NTLM)을 구현하는 도구를 사용합니다. 이러한 유형의 네트워크 트래픽은 경고 없이 Windows 허용되지만 ATA는 잠재적인 악의적인 의도를 인식할 수 있습니다. 이 동작은 Over-Pass-the-Hash와 같은 기술뿐만 아니라 WannaCry와 같은 고급 랜섬웨어에서 사용되는 익스플로잇을 나타냅니다.

조사

비정상적인 프로토콜을 식별합니다. 의심스러운 활동 시간줄에서 의심스러운 활동을 선택하여 세부 정보 페이지에 액세스합니다. 프로토콜이 Kerberos 또는 NTLM 화살표 위에 나타납니다.

• Kerberos: Mimikatz와 같은 해킹 도구가 잠재적으로 Overpass-the-Hash 공격에 사용될 때 자주 발생합니다. 원본 컴퓨터가 Kerberos RFC에 맞지 않는 자체 Kerberos 스택을 구현하는 애플리케이션을 실행하고 있는지 확인합니다. 이 경우 무해한 진양성으로, 알림을 닫을 수 있습니다. 경고가 계속 트리거되고 여전히 해당되는 경우 경고를 표시하지 않을 수 있습니다.

• NTLM: WannaCry 또는 Metasploit, Medusa 및 Hydra와 같은 도구일 수 있습니다.

활동이 WannaCry 공격인지 확인하려면 다음 단계를 수행합니다.

1. 원본 컴퓨터가 Metasploit, Medusa 또는 Hydra와 같은 공격 도구를 실행하고 있는지 확인합니다.

2. 공격 도구를 찾을 수 없는 경우 원본 컴퓨터가 자체 NTLM 또는 SMB 스택을 구현하는 애플리케이션을 실행하고 있는지 확인합니다.

3. 그렇지 않다면, 의심스러운 활동에 관련된 원본 컴퓨터에 대해 WannaCry 스캐너 스크립트를 실행하여 WannaCry로 인한 것인지 확인하십시오. 예를 들어, 이 스캐너를 사용하십시오. 스캐너에서 컴퓨터가 감염되거나 취약한 것으로 확인되면 컴퓨터를 패치하고 맬웨어를 제거하고 네트워크에서 차단합니다.

4. 스크립트가 컴퓨터가 감염되었거나 취약한 것을 발견하지 못한 경우 여전히 감염될 수 있지만 SMBv1이 비활성화되었거나 컴퓨터가 패치되어 검사 도구에 영향을 줄 수 있습니다.

수정

모든 컴퓨터에 최신 패치를 적용하고 모든 보안 업데이트가 적용되는지 확인합니다.

1. SMBv1 사용 안 함

2. WannaCry 제거

3. 일부 랜섬 소프트웨어의 제어에 있는 데이터는 때때로 해독될 수 있습니다. 암호 해독은 사용자가 컴퓨터를 다시 시작하거나 해제하지 않은 경우에만 가능합니다. 자세한 내용은 오래된 시스템을 겨냥한 WannaCrypt 랜섬웨어 웜 참조하세요.

참고하십시오

• ATA 의심 활동 지침서
• ATA 포럼을 확인하세요!
• 의심스러운 활동 작업