최신 시스템은 암호를 해시 형식으로 저장합니다. 공격자는 평문 암호 없이 프라이빗 애플리케이션에 인증하기 위해 시스템 도난 해시를 전송할 수 있습니다. PtH(pass-the-hash) 공격은 해시 값을 일반 텍스트로 강제할 필요가 없습니다. 그 대신, 공격자는 사용자의 현재 세션을 사용하거나 메모리, 보통 멀웨어로부터 해시를 받습니다.
패스 더 해시란?
비밀번호가 생성되면, 운영 체제는 암호화 보안 해시를 사용하여 이를 메모리에 저장합니다. 해시 데이터베이스는 사용자 프로그램에 액세스할 수 없어야 하지만, 멀웨어는 보안을 우회하고 이러한 암호에 대한 메모리를 스크레이핑하도록 작성되었습니다. 사용자가 인증한 후, 사용자가 특정 시스템에서 작업할 때 애플리케이션에 인증할 수 있도록 암호가 메모리에 저장될 수 있습니다.
패스-더-해시 공격은 인증된 사용자 해시를 획득하고 이를 사용하여 사용자 계정의 맥락에서 민감한 데이터 또는 애플리케이션에 액세스합니다. PtH 공격은 본질적으로 사용자를 사칭하고 승인된 사용자에게 할당된 티켓을 생성하는 데 사용되는 Kerberos와 같은 인증 프로토콜을 활용합니다. 티켓은 시스템에 액세스를 허용하도록 알려주기 때문에, 사용자 해시를 사용하면 공격자가 보통 멀웨어의 형태로 대상 애플리케이션에 액세스할 수도 있습니다.
패스-더-해시 공격의 작동 방식
공격자들은 먼저 해시를 받아야 합니다. 이는 일반적으로 멀웨어를 통해 이루어집니다. 맬웨어는 드라이브-바이 다운로드 또는 피싱을 통해 표적에게 전달될 수 있으며, 이 경우 권한이 높은 사용자가 시스템에 설치하도록 속입니다. 이상적으로는, 공격자의 경우, 시스템에 대한 관리자 액세스 권한이 있는 사용자가 악성코드를 설치하는 것이 좋습니다. 그런 다음 멀웨어는 활성 사용자 계정과 해시를 위해 메모리를 폐기합니다.
해시를 사용하면, 악성코드가 네트워크를 가로지르는 측면 이동을 하여 인증된 사용자를 가장합니다. 대부분의 PtH 공격은 동일한 사용자 자격 증명이 여러 시스템으로 계정을 인증하는 싱글 사인온(SSO) 시스템에서 작동합니다. 표적 시스템은 사용자 자격 증명을 검증할 수 있지만, 도난당한 해시는 이 문제를 해결합니다. 맬웨어는 도난당한 해시의 해당 사용자 계정으로 모든 시스템 또는 데이터에 액세스할 수 있습니다.
공통의 목표 및 취약점
윈도우 머신은 PtH 공격의 가장 일반적인 표적입니다. Windows에서 NTL(New Technology LAN Manager)은 여러 네트워크 애플리케이션에 걸쳐 사용자를 승인하는 데 사용되는 Microsoft 보안 프로토콜입니다. NTLM은 사용자 암호를 염분 없이 해시로 저장하기 때문에 해시(PtH) 공격에 취약합니다. 이는 암호에 추가된 임의 문자열 문자로, 해시에서 무차별 공격을 차단합니다. 공격자는 침해된 시스템에서 이러한 해시를 쉽게 캡처하고 이를 사용하여 원래 암호를 알 필요 없이 사용자로 인증할 수 있으므로, 암호 자체를 손상시키지 않고도 다른 시스템과 리소스에 액세스할 수 있도록 해시를 효과적으로 통과할 수 있습니다. 따라서 NTLM은 크리덴셜 도용 공격의 주요 표적이 됩니다.
NTLM은 기존 Windows 운영 체제에서 백워드 호환성을 지원하므로 새로운 버전의 도메인 컨트롤러가 여전히 PtH에 취약할 수 있습니다. 모든 Windows 운영 체제 및 서비스는 NTLM과의 역호환성을 사용하는 경우 PtH에 취약합니다. 2022년, Microsoft Exchange 서버는 Windows 서버가 악성코드와 PtH에 의해 침해된 후 측면 이동을 통해 침해되었습니다.
패스-더-해시 공격의 영향
모니터링, 맬웨어 방지 소프트웨어 및 침입 탐지가 없으면 PtH 공격이 수개월 동안 지속될 수 있습니다. 횡방향 시스템에 대한 인증은 합법적인 자격 증명을 사용하여 수행되므로, 간단한 인증 및 인증 모니터링이 필요한 경우 공격이 감지되지 않습니다. PtH의 총 영향은 해시의 승인에 달려 있습니다.
권한이 높은 사용자가 해시를 도난당하면 민감한 정보에 대한 액세스 권한이 부여되어 대규모 데이터 침해가 발생할 수 있습니다. 멀웨어는 공격자에게 로컬 시스템에 대한 원격 액세스를 제공하거나, 데이터를 유출하여 타사 서버로 전송할 수 있습니다. 유출된 데이터는 비용이 많이 드는 컴플라이언스 벌금 및 소송을 초래할 수 있으며, 멀웨어의 억제 및 제거에 추가 비용이 들 수 있습니다.
예방 및 완화 전략
PtH 공격으로 인한 피해를 줄이기 위한 첫 번째 단계는 작업을 수행하는 데 필요한 데이터와 애플리케이션으로만 사용자를 제한하는 것입니다. 최소 권한 원칙을 따르면 멀웨어가 포함되어 환경의 모든 영역에 액세스하지 못하게 됩니다. 사용자는 피싱 및 잠재적 멀웨어를 인식하여 악성 이메일 및 웹 사이트에서 발생하는 사고를 줄이도록 교육을 받아야 합니다. 세분화 및 계층화 네트워크 아키텍처는 덜 안전한 시스템으로 인해 중요한 시스템이 손상되는 것을 방지합니다.
침입 탐지 및 모니터링 시스템은 PtH의 잠재적 위협을 식별하는 데 유용합니다. 로컬 시스템에 멀웨어가 설치되면 침입 탐지는 의심스러운 트래픽 패턴을 식별합니다. 또한, NTLM이 필요하지 않을 때 비활성화하면 해시를 훔치는 데 일부 멀웨어가 비효율적이 됩니다.
방어를 위한 툴 및 기술
Windows에는 패스-더-해시 공격을 방지하는 몇 가지 내부 툴이 있습니다. Credential Guard는 해시를 격리하고 멀웨어 및 기타 메모리 스크래퍼에 대한 장벽을 만듭니다. 또한, Windows에는 알려진 위협을 식별하고 설치하지 못하도록 차단하는 내부 맬웨어 방지 애플리케이션이 있습니다.
Microsoft는 관리자를 위한 고유한 암호를 강제하기 위해 로컬 관리자 암호 솔루션(LAPS)을 제공합니다. 네트워크 환경 전반에서 동일한 암호를 사용하는 관리자는 단일 해시를 도난당한 후 동일한 암호를 가진 모든 시스템을 손상시킬 수 있습니다. 사용자 자격 증명 및 Active Directory를 감사하면 권한이 너무 많고 무단 액세스 가능성이 있는 계정을 식별할 수 있습니다.
결론
악성코드 주입 방지는 PtH를 포함한 위협으로부터 환경을 보호하는 첫 단계입니다. 사용자가 피싱 위험을 인지하고, 알 수 없는 소스에서 소프트웨어를 다운로드하는 경우의 위험에 대해 높은 권한을 가진 사용자를 교육하세요. Windows에서 작업하는 경우 NTLM을 사용하지 마십시오. 그러나 공격자가 보안을 우회하는 경우 PtH 멀웨어가 데이터를 훔치지 않도록 맬웨어 방지 소프트웨어를 설치해야 합니다.
환경에 PtH 공격이 발생하는 경우, 퓨어스토리지는 데이터 복구를 지원하는 복구 및 복원 솔루션을 제공합니다. SafeMode™ 스냅샷과 이러한 스냅샷이 위험을 완화하는 데 어떻게 도움이 되는지 자세히 알아보세요.
