Golden Ticket 공격: 도메인 전체를 영구 지배하는 Kerberos 위조 원리 | T1558.001

MITRE ATT&CK: T1558.001 (Golden Ticket) | 전술: Credential Access | 플랫폼: Windows

도입: 왜 이 공격이 중요한가

2018년 3월, APT15(Ke3chang) 그룹이 정부기관을 공격했을 때 가장 치명적인 순간은 바로 Golden Ticket 을 생성한 순간이었습니다. 단 한 번의 KRBTGT 해시 획득으로 도메인 전체에 무제한 접근권을 얻었거든요.

Golden Ticket 은 Kerberos 인증 체계의 핵심인 TGT(Ticket Granting Ticket)를 위조하는 공격입니다. 공격자가 도메인 컨트롤러의 KRBTGT 계정 해시를 획득하면, 도메인 내 모든 사용자로 위장한 인증 티켓을 무제한 생성할 수 있어요.

💡 쉬운 비유: 은행의 마스터 키를 복사해서 언제든지 모든 금고에 접근할 수 있는 만능 열쇠를 만드는 것과 같습니다.

1. 공격자 관점

왜 이 기법을 사용하는가

영구적 접근: KRBTGT 비밀번호가 변경되기 전까지(보통 몇 년) 지속적인 도메인 접근 가능
완벽한 정당성: 위조된 티켓이지만 도메인 컨트롤러가 유효한 것으로 인식하여 탐지 우회
최고 권한: 도메인 관리자를 포함한 모든 계정으로 위장 가능

동작 흐름

공격자는 다음과 같은 단계로 Golden Ticket 공격을 수행합니다:

단계	설명	필요 정보
1. 권한 획득	도메인 컨트롤러에 대한 관리자 권한 확보	로컬/도메인 관리자 계정
2. KRBTGT 해시 추출	Mimikatz 등으로 KRBTGT 계정의 NTLM 해시 덤프	KRBTGT 해시, 도메인 SID
3. 티켓 위조	임의의 사용자명과 권한으로 TGT 생성	도메인명, 사용자명(임의)
4. 티켓 주입	생성된 Golden Ticket을 현재 세션에 주입	-
5. 자원 접근	위조된 신원으로 도메인 내 모든 시스템 접근	-

💡 쉬운 비유: 위조 여권을 만들어서 어느 나라든 자유롭게 출입하는 것처럼, 위조 인증서로 도메인 내 어떤 시스템에든 접근할 수 있습니다.

2. 실제 공격 사례

📌 Ke3chang (APT15) - 정부기관 침투 작전 (2018)

배경: APT15는 중국 정부 배경의 공격 그룹으로, 아시아 태평양 지역의 정부기관과 군사 조직을 주요 타겟으로 삼았습니다. 이들의 목표는 정치·군사 기밀 정보 수집이었어요.

공격 과정:

초기 침투: RoyalCli, RoyalDNS 백도어를 통해 내부망 진입
권한 상승: Mimikatz를 사용해 KRBTGT 계정 해시 획득 후 Golden Ticket 생성
지속적 접근: 생성된 티켓으로 도메인 내 핵심 서버들에 무제한 접근하여 기밀 문서 탈취

피해 규모: 다수의 정부기관 네트워크가 수개월간 침해되었으며, 외교·국방 관련 기밀 정보가 대량 유출

출처: APT15 is alive and strong: An analysis of RoyalCli and RoyalDNS

📌 Empire Framework - 레드팀 침투 테스트 (2015-2016)

배경: PowerShell Empire는 침투 테스트 도구로 개발되었지만, 실제 공격자들도 광범위하게 악용했습니다. 이 프레임워크의 Golden Ticket 모듈은 특히 효과적이었어요.

공격 과정:

초기 침투: PowerShell 기반 에이전트로 내부망 진입
자격증명 수집: Empire의 Mimikatz 구현체를 통해 KRBTGT 해시 획득
영구 백도어: Golden Ticket 생성으로 탐지 우회하며 지속적 접근 유지

피해 규모: 수많은 기업 네트워크에서 발견되었으며, 특히 금융·제조업 분야에서 광범위하게 악용됨

출처: Github PowerShellEmpire

3. 왜 탐지가 어려운가?

공식 탐지 방법

MITRE에서 제시하는 탐지 방법은 다음과 같습니다:

[DET0144] Kerberos Golden Ticket 위조 탐지: 비정상적인 Kerberos 티켓 수명, 예상치 못한 암호화 유형(최신 도메인에서 RC4 사용 등), 로그온/로그오프 이벤트의 잘못된 필드, TGT 요청 없는 TGS 요청 등을 상관분석하여 탐지. 또한 여러 시스템에서 상승된 권한과 관련된 비정상적 접근 패턴도 모니터링

공격자가 이 기법을 선호하는 이유

완벽한 정당성: 위조된 티켓이지만 도메인 컨트롤러의 KRBTGT 키로 암호화되어 있어서 시스템이 완전히 유효한 것으로 인식합니다. 마치 진짜 여권을 들고 출입국 심사를 통과하는 것처럼요.

장기간 지속성: KRBTGT 계정의 비밀번호는 보통 몇 년간 변경되지 않기 때문에, 한 번 획득하면 매우 오랜 기간 사용할 수 있어요. 대부분의 조직에서는 이 계정의 존재조차 모르는 경우가 많거든요.

탐지 회피: 정상적인 Kerberos 인증 과정을 거치므로 네트워크 트래픽이나 로그에서 의심스러운 패턴이 거의 나타나지 않습니다.

탐지의 현실적 한계

높은 전문성 요구: Kerberos 프로토콜에 대한 깊은 이해가 필요하며, 정상적인 인증과 위조된 인증을 구분하기 위해서는 상당한 전문 지식이 필요해요.

로그 분석의 복잡성: 도메인 환경에서는 수많은 Kerberos 인증이 발생하므로, 그 중에서 위조된 티켓을 찾아내는 것은 건초더미에서 바늘 찾기와 같습니다.

비용과 성능: 모든 Kerberos 트래픽을 실시간으로 분석하려면 상당한 컴퓨팅 자원이 필요하며, 대부분의 조직에서는 비용 부담으로 인해 제한적으로만 모니터링하고 있어요.

4. 나도 위험할까? 자가 진단

이 공격이 나와 관련 있는지 확인해보세요.

이런 환경이라면 주의가 필요합니다

Windows Active Directory 도메인 환경을 사용하고 있다
도메인 관리자 계정이 여러 명에게 공유되어 있다
KRBTGT 계정 비밀번호를 한 번도 변경한 적이 없다
도메인 컨트롤러에 대한 접근 통제가 느슨하다

공식 대응 방안

[M1015] Active Directory 구성: 이전에 생성된 Golden Ticket의 영향을 제한하기 위해 내장 KRBTGT 계정 비밀번호를 두 번 재설정하여 KRBTGT 해시로 생성된 기존 Golden Ticket과 이에서 파생된 다른 Kerberos 티켓을 무효화합니다. 각 도메인에 대해 KRBTGT 계정 비밀번호를 한 번 변경하고, 복제를 강제한 다음 두 번째로 비밀번호를 변경합니다. KRBTGT 계정 비밀번호를 180일마다 순환하는 것을 고려하세요.

[M1026] 특권 계정 관리: 도메인 관리자 계정 권한을 도메인 컨트롤러와 제한된 서버로 제한합니다. 다른 관리 기능은 별도 계정에 위임합니다.

당장 할 수 있는 것

KRBTGT 계정 비밀번호를 정기적으로 변경하는 정책 수립 (최소 180일마다)
도메인 관리자 계정 사용을 최소한으로 제한하고, 필요시에만 임시 권한 부여
🏢 보안 담당자: Kerberos 인증 로그 모니터링 시스템 구축 및 비정상적인 TGT 발급 패턴 탐지 규칙 설정

5. 관련 기술

기법	설명	링크
T1003.003 NTDS	Golden Ticket 생성에 필요한 KRBTGT 해시를 NTDS.dit 파일에서 추출하는 기법	상세 분석 보기
T1003.006 DCSync	도메인 컨트롤러를 흉내내어 KRBTGT 해시를 원격으로 획득하는 기법	상세 분석 보기
T1558 Kerberos 공격	Golden Ticket을 포함한 다양한 Kerberos 인증 우회 기법들의 상위 카테고리	상세 분석 보기

참고 자료

[MITRE ATT&CK - T1558.001](https://attack.mitre.org/techniques/T1558/001/)