개요
MITRE ID: T1558 | 전술: Credential Access | 플랫폼: Windows, Linux, macOS
Kerberos 티켓 탈취·위조는 공격자가 Windows 도메인 환경에서 정상적인 인증 과정을 우회하여 시스템에 접근하는 기법입니다. 공격자는 Kerberos 인증 티켓을 훔치거나 위조해서 비밀번호 없이도 도메인 리소스에 자유롭게 접근할 수 있게 됩니다.
현대 기업 환경에서 Active Directory는 필수 인프라인데, Kerberos는 여기서 핵심적인 인증 프로토콜 역할을 합니다. 그런데 이 시스템의 특성상 한 번 유효한 티켓을 얻으면 상당 기간 동안 재사용이 가능하거든요. 공격자들이 이 점을 노리는 거죠.
💡 쉬운 비유: 영화관 티켓을 생각해보세요. 정상적으로 구매하거나(정당한 인증), 위조하거나(Golden/Silver Ticket), 다른 사람 것을 훔치면(티켓 탈취) 모두 영화관에 들어갈 수 있잖아요. Kerberos 공격도 비슷한 원리입니다.
하위 기법 (Sub-techniques)
이 기법에는 다음과 같은 세부 기법들이 있습니다:
| ID | 이름 |
|---|---|
| T1558.001 | Golden Ticket |
| T1558.002 | Silver Ticket |
| T1558.003 | Kerberoasting |
| T1558.004 | AS-REP Roasting |
| T1558.005 | Ccache Files |
각 하위 기법의 상세 분석 은 개별 글에서 다룹니다.
대표 사례
📌 Akira 랜섬웨어 - Kerberos 자격증명 덤프
Akira 랜섬웨어 그룹은 2024년 공격에서 스크립트를 사용해 Kerberos 인증 자격증명을 덤프하는 기법을 활용했습니다. 이들은 도메인 환경에 침투한 후 정상적인 Kerberos 티켓들을 수집해서 추가적인 시스템 접근에 활용했거든요.
특히 Akira는 지속적으로 공격 기법을 발전시키고 있는 그룹으로, 초기에는 데이터 탈취에만 집중하다가 최근에는 다시 암호화와 데이터 탈취를 병행하는 방식으로 전환했습니다. Kerberos 티켓 탈취는 이런 다단계 공격에서 핵심적인 역할을 하죠.
출처: Akira ransomware continues to evolve
공격자가 Kerberos를 노리는 이유
1. 장기간 유효성
Kerberos 티켓은 기본적으로 10시간(TGT) 또는 7일(서비스 티켓) 동안 유효합니다. 한 번 획득하면 상당 기간 재사용할 수 있어서 공격자 입장에서는 매우 효율적이에요.
2. 탐지 회피
정상적인 Kerberos 트래픽과 구분하기 어렵습니다. 위조된 티켓이라도 암호화 서명이 올바르면 시스템에서는 정상 인증으로 인식하거든요.
3. 광범위한 접근 권한
Golden Ticket 같은 경우 도메인 관리자 권한으로 위조할 수 있어서, 한 번 성공하면 전체 도메인을 장악할 수 있습니다.
4. 오프라인 공격 가능
Kerberoasting처럼 일부 기법은 티켓을 수집한 후 오프라인에서 크래킹할 수 있어서 탐지 위험이 낮습니다.
방어 전략
탐지 포인트:
- 비정상적인 Kerberos 이벤트 로그 (4768, 4769, 4771)
- 암호화 유형이 RC4인 티켓 요청 급증
- 서비스 계정의 비정상적인 TGS 요청 패턴
- 만료된 계정이나 비활성 시간대의 티켓 사용
예방 조치:
- 서비스 계정 비밀번호 정기 변경
- AES 암호화 강제 설정
- Kerberos 티켓 수명 단축
- 특권 계정 모니터링 강화
참고 자료
관련 글 더 보기
- 브라우저 핑거프린트 위조: 공격자가 네트워크 탐지를 우회하는 원리 | T1036.012
- 프로세스 인수 덮어쓰기: 공격자가 정상 데몬으로 위장하는 원리 | T1036.011
- 계정명 위장 공격: 공격자가 admin, backup 이름으로 탐지를 우회하는 원리 | T1036.010
- 프로세스 트리 조작: 공격자가 부모 프로세스 추적을 차단하는 원리 | T1036.009
- 소프트웨어 공급망 침해: 한 번 감염으로 수백만 피해자를 만드는 원리 | T1195.002
- NPM 패키지 위조 공격: 개발 도구가 백도어가 되는 원리 | T1195.001
- Golden Ticket 공격: 도메인 전체를 영구 지배하는 Kerberos 위조 원리 | T1558.001
안내 및 법적 고지
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었으며, MITRE ATT&CK (최신 버전) 기준 정보를 포함합니다. 기술적 내용은 MITRE ATT&CK 공식 데이터를 기반으로 하며, 보안 교육 목적으로 제공됩니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.
COMMENTS (0)
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.