사이버 공격자들이 시스템에 침입한 후 가장 우선적으로 노리는 것은 무엇일까요? 바로 자격 증명(Credentials) 입니다. 한 번 획득한 자격 증명으로 더 많은 시스템에 접근하고, 권한을 상승시키며, 네트워크 전체로 공격을 확산시킬 수 있기 때문입니다.
MITRE ATT&CK 프레임워크에서는 이러한 자격 증명 획득 기법들을 체계적으로 분류하고 있으며, 현재 14개의 전술과 691개의 기법(216개의 주요 기법 + 475개의 하위 기법)으로 구성되어 있습니다. 그 중에서도 T1003(OS Credential Dumping) 기법의 세 가지 하위 기법인 T1003.001(LSASS Memory), T1003.002(Security Account Manager), T1003.004(LSA Secrets) 는 Windows 환경에서 가장 빈번하게 사용되는 자격 증명 획득 방법들입니다.
T1003.001 - LSASS Memory: 메모리 속 보물창고
기법 개요
| 항목 | 상세 정보 |
|---|---|
| MITRE ID | T1003.001 |
| 기법명 | OS Credential Dumping: LSASS Memory |
| 전술 | Credential Access |
| 플랫폼 | Windows |
| 권한 요구 | SYSTEM, Administrator |
LSASS(Local Security Authority Subsystem Service) Memory 공격은 Windows 시스템의 핵심 보안 프로세스인 LSASS 프로세스의 메모리를 덤프하여 자격 증명을 추출하는 기법입니다.
작동 원리
LSASS 프로세스는 사용자 인증을 담당하며, 로그인한 사용자들의 자격 증명을 메모리에 캐시합니다. 공격자는 Security Support Providers(SSPs)를 통해 다음과 같은 정보를 획득할 수 있습니다:
- Msv: 대화형, 배치, 서비스 로그온 자격 증명
- Wdigest: HTTP 및 SASL 인증 자격 증명
- Kerberos: 도메인 인증 자료
- CredSSP: 원격 데스크톱 서비스 자격 증명
주요 도구들
| 도구명 | MITRE ID | 설명 |
|---|---|---|
| Mimikatz | S0002 | 가장 유명한 자격 증명 추출 도구 |
| LaZagne | S0349 | 다중 플랫폼 자격 증명 수집 |
| ProcDump | - | Microsoft 공식 도구 악용 |
| Windows Credential Editor | S0005 | WCE 도구 |
| gsecdump | S0008 | SAM/AD 해시 덤프 |
탐지 포인트
- LSASS 프로세스에 대한 비정상적인 메모리 접근 (0x1F0FFF 권한)
- 메모리 덤프 작업 후 파일 생성 또는 레지스트리 수정
- 메모리 덤프 파일(.dmp) 생성
T1003.002 - Security Account Manager: 로컬 계정의 비밀 금고
기법 개요
| 항목 | 상세 정보 |
|---|---|
| MITRE ID | T1003.002 |
| 기법명 | OS Credential Dumping: Security Account Manager |
| 전술 | Credential Access |
| 플랫폼 | Windows |
| 권한 요구 | SYSTEM |
SAM(Security Account Manager) 공격은 Windows 시스템의 로컬 사용자 계정 정보가 저장된 SAM 데이터베이스에서 자격 증명을 추출하는 기법입니다.
작동 원리
SAM 데이터베이스는 다음 위치에 저장됩니다:
- 레지스트리:
HKEY_LOCAL_MACHINE\SAM - 파일 시스템:
%SystemRoot%\System32\config\SAM
공격자는 시스템이 실행 중일 때는 레지스트리를 통해, 오프라인 상태에서는 파일을 직접 복사하여 접근합니다.
획득 가능한 정보
- 로컬 사용자 계정의 NTLM 해시
- 사용자 계정 정보 (SID, 그룹 멤버십 등)
- 패스워드 정책 정보
주요 공격 도구
| 도구명 | MITRE ID | 공격 방법 |
|---|---|---|
| Mimikatz | S0002 | lsadump::sam 모듈 |
| Impacket secretsdump | S0357 | 원격/로컬 SAM 덤프 |
| pwdump | S0006 | SAM 해시 추출 |
| gsecdump | S0008 | SAM/LSA 덤프 |
| reg save | - | reg save HKLM\sam sam 명령어 |
제한사항
- 로컬 계정 에만 제한됨
- 도메인 계정 정보는 포함되지 않음
- SYSTEM 권한 필요
T1003.004 - LSA Secrets: 시스템의 숨겨진 비밀
기법 개요
| 항목 | 상세 정보 |
|------|----------| | MITRE ID | T1003.004 | | 기법명 | OS Credential Dumping: LSA Secrets | | 전술 | Credential Access | | 플랫폼 | Windows | | 권한 요구 | SYSTEM |
LSA(Local Security Authority) Secrets 는 Windows 시스템이 다양한 서비스와 기능을 위해 저장하는 민감한 정보들을 의미합니다.
저장되는 정보 유형
LSA Secrets에는 서비스 계정 자격 증명(credentials for service accounts) 등 시스템 운영에 필요한 민감한 정보가 저장됩니다.
저장 위치
- 레지스트리:
HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets - 각 비밀은 고유한 키 이름으로 저장됨
공격 도구
| 도구명 | MITRE ID | 공격 방법 |
|---|---|---|
| Mimikatz | S0002 | lsadump::secrets 모듈 (메모리) |
| Impacket secretsdump | S0357 | 원격 LSA Secrets 덤프 |
| gsecdump | S0008 | LSA Secrets 덤프 |
| CrackMapExec | S0488 | --lsa 옵션 |
| LaZagne | S0349 | Windows secrets 모듈 |
세 기법의 핵심 차이점 비교
1. 대상과 범위
| 기법 | 대상 | 범위 | 정보 유형 |
|---|---|---|---|
| T1003.001 | LSASS 메모리 | 현재 로그인된 사용자 | 실시간 자격 증명, 티켓 |
| T1003.002| SAM 데이터베이스 | 로컬 계정 전체 | 저장된 계정 해시 | | T1003.004| LSA Secrets | 시스템/서비스 계정 | 서비스 자격 증명 |
2. 공격 조건과 요구사항
T1003.001 (LSASS Memory)
- 실시간 공격: 시스템이 실행 중이어야 함
- 높은 권한: SYSTEM 또는 Administrator 권한 필수
- 프로세스 접근: LSASS 프로세스에 직접 접근
T1003.002 (SAM)
- 오프라인 가능: 시스템이 종료된 상태에서도 공격 가능
- 파일 접근: SAM 파일 또는 레지스트리 접근 권한
- 부팅 우회: 외부 부팅 디스크로도 접근 가능
- SYSTEM 권한 필요
T1003.004 (LSA Secrets)
- SYSTEM 권한: 높은 수준의 시스템 접근 권한
- 레지스트리 접근: SECURITY 하이브에 대한 읽기 권한
- 지속성: 시스템 재부팅 후에도 정보 유지
3. 탐지 난이도와 방어 전략
탐지 용이성 순서: T1003.001 > T1003.004 > T1003.002
T1003.001 방어 전략
- Credential Guard 활성화
- LSASS 보호 모드(Protected Process Light) 설정
- 메모리 접근 모니터링
- EDR 솔루션 배포
- NTLM 및 WDigest 인증 비활성화 또는 제한
T1003.002 방어 전략
- 파일 시스템 접근 제어
- 부팅 보안 강화
- Volume Shadow Copy 모니터링
- 레지스트리 접근 감시 (HKLM\SAM, HKLM\SYSTEM 순차 접근)
- 강력하고 고유한 패스워드 사용
T1003.004 방어 전략
- 서비스 계정 관리 강화
- 최소 권한 원칙 적용
- 정기적인 패스워드 변경
- 레지스트리 보안 설정
실제 공격 시나리오에서의 활용
초기 침투 단계
공격자는 보통 T1003.001(LSASS Memory) 부터 시작합니다. 현재 로그인된 사용자의 자격 증명을 빠르게 획득하여 측면 이동(Lateral Movement)의 발판을 마련하기 때문입니다.
권한 상승 단계
T1003.004(LSA Secrets) 를 통해 서비스 계정이나 시스템 계정의 자격 증명을 획득하여 더 높은 권한을 얻습니다.
지속성 확보 단계
T1003.002(SAM) 를 통해 모든 로컬 계정 정보를 획득하여 백도어 계정 생성이나 기존 계정 악용을 위한 정보를 수집합니다.
통합 방어 전략
1. 기술적 대응
- Windows Defender Credential Guard 배포
- LSASS Protection 활성화
- Privileged Access Management(PAM) 솔루션 도입
- Endpoint Detection and Response(EDR) 시스템 구축
2. 관리적 대응
- 최소 권한 원칙 철저한 적용
- 정기적인 패스워드 정책 검토
- 서비스 계정 관리 체계화
- 보안 인식 교육 강화
3. 모니터링 포인트
- LSASS 프로세스 접근 시도
- SAM 파일 또는 레지스트리 접근
- 비정상적인 메모리 덤프 활동
- 높은 권한 요구 프로세스 실행
결론
T1003.001, T1003.002, T1003.004는 각각 다른 특성과 목적을 가진 자격 증명 획득 기법들입니다. T1003.001은 실시간 공격에 최적화되어 있고, T1003.002는 로컬 환경에서의 포괄적인 정보 수집에 유용하며, T1003.004 는 시스템 깊숙한 곳의 민감한 정보에 접근할 수 있습니다.
효과적인 보안 전략을 수립하려면 이 세 기법의 차이점을 정확히 이해하고, 각각에 맞는 차별화된 방어 메커니즘을 구축해야 합니다. 특히 Windows 환경에서는 이러한 기법들이 조합되어 사용되는 경우가 많으므로, 통합적인 관점에서의 보안 설계가 필수적입니다.
참고 자료
- MITRE ATT&CK - T1003 OS Credential Dumping
- MITRE ATT&CK - T1003.001 LSASS Memory
- MITRE ATT&CK - T1003.002 Security Account Manager
- MITRE ATT&CK - T1003.004 LSA Secrets
- MITRE ATT&CK - Mimikatz (S0002)
- MITRE ATT&CK - Impacket (S0357)
- MITRE ATT&CK - LaZagne (S0349)
📌 이 글은 AI(Claude) 를 활용하여 작성되었으며, MITRE ATT&CK v18.0 기준 (2025-10-28) 을 기준으로 합니다. 본 콘텐츠는 보안 교육 및 방어 목적으로만 제공되며, 이를 악용한 불법 행위에 대한 책임은 전적으로 행위자 본인에게 있습니다.
?뱛 ??湲? [?먭꺽利앸챸 ?ㅽ븨(T1003) ?쒕━利?(/blog/t1003-os-credential-dumping-7819)???쇰??낅땲??
COMMENTS (0)
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.