MITRE ATT&CK: T1003.001 (LSASS Memory) | 전술: Credential Access | 플랫폼: Windows
도입: 왜 이 공격이 중요한가
당신이 회사 PC에 로그인하는 순간, Windows는 당신의 비밀번호를 메모리 어딘가에 저장합니다. 놀랍게도 이 정보는 때로는 평문 형태로, 때로는 쉽게 복호화 가능한 형태로 보관되는데, 바로 LSASS(Local Security Authority Subsystem Service) 프로세스 메모리가 그 장소입니다.
해커들이 시스템에 침투한 후 가장 먼저 노리는 것이 바로 이 LSASS 메모리입니다. 왜냐하면 여기에는 현재 로그인한 사용자뿐만 아니라 최근에 로그인했던 모든 사용자의 자격 증명이 담겨 있기 때문입니다.
💡 쉬운 비유: LSASS 메모리는 호텔 리셉션 데스크의 열쇠함과 같습니다. 투숙객들이 외출할 때 맡긴 모든 방 열쇠가 한 곳에 모여 있어, 누군가 이 열쇠함에 접근할 수 있다면 호텔의 모든 방을 드나들 수 있게 됩니다.
1. 공격자 관점
왜 이 기법을 사용하는가
- 한 번의 공격으로 다수 계정 탈취: 단일 시스템에서 여러 사용자의 자격 증명을 동시에 획득 가능
- 높은 성공률: LSASS는 Windows의 핵심 프로세스로 항상 실행 중이며, 자격 증명을 메모리에 보관하는 것이 정상 동작
- 탐지 회피: 메모리 덤프는 정상적인 시스템 관리 작업으로 위장하기 쉬움
동작 흐름
공격자는 먼저 시스템에 침투한 후 관리자 권한을 획득합니다. 그 다음 LSASS 프로세스의 메모리를 덤프하여 오프라인에서 분석하거나, 직접 메모리에서 자격 증명을 추출합니다. 이렇게 얻은 계정 정보로 네트워크 내 다른 시스템으로 확산해 나갑니다.
2. 실제 공격 사례
📌 Agonizing Serpens (Agrius) - 이스라엘 교육기관 공격 (2023)
| 항목 | 상세 정보 |
|---|---|
| 공격 그룹 | Agonizing Serpens (Agrius, DEV-0227, BlackShadow) |
| MITRE 그룹 ID | G1030 |
| 활동 기간 | 2023년 1월 ~ 10월 |
| 배후 추정 | 이란 MOIS (정보보안부) |
| 표적 국가 | 이스라엘 |
| 표적 산업 | 교육기관, 기술 기업 |
| 관련 소프트웨어 | Mimikatz (S0002), MultiLayer Wiper, BFG Agonizer |
배경: 이란과 연관된 APT 그룹인 Agonizing Serpens가 2023년 1월부터 10월까지 이스라엘의 교육 기관과 기술 부문을 대상으로 대규모 파괴 공격을 수행했습니다. 이들의 목표는 개인정보와 지적재산권을 탈취한 후 시스템을 완전히 파괴하는 것이었습니다.
공격 과정:
- 초기 침투 후 시스템 내부로 확산하면서 관리자 권한을 획득
- Mimikatz 도구를 사용하여 LSASS 메모리를 덤프하고 다양한 사용자 계정의 자격 증명을 추출
- 탈취한 계정으로 네트워크 내 다른 시스템에 접근하여 민감한 데이터를 수집한 후, MultiLayer, PartialWasher, BFG Agonizer 등의 와이퍼로 증거를 인멸
피해 규모: 이스라엘 내 다수의 교육 기관과 기술 기업이 피해를 입었으며, 대량의 개인정보와 지적재산이 유출된 후 시스템이 완전히 파괴됨
📌 Sandworm Team - 우크라이나 전력망 공격 (2016)
| 항목 | 상세 정보 |
|---|---|
| 공격 그룹 | Sandworm Team (VOODOO BEAR, IRIDIUM) |
| MITRE 그룹 ID | G0034 |
| 활동 기간 | 2015년 ~ 2016년 |
| 배후 추정 | 러시아 GRU 74455 부대 |
| 표적 국가 | 우크라이나 |
| 표적 산업 | 전력 인프라, 산업제어시스템 |
| 관련 소프트웨어 | Mimikatz (S0002), CRASHOVERRIDE (S0604) |
배경: 러시아 정부와 연관된 Sandworm Team이 우크라이나의 전력 인프라를 마비시키기 위해 수행한 사이버 공격으로, CRASHOVERRIDE 악성코드를 사용했습니다.
공격 과정:
- 스피어피싱을 통해 전력회사 직원의 PC에 초기 침투
- Mimikatz를 사용하여 LSASS 메모리에서 정당한 사용자의 자격 증명을 캡처
- 탈취한 인증 정보로 산업제어시스템(ICS)에 접근하여 전력 공급을 차단하고 CRASHOVERRIDE로 복구를 방해
피해 규모: 우크라이나 수도 키예프 일대에서 약 1시간 동안 정전이 발생하여 20만 명 이상의 시민이 피해를 입음
📌 APT1 - 중국 사이버 스파이 작전 (2006-2013)
| 항목 | 상세 정보 |
|---|---|
| 공격 그룹 | APT1 (Comment Crew, PLA Unit 61398) |
| MITRE 그룹 ID | G0006 |
| 활동 기간 | 2006년 ~ 2013년 |
| 배후 추정 | 중국 인민해방군 61398부대 |
| 표적 국가 | 미국, 영국, 캐나다 등 20개국 |
| 표적 산업 | 방산, 에너지, 금융, IT 등 20개 산업 |
| 관련 소프트웨어 | Mimikatz (S0002) |
배경: 중국 인민해방군 61398부대로 추정되는 APT1이 7년간 전 세계 141개 조직을 대상으로 수행한 대규모 사이버 스파이 활동입니다.
공격 과정:
- 다양한 업종의 기업과 기관에 장기간 잠복하며 지속적인 정보 수집 활동 수행
- Mimikatz를 활용한 자격 증명 덤핑을 통해 네트워크 내에서 권한을 확장
- 탈취한 계정으로 핵심 시스템에 접근하여 지적재산권, 기밀 문서, 이메일 등을 대량 유출
피해 규모: 전 세계 20개 산업 분야에 걸쳐 테라바이트 단위의 데이터가 유출되었으며, 피해 기업들은 수십억 달러의 손실을 입음
3. 왜 탐지가 어려운가?
공격자가 이 기법을 선호하는 이유
- 정상 프로세스 악용: LSASS는 Windows의 필수 프로세스로, 이를 대상으로 하는 활동이 의심스럽게 보이지 않음
- 오프라인 분석 가능: 메모리 덤프 파일을 생성한 후 공격자의 시스템에서 안전하게 분석 가능
- 다양한 우회 기법: procdump, comsvcs.dll, WerFault.exe 등 정상 Windows 도구를 사용하여 보안 솔루션을 우회
보안 솔루션의 한계
대부분의 안티바이러스나 EDR 솔루션은 Mimikatz 같은 잘 알려진 도구는 탐지하지만, Windows 내장 도구를 사용한 메모리 덤프는 놓치는 경우가 많습니다. 또한 공격자가 메모리 덤프 파일을 외부로 반출한 후 오프라인에서 분석하는 경우, 실제 자격 증명 추출 과정은 완전히 탐지 영역 밖에서 이루어집니다.
정상 행위와의 구분이 어려운 이유
시스템 관리자들도 문제 해결이나 포렌식 분석을 위해 프로세스 메모리를 덤프하는 경우가 있어, 공격과 정상 관리 작업을 구분하기 어렵습니다. 특히 rundll32.exe나 procdump.exe 같은 도구는 일상적인 시스템 관리에서도 자주 사용됩니다.
4. 나도 위험할까? 자가 진단
이 공격이 나와 관련 있는지 확인해보세요.
이런 환경이라면 주의가 필요합니다
- 여러 명이 같은 PC를 공용으로 사용하는 환경 (관리자 계정 포함)
- 원격 데스크톱이나 VPN을 통해 회사 시스템에 접속하는 경우
- 시스템 관리자나 IT 담당자로서 여러 서버에 접근 권한이 있는 경우
- 개발자나 데이터베이스 관리자 등 특권 계정을 사용하는 업무를 하는 경우
당장 할 수 있는 것
- PC 사용 후에는 반드시 로그아웃하기 (화면 잠금이 아닌 완전한 로그아웃)
- 업무용 계정과 일반 계정을 분리하여 사용하기
- 의심스러운 프로세스나 파일(특히 .dmp 확장자 파일) 발견 시 전문가에게 문의하거나 관련 기관에 신고하기
5. 관련 기술
| 기법 | 어떤 상황에서 함께 사용되나 |
|---|---|
| T1550 Use Alternate Authentication Material | LSASS에서 추출한 해시값이나 티켓을 사용하여 비밀번호 없이 다른 시스템에 인증할 때 |
| T1021 Remote Services | 탈취한 자격 증명으로 RDP, SMB 등을 통해 네트워크 내 다른 컴퓨터에 원격 접속할 때 |
| T1055 Process Injection | 메모리 덤프 과정에서 탐지를 피하기 위해 정상 프로세스에 악성 코드를 주입할 때 |
📚 함께 읽어보기: T1003.001 vs T1003.002 vs T1003.004 완전 비교 분석
참고 자료
- MITRE ATT&CK - T1003.001 LSASS Memory
- MITRE ATT&CK - Agrius (G1030)
- MITRE ATT&CK - Sandworm Team (G0034)
- MITRE ATT&CK - APT1 (G0006)
- Unit 42 - Agonizing Serpens Targets Israeli Tech Higher Ed Sectors
- Mandiant - APT1 Exposing One of China's Cyber Espionage Units
- CISA - Sandworm Team CRASHOVERRIDE Advisory
📌 이 글은 AI(Claude) 를 활용하여 작성되었으며, MITRE ATT&CK v18.0 기준 (2025-10-28) 을 기준으로 합니다. 본 콘텐츠는 보안 교육 및 방어 목적으로만 제공되며, 이를 악용한 불법 행위에 대한 책임은 전적으로 행위자 본인에게 있습니다.
?뱛 ??湲? [?먭꺽利앸챸 ?ㅽ븨(T1003) ?쒕━利?(/blog/t1003-os-credential-dumping-7819)???쇰??낅땲??
COMMENTS (0)
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.