NTDS.dit 탈취: 도메인 전체를 장악하는 공격 원리 | T1003.003

$ cat ./report.md

MITRE ATT&CK: T1003.003 (NTDS) | 전술: Credential Access | 플랫폼: Windows

도입: 왜 이 공격이 중요한가

2022년 2월, 러시아의 우크라이나 침공 직전, 한 조직의 네트워크에서 이상한 신호가 포착되었습니다. APT28이 Wi-Fi 네트워크를 통해 침입한 후 가장 먼저 노린 것은 바로 도메인 컨트롤러의 NTDS.dit 파일이었습니다. 이 파일 하나만 있으면 조직 전체의 모든 사용자 계정을 장악할 수 있기 때문입니다.

NTDS.dit는 Active Directory의 핵심 데이터베이스로, 도메인 내 모든 사용자의 비밀번호 해시와 권한 정보가 저장되어 있습니다. 해커들이 이 파일을 손에 넣으면 조직 전체를 통제할 수 있는 '마스터 키'를 얻는 것과 같습니다.

💡 쉬운 비유: NTDS.dit는 아파트 관리사무소의 마스터키 보관함과 같습니다. 이 보관함을 털면 모든 세대의 열쇠를 복제할 수 있죠.

1. 공격자 관점

왜 이 기법을 사용하는가

한 번의 성공으로 전체 도메인 장악: 수천 명의 사용자 계정을 한꺼번에 탈취 가능
오프라인 크래킹 가능: 파일을 빼낸 후 안전한 곳에서 천천히 비밀번호 해독
영구적 접근권 확보: 관리자 계정까지 탈취하면 지속적인 네트워크 접근 가능

동작 흐름

공격자는 먼저 도메인 컨트롤러에 접근한 후, 실행 중인 NTDS.dit 파일을 직접 복사할 수 없으므로 볼륨 섀도우 카피를 생성합니다. 그 다음 복사본에서 파일을 추출하고, 암호화 키가 담긴 SYSTEM 레지스트리와 함께 외부로 빼돌립니다.

2. 실제 공격 사례

📌 APT28 - Nearest Neighbor Campaign (2022)

항목	상세 정보
공격 그룹	APT28 (Fancy Bear, Sofacy, STRONTIUM)
MITRE 그룹 ID	G0007
활동 기간	2022년 2월 (러시아-우크라이나 전쟁 직전)
배후 추정	러시아 GRU (군사정보국)
표적	우크라이나 관련 전문가 조직
주요 기법	Wi-Fi 침투, vssadmin 악용, NTDS.dit 탈취

배경: 러시아 침공 직전, APT28이 우크라이나 관련 전문가들이 근무하는 조직을 표적으로 삼았습니다. 이들의 목표는 우크라이나 관련 프로젝트 정보 수집이었습니다.

공격 과정:

근처 Wi-Fi 네트워크를 통해 조직의 기업 네트워크에 침입
도메인 컨트롤러 접근 후 vssadmin을 사용해 볼륨 섀도우 카피 생성
섀도우 카피에서 NTDS.dit 파일을 추출하여 도메인 전체의 계정 정보 탈취

피해 규모: 조직 전체 사용자 계정 정보 탈취 및 우크라이나 관련 민감 정보 유출

📌 APT28 - 글로벌 브루트포스 캠페인 (2021)

항목	상세 정보
공격 그룹	APT28 (Unit 26165)
MITRE 그룹 ID	G0007
활동 기간	2019년 ~ 2021년

배경: 러시아 GRU 소속 APT28이 전 세계 기업과 클라우드 환경을 대상으로 대규모 브루트포스 공격을 수행했습니다.

공격 과정:

다양한 방법으로 네트워크 침입 후 권한 상승
Windows 내장 도구인 ntdsutil.exe를 사용해 Active Directory 데이터베이스 추출
탈취한 계정 정보로 다른 시스템들에 횡적 이동 수행

피해 규모: 전 세계 다수의 기업 및 정부기관 네트워크 침해

📌 APT41 - World Tour Campaign (2021)

항목	상세 정보
공격 그룹	APT41 (BARIUM, Winnti Group, Double Dragon)
MITRE 그룹 ID	G0096
활동 기간	2021년
배후 추정	중국 국가안전부 (MSS)
표적 국가	미국, 유럽, 아시아 전역
표적 산업	기술, 통신, 의료, 게임, 제조업

| 관련 소프트웨어 | Mimikatz (S0002), ntdsutil |

배경: 중국계 APT41이 전 세계 다양한 산업의 조직들을 표적으로 한 대규모 공격 캠페인을 수행했습니다.

공격 과정:

다양한 초기 침입 벡터를 통해 네트워크 접근
ntdsutil 도구를 활용해 피해 환경의 NTDS.dit 파일 복사본 획득
탈취한 도메인 관리자 권한으로 네트워크 전체 장악

피해 규모: 전 세계 수십 개 조직의 민감 정보 및 지적재산 탈취

3. 왜 탐지가 어려운가?

공격자가 이 기법을 선호하는 이유

정상 도구 악용: Windows 내장 도구들(ntdsutil, vssadmin 등)을 사용하므로 악성 파일 탐지에 걸리지 않음
관리자 권한으로 실행: 이미 높은 권한을 획득한 상태에서 수행되므로 권한 상승 알람이 발생하지 않음
일회성 작업: 파일을 한 번만 복사하면 되므로 지속적인 네트워크 활동이 필요하지 않음

보안 솔루션의 한계

많은 보안 솔루션들이 악성 파일이나 네트워크 이상 징후를 탐지하는 데 집중되어 있어, 정상 시스템 도구를 사용한 데이터 접근은 놓치기 쉽습니다. 또한 도메인 컨트롤러에서의 관리 작업은 정상적인 것으로 간주되는 경우가 많습니다.

정상 행위와의 구분이 어려운 이유

시스템 관리자들도 백업이나 마이그레이션 목적으로 동일한 도구와 방법을 사용하기 때문에, 악의적인 활동과 정상적인 관리 작업을 구분하기가 매우 어렵습니다. 특히 야간이나 주말에 수행되면 더욱 의심받지 않습니다.

4. 나도 위험할까? 자가 진단

이 공격이 나와 관련 있는지 확인해보세요.

이런 환경이라면 주의가 필요합니다

Windows Active Directory 환경에서 업무하고 있다
원격 근무나 VPN 접속을 자주 사용한다
도메인 관리자나 높은 권한의 계정을 사용한다
피싱 메일이나 의심스러운 링크를 클릭한 적이 있다

당장 할 수 있는 것

강력한 비밀번호 사용 및 정기적 변경 (특히 관리자 계정)
의심스러운 시스템 성능 저하나 파일 접근 알림 주의 깊게 확인
이상한 점 발견 시 즉시 전문가에게 문의하거나 관련 기관에 신고하기

5. 관련 기술

기법	어떤 상황에서 함께 사용되나
T1003.001 LSASS Memory	NTDS.dit 파일 접근이 어려울 때 메모리에서 직접 자격 증명을 추출하는 대안으로 사용
T1021.001 Remote Desktop Protocol	탈취한 도메인 관리자 계정으로 다른 시스템에 RDP 접속하여 횡적 이동할 때
T1547.001 Registry Run Keys	지속성 확보를 위해 탈취한 권한으로 시스템 시작 시 실행되는 악성 코드 등록할 때

참고 자료

📌 이 글은 AI(Claude) 를 활용하여 작성되었으며, MITRE ATT&CK v18.0 기준 (2025-10-28) 을 기준으로 합니다. 본 콘텐츠는 보안 교육 및 방어 목적으로만 제공되며, 이를 악용한 불법 행위에 대한 책임은 전적으로 행위자 본인에게 있습니다.

?뱛 ??湲? [?먭꺽利앸챸 ?ㅽ븨(T1003) ?쒕━利?(/blog/t1003-os-credential-dumping-7819)???쇰??낅땲??

COMMENTS (0)

댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.