MITRE ATT&CK: T1003.005 (Cached Domain Credentials) | 전술: Credential Access | 플랫폼: Windows, Linux
도입: 왜 이 공격이 중요한가
당신이 회사 노트북을 들고 집에서 일하려는데 갑자기 인터넷이 끊어졌을 때도 Windows 로그인이 가능한 이유가 무엇일까요? 바로 Windows가 도메인 자격증명을 로컬에 캐시해두기 때문입니다. 하지만 이 편리한 기능이 해커들에게는 절호의 기회가 됩니다.
Cached Domain Credentials 공격은 해커가 시스템에 저장된 도메인 사용자의 캐시된 자격증명을 탈취하여 비밀번호를 복구하거나 추가적인 공격에 활용하는 기법입니다. 특히 네트워크 연결이 불안정한 환경에서 사용자 편의를 위해 설계된 이 기능이 오히려 보안 취약점이 되고 있습니다.
💡 쉬운 비유: 집 열쇠를 현관 화분 밑에 숨겨두는 것과 같습니다. 집주인에게는 편리하지만, 도둑이 이를 알게 되면 언제든 집에 들어올 수 있죠.
1. 공격자 관점
왜 이 기법을 사용하는가
- 오프라인 공격 가능: 도메인 컨트롤러와 연결이 끊어진 상태에서도 캐시된 해시를 이용해 비밀번호 크래킹이 가능합니다
- 탐지 회피: 네트워크 트래픽을 생성하지 않고 로컬에서만 작업하므로 네트워크 모니터링을 우회할 수 있습니다
- 지속성 확보: 한 번 캐시된 자격증명은 시스템이 재부팅되어도 유지되어 지속적인 접근이 가능합니다
동작 흐름
공격자는 먼저 대상 시스템에 침투한 후 SYSTEM 권한이나 sudo 접근을 확보합니다. 그 다음 Windows의 경우 레지스트리에서, Linux의 경우 SSSD나 Quest 데이터베이스에서 캐시된 자격증명 해시를 추출합니다. 마지막으로 추출한 해시를 오프라인에서 크래킹하여 실제 비밀번호를 복구합니다.
2. 실제 공격 사례
📌 APT33 (Elfin) - 중동 및 미국 기업 대상 공격 (2016-2019)
| 항목 | 상세 정보 |
|---|---|
| 공격 그룹 | APT33 (Elfin, HOLMIUM, Refined Kitten) |
| MITRE 그룹 ID | G0064 |
| 활동 기간 | 2016년 ~ 2019년 |
| 표적 국가 | 사우디아라비아 (42%), 미국 (34%), 기타 (24%) |
| 표적 산업 | 에너지, 항공우주, 석유화학, 제조업 |
| 관련 소프트웨어 | LaZagne (S0349), Mimikatz (S0002) |
배경: 이란과 연관된 것으로 추정되는 APT33(Elfin) 그룹이 사우디아라비아와 미국의 주요 기업들을 대상으로 대규모 스피어피싱 캠페인을 전개했습니다. 이들의 목표는 에너지, 화학, 제조업 분야의 기밀 정보 탈취였습니다.
공격 과정:
- 취약한 웹사이트를 스캔하여 초기 침투점을 확보하고 스피어피싱 이메일을 통해 시스템에 접근
- LaZagne 등의 공개 도구를 활용하여 MSCache에서 도메인 자격증명을 추출하고 비밀번호 크래킹 수행
- 탈취한 자격증명으로 네트워크 내 다른 시스템으로 측면 이동하며 추가 정보 수집 및 지속적 접근 확보
피해 규모: 2016년부터 2019년까지 최소 50개 조직이 피해를 입었으며, 사우디아라비아 42%, 미국 18개 기업을 포함한 다수의 Fortune 500 기업들이 표적이 되었습니다.
📌 LaZagne 도구를 활용한 광범위한 자격증명 탈취
| 항목 | 상세 정보 |
|---|---|
| 도구명 | LaZagne |
| MITRE 소프트웨어 ID | S0349 |
| 기능 | 웹 브라우저, 이메일, 데이터베이스, MSCache 등 자격증명 추출 | | 사용 그룹 | APT33, OilRig, Leafminer 등 다수 |
배경: LaZagne은 로컬 컴퓨터에 저장된 다양한 형태의 비밀번호를 추출하는 오픈소스 도구로, 많은 공격자들이 MSCache 크래킹을 위해 활용하고 있습니다.
공격 과정:
- 초기 침투 후 LaZagne 도구를 대상 시스템에 배포하고 실행 권한 확보
laZagne.exe all명령으로 MSCache를 포함한 모든 저장된 자격증명을 자동으로 스캔 및 추출- 추출된 도메인 캐시 해시를 오프라인 환경에서 사전 공격이나 무차별 대입 공격으로 크래킹
피해 규모: 공개 도구의 특성상 정확한 피해 규모는 파악이 어렵지만, GitHub에서 수천 명이 다운로드하여 사용하고 있어 광범위한 악용이 우려됩니다.
3. 왜 탐지가 어려운가?
공식 탐지 방법
DET0513 Detection of Cached Domain Credential Dumping via Local Hash Cache Access - AN1417: Mimikatz, reg.exe, PowerShell 등의 도구를 사용하여 Windows 캐시된 도메인 자격증명 파일에 접근하는 공격자 행동을 탐지하며, 종종 레지스트리 내보내기나 LSASS 메모리 스크래핑과 결합됩니다.
공격자가 이 기법을 선호하는 이유
- 정상 기능 악용: 캐시된 자격증명은 Windows의 정상적인 기능이므로, 이를 접근하는 행위 자체가 의심스럽지 않습니다
- 오프라인 특성: 네트워크 트래픽을 생성하지 않아 실시간 네트워크 모니터링으로는 탐지가 어렵습니다
- 다양한 추출 방법: Mimikatz, reg.exe, PowerShell 등 여러 도구와 방법을 사용할 수 있어 단일 탐지 규칙으로는 모든 변형을 잡기 어렵습니다
탐지의 현실적 한계
공식 탐지 방법이 있음에도 불구하고 실제 환경에서는 여러 한계가 있습니다. 먼저 레지스트리 접근이나 LSASS 메모리 접근은 정상적인 시스템 관리 작업에서도 빈번히 발생하여 높은 오탐률을 보입니다. 또한 PowerShell이나 reg.exe 같은 도구는 일상적인 관리 작업에 필수적이므로 이들의 사용 자체를 차단하기 어렵습니다. 마지막으로 공격자가 사용하는 도구가 계속 진화하고 있어 시그니처 기반 탐지로는 새로운 변형을 놓치기 쉽습니다.
4. 나도 위험할까? 자가 진단
이 공격이 나와 관련 있는지 확인해보세요.
이런 환경이라면 주의가 필요합니다
- 도메인에 가입된 Windows 컴퓨터를 사용하며, 외부에서 작업하는 경우가 많다
- 동일한 관리자 계정을 여러 시스템에서 공유하여 사용하고 있다
- Active Directory 환경에서 "Protected Users" 보안 그룹을 활용하지 않고 있다
- 캐시된 로그온 자격증명 수를 기본값(10개)으로 설정한 채 사용하고 있다
공식 대응 방안
M1015 Active Directory Configuration: "Protected Users" Active Directory 보안 그룹에 사용자를 추가하는 것을 고려하세요. 이는 사용자의 평문 자격증명 캐싱을 제한하는 데 도움이 될 수 있습니다.
M1028 Operating System Configuration: 캐시된 자격증명 수를 제한하는 것을 고려하세요 (HKLM\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon\cachedlogonscountvalue).
M1027 Password Policies: 네트워크상의 모든 시스템에서 로컬 관리자 계정이 복잡하고 고유한 비밀번호를 갖도록 하세요.
M1026 Privileged Account Management: 엄격하게 통제되지 않는 한 사용자나 관리자 도메인 계정을 시스템 전체의 로컬 관리자 그룹에 넣지 마세요.
M1017 User Training: 사용자와 관리자가 여러 계정에 동일한 비밀번호를 사용하지 않도록 교육하여 계정과 시스템 간 자격증명 중복을 제한하세요.
당장 할 수 있는 것
- 회사 PC의 비밀번호를 복잡하게 설정하고 다른 사이트와 동일하게 사용하지 않기
- 의심스러운 로그인 시도 알림 발생 시 전문가에게 문의하기
- 🏢 보안 담당자: 중요 계정을 Protected Users 그룹에 추가하여 자격증명 캐싱 제한하기
5. 관련 기술
| 기법 | 어떤 상황에서 함께 사용되나 |
|---|---|
| T1110.002 Password Cracking | 캐시된 도메인 자격증명 해시를 추출한 후, 실제 평문 비밀번호를 복구하기 위해 오프라인 크래킹을 수행할 때 |
| T1021 Remote Services | 크래킹으로 복구한 도메인 자격증명을 사용하여 네트워크 내 다른 시스템에 원격 접속할 때 |
참고 자료
- MITRE ATT&CK - T1003.005 Cached Domain Credentials
- MITRE ATT&CK - APT33 (G0064)
- MITRE ATT&CK - LaZagne (S0349)
- Symantec - Elfin: Relentless Espionage Group Targets Multiple Organizations
- Microsoft - How Cached Credentials Work in Windows
- CISA - Iranian Government-Sponsored APT Actors
📌 이 글은 AI(Claude) 를 활용하여 작성되었으며, MITRE ATT&CK v18.0 기준 (2025-10-28) 을 기준으로 합니다. 본 콘텐츠는 보안 교육 및 방어 목적으로만 제공되며, 이를 악용한 불법 행위에 대한 책임은 전적으로 행위자 본인에게 있습니다.
?뱛 ??湲? [?먭꺽利앸챸 ?ㅽ븨(T1003) ?쒕━利?(/blog/t1003-os-credential-dumping-7819)???쇰??낅땲??
COMMENTS (0)
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.