개요
MITRE ID: T1003 | 전술: Credential Access | 플랫폼: Linux, macOS, Windows
OS Credential Dumping(자격증명 덤핑)은 공격자가 시스템에서 사용자 계정의 로그인 정보와 자격 증명을 추출하는 기법입니다. 이를 통해 해시나 평문 비밀번호 형태의 자격 증명을 획득하여 횡적 이동(Lateral Movement)과 제한된 정보 접근에 활용합니다. 운영체제의 캐시, 메모리, 또는 시스템 구조체에서 자격 증명을 수집하는 다양한 방법이 존재합니다.
💡 쉬운 비유: 건물에 침입한 도둑이 보안실에서 모든 방의 열쇠를 훔쳐 건물 전체에 자유롭게 접근하는 것과 같습니다.
왜 공격자는 자격증명 덤핑을 사용하는가?
자격증명 덤핑은 공격 체인의 핵심 단계입니다. 공격자가 이 기법을 반드시 사용하는 이유:
- 횡적 이동의 열쇠: 하나의 시스템 침투로 전체 네트워크 접근 가능
- 지속성 확보: 탈취한 자격증명으로 언제든 재침투 가능
- 권한 상승: 일반 사용자 → 관리자 → 도메인 관리자로 단계적 상승
- 탐지 회피: 정상 계정으로 로그인하면 의심받지 않음
APT 그룹의 거의 모든 공격에서 자격증명 덤핑이 발견됩니다. 초기 침투 후 가장 먼저 하는 행동 중 하나입니다.
하위 기법 (Sub-techniques)
자격증명 덤핑에는 8가지 세부 기법이 있습니다:
| ID | 이름 | 설명 |
|---|---|---|
| T1003.001 | LSASS Memory (메모리 덤프) | 프로세스 메모리에서 자격증명 추출 |
| T1003.002 | Security Account Manager (SAM) | 로컬 계정 해시 탈취 |
| T1003.003 | NTDS | Active Directory 전체 계정 덤프 |
| T1003.004 | LSA Secrets | 서비스 계정 비밀번호 추출 |
| T1003.005 | Cached Domain Credentials (캐시) | 오프라인 도메인 자격증명 |
| T1003.006 | DCSync | 도메인 컨트롤러 복제 공격 |
| T1003.007 | Proc Filesystem | Linux /proc 메모리 접근 |
| T1003.008 | /etc/passwd and /etc/shadow | Linux 계정 파일 크래킹 |
각 하위 기법의 상세 분석은 개별 글에서 다룹니다.
대표 사례
📌 APT32 (OceanLotus) - Operation Cobalt Kitty
| 항목 | 상세 정보 |
|---|---|
| 공격 그룹 | APT32 (OceanLotus, SeaLotus, Canvas Cyclone) |
| MITRE 그룹 ID | G0050 |
| 활동 기간 | 2014년 ~ 현재 |
| 배후 추정 | 베트남 정부 |
| 표적 국가 | 베트남, 필리핀, 라오스, 캄보디아, 독일, 중국 |
| 표적 산업 | 언론, 제조업, 기술, 정부기관, 인권단체 |
APT32 그룹은 아시아 지역의 글로벌 기업을 대상으로 한 대규모 공격에서 GetPassword_x64 도구를 사용하여 침해된 시스템에서 자격증명을 수집했습니다. 이들은 1년 이상 네트워크에 잠복하며 40대 이상의 PC와 서버를 침해했으며, 도메인 컨트롤러, 파일 서버, 데이터베이스 서버 등 핵심 시스템의 자격증명을 탈취했습니다.
출처: OPERATION COBALT KITTY: A LARGE-SCALE APT IN ASIA CARRIED OUT BY THE OCEANLOTUS GROUP
📌 APT39 (Chafer) - 중동 지역 공격
| 항목 | 상세 정보 |
|---|---|
| 공격 그룹 | APT39 (Chafer, Remix Kitten, COBALT HICKMAN) |
| MITRE 그룹 ID | G0087 |
| 활동 기간 | 2014년 ~ 현재 |
| 배후 추정 | 이란 MOIS (정보보안부) |
| 표적 국가 | 쿠웨이트, 사우디아라비아, UAE, 터키, 미국 |
| 표적 산업 | 항공운송, 통신, 정부기관, 여행 |
| 관련 소프트웨어 | Mimikatz (S0002), Remexi |
이란과 연관된 것으로 알려진 APT39 그룹은 쿠웨이트와 사우디아라비아의 항공 운송업체와 정부 기관을 대상으로 한 공격에서 다양한 버전의 Mimikatz를 사용하여 자격증명을 획득했습니다. 이들은 1년 반 이상 지속적으로 활동하며 주말에도 공격 활동을 수행했습니다.
출처: Iranian Chafer APT Targeted Air Transportation and Government in Kuwait and Saudi Arabia
📚 함께 읽어보기: T1003.001 vs T1003.002 vs T1003.004 완전 비교 분석
참고 자료
📌 이 글은 AI(Claude) 를 활용하여 작성되었으며, MITRE ATT&CK v18.0 기준 (2025-10-28) 을 기준으로 합니다. 본 콘텐츠는 보안 교육 및 방어 목적으로만 제공되며, 이를 악용한 불법 행위에 대한 책임은 전적으로 행위자 본인에게 있습니다.
愿???쒕툕 湲곕쾿
| 湲곕쾿 ID | 湲곕쾿紐? | ?ㅻ챸 |
|---|---|---|
| T1003.001 | LSASS 硫붾え由? | Mimikatz濡?硫붾え由ъ뿉???먭꺽利앸챸 異붿텧 |
| T1003.002 | SAM ?뚯씪 | 濡쒖뺄 怨꾩젙 ?댁떆 異붿텧 |
| T1003.003 | NTDS.dit | ?꾨찓??而⑦듃濡ㅻ윭?먯꽌 ?꾩껜 怨꾩젙 ?ㅽ봽 |
| T1003.004 | LSA Secrets | ?쒕퉬??怨꾩젙 ?먭꺽利앸챸 異붿텧 |
| T1003.005 | 罹먯떆???꾨찓???먭꺽利앸챸 | ?ㅽ봽?쇱씤 ?곹깭 怨꾩젙 ?щ옒?? |
| T1003.006 | DCSync | ?꾨찓??蹂듭젣 沅뚰븳 ?낆슜 |
| T1003.007 | /proc ?뚯씪?쒖뒪?? | Linux 硫붾え由??ㅽ봽 |
| T1003.008 | /etc/shadow | Linux ?⑥뒪?뚮뱶 ?댁떆 |
?뱴 鍮꾧탳 遺꾩꽍: T1003.001 vs T1003.002 vs T1003.004 鍮꾧탳
?뱰 MITRE ATT&CK??泥섏쓬?댁떊媛?? MITRE ATT&CK ?꾨젅?꾩썙???꾨꼍 媛?대뱶?먯꽌 湲곕낯 媛쒕뀗??癒쇱? ?뺤씤?섏꽭??
COMMENTS (0)
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.