MITRE ATT&CK: T1003.006 (DCSync) | 전술: Credential Access | 플랫폼: Windows
도입: 왜 이 공격이 중요한가
2022년 LAPSUS$ 그룹이 Microsoft, NVIDIA 등 글로벌 기업들을 연쇄 해킹했을 때, 그들이 사용한 핵심 기법 중 하나가 바로 DCSync 였습니다. 이 기법은 도메인 컨트롤러가 아닌 일반 시스템에서도 도메인의 모든 사용자 계정 해시를 합법적인 복제 프로세스인 것처럼 위장하여 탈취할 수 있게 해줍니다.
DCSync 는 Windows Active Directory의 도메인 복제 API를 악용하여, 마치 도메인 컨트롤러인 것처럼 행동하며 다른 도메인 컨트롤러로부터 사용자 자격 증명을 요청하는 공격 기법입니다.
💡 쉬운 비유: 회사 지점에서 본사 인사팀에게 "저희도 직원 정보가 필요해요"라고 요청하면, 본사에서 모든 직원의 개인정보를 보내주는 것과 같습니다. 하지만 실제로는 해커가 가짜 지점인 척 하고 있는 상황입니다.
1. 공격자 관점
왜 이 기법을 사용하는가
- 정상적인 네트워크 트래픽으로 위장: 도메인 복제는 Active Directory의 정상적인 기능이므로 의심받지 않음
- 광범위한 자격 증명 획득: KRBTGT, 관리자 등 고권한 계정의 해시를 한 번에 대량으로 탈취 가능
- 골든 티켓 생성의 전단계: 탈취한 KRBTGT 해시로 골든 티켓을 생성하여 도메인 전체를 장악할 수 있음
동작 흐름
2. 실제 공격 사례
📌 LAPSUS$ - 글로벌 기업 연쇄 해킹 (2022년)
| 항목 | 상세 정보 |
|---|---|
| 공격 그룹 | LAPSUS$ (DEV-0537) |
| MITRE 그룹 ID | G1004 |
| 활동 기간 | 2021년 ~ 2022년 |
| 구성원 | 영국, 브라질 출신 청소년 포함 |
| 표적 기업 | Microsoft, NVIDIA, Samsung, Okta, Uber |
| 표적 산업 | 기술, 반도체, 통신, 게임 |
| 관련 소프트웨어 | Mimikatz (S0002) |
배경: LAPSUS$는 2021년 말부터 2022년에 걸쳐 Microsoft, NVIDIA, Samsung, Okta 등 글로벌 기업들을 대상으로 대규모 데이터 탈취 공격을 감행한 사이버 범죄 그룹입니다. 주로 소셜 엔지니어링, SIM 스와핑, 내부자 매수 등을 통해 초기 접근 권한을 획득했습니다.
공격 과정:
- 소셜 엔지니어링 및 SIM 스와핑을 통해 초기 침투 후 권한 상승
- DCSync 공격을 사용하여 도메인의 모든 사용자 계정 해시를 대량 탈취
- 탈취한 자격 증명으로 네트워크 내 측면 이동 및 소스 코드, 기밀 데이터 탈취
피해 규모: Microsoft의 Bing, Cortana, Bing Maps 소스 코드(37GB), NVIDIA의 GPU 설계 정보 및 드라이버 코드(1TB), Samsung의 갤럭시 소스 코드(190GB) 등 수십 테라바이트의 기밀 데이터가 탈취되었으며, 피해액은 수억 달러로 추정됩니다.
📌 Scattered Spider - 통신/BPO 기업 표적 공격 (2022-2023년)
| 항목 | 상세 정보 |
|---|---|
| 공격 그룹 | Scattered Spider (0ktapus, UNC3944, Muddled Libra) |
| MITRE 그룹 ID | G1015 |
| 활동 기간 | 2022년 ~ 현재 |
| 구성원 | 미국, 영국 기반 (일부 ALPHV/BlackCat 협력) |
| 표적 기업 | MGM Resorts, Caesars Entertainment, Twilio, Mailchimp |
| 표적 산업 | 통신, BPO, 카지노/호텔, SaaS |
| 관련 소프트웨어 | Mimikatz (S0002), ALPHV 랜섬웨어 |
배경: Scattered Spider는 정교한 소셜 엔지니어링과 SIM 스와핑을 전문으로 하는 위협 그룹으로, 특히 IT 헬프데스크를 표적으로 한 보이스 피싱으로 유명합니다. 2023년에는 ALPHV/BlackCat 랜섬웨어 그룹과 협력하여 MGM Resorts에 대한 대규모 공격을 수행했습니다.
공격 과정:
- IT 헬프데스크 직원을 대상으로 한 보이스 피싱으로 MFA 우회 및 초기 접근
- 도메인 복제(DCSync) 공격을 수행하여 Active Directory의 사용자 자격 증명 대량 탈취
- 탈취한 자격 증명으로 클라우드 환경(Azure, AWS) 및 내부 시스템에 지속적 접근
피해 규모: MGM Resorts 공격으로 약 1억 달러의 손실 발생, Caesars Entertainment는 1,500만 달러의 몸값 지불. 여러 통신사의 고객 개인정보와 통화 기록이 노출되었습니다.
📌 Earth Lusca - 정부기관 및 기업 표적 공격 (2022년)
| 항목 | 상세 정보 |
|---|---|
| 공격 그룹 | Earth Lusca (TAG-22, Charcoal Typhoon, CHROMIUM) |
| MITRE 그룹 ID | G1006 |
| 활동 기간 | 2019년 ~ 현재 |
| 배후 추정 | 중국 (Winnti 클러스터 연관) |
| 표적 국가 | 대만, 태국, 필리핀, 베트남, UAE, 몽골, 나이지리아 |
| 표적 산업 | 정부기관, 교육, 통신, 종교단체, 미디어 |
| 관련 소프트웨어 | Mimikatz (S0002), Cobalt Strike (S0154), ShadowPad (S0596) |
배경: Earth Lusca는 중국과 연관된 것으로 추정되는 APT 그룹으로, 아시아 태평양 지역의 정부기관, 교육기관, 통신사, 종교단체를 표적으로 합니다. 스피어피싱과 워터링 홀 공격을 주로 사용하며, Winnti 클러스터와 기술적 중복이 있습니다.
공격 과정:
- 스피어피싱 이메일 또는 취약한 웹 서버 악용을 통해 초기 침투
- Cobalt Strike 비콘 배포 후 Mimikatz의 DCSync 명령을 사용하여 도메인 컨트롤러로부터 자격 증명 탈취
- ShadowPad 백도어로 지속성 확보 후 정부 기밀 및 지적재산 수집
피해 규모: 정부 기밀 문서, 교육기관의 연구 자료, 통신사의 네트워크 인프라 정보 등이 탈취되었으며, 특히 대만, 홍콩, 티베트 관련 정치적 민감 정보가 주요 표적이 되었습니다.
3. 왜 탐지가 어려운가?
공식 탐지 방법
DET0594 무단 DCSync 작업 탐지 - AN1632: 도메인 컨트롤러가 아닌 엔드포인트에서 Mimikatz나 유사한 도구를 사용하여 실행되는 무단 복제 작업(DCSync)을 Directory Replication Service(DRS)를 통한 복제 API 악용으로 탐지합니다.
공격자가 이 기법을 선호하는 이유
- 정상 트래픽과 구분 어려움: 도메인 복제는 Active Directory의 핵심 기능이므로, DCSync 공격 트래픽이 정상적인 도메인 컨트롤러 간 복제 트래픽과 매우 유사합니다
- 높은 권한으로 실행: 이미 관리자 권한을 획득한 상태에서 실행되므로, 시스템 로그에서도 정당한 관리 작업으로 보일 수 있습니다
- 네트워크 레벨에서 탐지 곤란: 암호화된 RPC 통신을 사용하므로 네트워크 모니터링만으로는 악의적인 활동을 구분하기 어렵습니다
탐지의 현실적 한계
공식 탐지 방법이 존재하지만, 실제 환경에서는 다음과 같은 한계가 있습니다. 첫째, 대부분의 조직에서는 도메인 컨트롤러 복제 이벤트를 실시간으로 모니터링하는 시스템이 구축되어 있지 않습니다. 둘째, DCSync 이벤트와 정상적인 백업 소프트웨어나 관리 도구의 복제 요청을 구분하기 위해서는 높은 수준의 전문 지식이 필요합니다. 셋째, 이미 관리자 권한을 획득한 공격자는 보안 로그를 조작하거나 삭제할 수 있어 사후 분석도 어려워집니다.
4. 나도 위험할까? 자가 진단
이 공격이 나와 관련 있는지 확인해보세요.
이런 환경이라면 주의가 필요합니다
- Windows Active Directory 환경에서 업무를 하고 있다
- 관리자 계정이 여러 시스템에서 동일한 비밀번호를 사용하고 있다
- 도메인 관리자나 Enterprise Admin 그룹에 불필요하게 많은 계정이 포함되어 있다
- 도메인 컨트롤러의 복제 권한에 대한 정기적인 감사를 실시하지 않고 있다
공식 대응 방안
M1015 Active Directory 구성: "디렉터리 변경 사항 복제" 및 도메인 컨트롤러 복제와 관련된 기타 권한에 대한 액세스 제어 목록을 관리합니다.
M1027 비밀번호 정책: 네트워크의 모든 시스템에서 로컬 관리자 계정이 복잡하고 고유한 비밀번호를 사용하도록 보장합니다.
M1026 권한 계정 관리: 관리 계층 간에 권한 있는 계정 사용을 제한하도록 엔터프라이즈 네트워크의 설계 및 관리 모범 사례를 따르고, 엄격하게 통제되지 않는 한 사용자 또는 관리자 도메인 계정을 시스템 전체의 로컬 관리자 그룹에 넣지 마십시오.
당장 할 수 있는 것
- 회사 PC의 도메인 계정 비밀번호를 복잡하게 설정하고 주기적으로 변경하기
- 갑작스러운 로그인 실패나 계정 잠금 발생 시 전문가에게 문의하기
- 🏢 보안 담당자: DCSync 권한(디렉터리 변경 사항 복제)을 가진 계정 목록을 정기적으로 감사하기
5. 관련 기술
| 기법 | 어떤 상황에서 함께 사용되나 |
|---|---|
| T1558.001 Golden Ticket | DCSync로 KRBTGT 계정 해시를 탈취한 후, 이를 이용해 골든 티켓을 생성하여 도메인 전체에 대한 지속적인 접근 권한을 확보할 때 |
| T1550.003 Pass the Ticket | DCSync로 획득한 계정 해시를 사용하여 Kerberos 티켓을 생성하고, 이를 통해 다른 시스템에 인증할 때 |
| T1098 Account Manipulation | DCSync로 탈취한 관리자 계정 해시를 이용해 계정 비밀번호를 변경하거나 새로운 관리자 계정을 생성할 때 |
참고 자료
- MITRE ATT&CK - T1003.006
- MITRE ATT&CK - LAPSUS$ (G1004)
- MITRE ATT&CK - Scattered Spider (G1015)
- MITRE ATT&CK - Earth Lusca (G1006)
- Microsoft Security Blog - DEV-0537
- CrowdStrike - Scattered Spider Analysis
- TrendMicro - Earth Lusca Operations
📌 이 글은 AI(Claude) 를 활용하여 작성되었으며, MITRE ATT&CK v18.0 기준 (2025-10-28) 을 기준으로 합니다. 본 콘텐츠는 보안 교육 및 방어 목적으로만 제공되며, 이를 악용한 불법 행위에 대한 책임은 전적으로 행위자 본인에게 있습니다.
?뱛 ??湲? [?먭꺽利앸챸 ?ㅽ븨(T1003) ?쒕━利?(/blog/t1003-os-credential-dumping-7819)???쇰??낅땲??
COMMENTS (0)
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.