일반 도메인 사용자 권한 하나로 RC4 약점을 노려 서비스 계정 비밀번호를 오프라인에서 크랙하는 T1558.003 Kerberoasting의 5단계 흐름과 Event 4769 + 0x17 기반 탐지 신호를 분석한다.
Active Directory 환경에서 Kerberos는 인증 프로토콜의 표준이지만, 하위 호환성을 위해 남겨 둔 RC4 암호화 옵션이 T1558 시리즈 중 가장 진입 장벽이 낮은 공격 경로를 만든다. 다른 형제 기법이 도메인 관리자 권한이나 사전 침투를 요구하는 반면, T1558.003 Kerberoasting은 일반 도메인 사용자 계정 하나만 있으면 실행 가능하다.
Mandiant M-Trends 2024 보고서는 Kerberoasting을 자격 증명 액세스 단계에서 자주 관찰되는 기법군 중 하나로 지목했고, CISA가 2022년 11월 발행한 어드바이저리 AA22-264A에서는 이란 정부 후원 APT가 미 연방 네트워크 침해 과정에서 Kerberoasting을 사용한 정황을 명시적으로 인용했다. 공격이 정상 인증 트래픽과 구별되지 않는다는 점, 그리고 마지막 크랙 단계가 네트워크 외부에서 진행된다는 점이 매력의 핵심이다.
Kerberoasting은 Kerberos 프로토콜 자체의 결함이 아니라 하위 호환성, 약한 비밀번호 관행, RC4 암호화 옵션의 잔존이 결합된 구조적 문제다. 다섯 단계로 분해된다.
{
"title": "Kerberoasting 메시지 교환 (T1558.003)",
"steps": [
{ "from": "공격자", "to": "DC (KDC)", "message": "AS-REQ — 정상 사용자 인증" },
{ "from": "DC (KDC)", "to": "공격자", "message": "TGT 발급 (krbtgt 키 봉인)" },
{ "from": "공격자", "to": "DC (LDAP)", "message": "SPN 보유 사용자 계정 조회" },
{ "from": "공격자", "to": "DC (KDC)", "message": "TGS-REQ — etype=23 (RC4) 명시 요청", "danger": true },
{ "from": "DC (KDC)", "to": "공격자", "message": "RC4 암호화 TGS — 서비스 계정 NT 해시로 봉인" },
{ "from": "공격자", "to": "공격자 (오프라인)", "message": "사전 공격으로 비밀번호 복원", "danger": true, "note": "네트워크 흔적 0" }
]
}
1단계 — TGT 획득: 공격자는 유효한 도메인 사용자로 인증해 TGT를 받는다. 이 단계는 모든 직원의 출근 첫 동작과 동일하다.
2단계 — SPN 열거: LDAP 쿼리로 SPN(Service Principal Name)이 등록된 계정 목록을 받는다. SPN 조회는 인증된 도메인 사용자에게 기본 허용된 권한이며, 별도 알람이 발생하지 않는다.
3단계 — RC4 강제 TGS 요청: TGS-REQ 메시지의 etype 필드에 23(RC4-HMAC)을 우선순위로 명시한다. KDC는 클라이언트 선호도를 반영해 RC4로 봉인된 티켓을 반환한다.
4단계 — 티켓 추출: 반환된 티켓의 암호화 부분을 메모리에서 추출한다. 이 부분은 대상 서비스 계정의 NT 해시로 암호화되어 있다.
5단계 — 오프라인 크랙: 추출 데이터를 크랙 도구에 입력해 사전 공격을 수행한다. 이 단계는 공격자 환경에서만 진행되므로 피해 도메인 측에는 단 한 줄의 로그도 남지 않는다.
핵심 트릭은 서비스 계정의 NT 해시를 직접 받아 가는 게 아니라, 그 해시로 만든 결과물을 받아 가서 역산한다는 것이다. KDC는 정당한 서비스 티켓 발급 요청을 처리한 것뿐이고, 공격자는 그 응답을 분석 자료로 사용한다.
{
"question": "T1558 형제 기법 — 어떤 조건에서 선택되는가",
"items": [
{
"label": "T1558.001 Golden Ticket",
"points": ["krbtgt 해시 필요 (Domain Admin 선행)", "도메인 전체 영구 위조", "사후 침투 단계"],
"tone": "neutral"
},
{
"label": "T1558.002 Silver Ticket",
"points": ["대상 서비스 계정 해시 필요", "단일 서비스 한정 위조", "KDC 미관여"],
"tone": "neutral"
},
{
"label": "T1558.003 Kerberoasting",
"points": ["일반 도메인 사용자 권한만 필요", "RC4 약점 + 약한 비밀번호 의존", "오프라인 크랙으로 네트워크 흔적 미미"],
"tone": "bad"
},
{
"label": "T1558.004 AS-REP Roasting",
"points": ["Pre-auth 비활성 계정만 대상", "TGT 응답 자체를 크랙", "조건부 대상 발견"],
"tone": "neutral"
}
]
}
Golden Ticket과 Silver Ticket이 이미 손에 넣은 해시로 티켓을 위조하는 사후 단계 기법이라면, Kerberoasting은 그 해시 자체를 손에 넣기 위한 초기 자격 증명 액세스 기법이다. 같은 시리즈 안에서도 공격 라이프사이클상의 위치가 다르다.
이란 정부 후원 APT — 미 연방 네트워크 침해 (2022): CISA가 2022년 11월 발행한 AA22-264A는 이란 IRGC 연계 위협 행위자가 Log4Shell로 초기 침투한 뒤 Kerberoasting을 사용해 도메인 컨트롤러에서 자격 증명을 수확했다고 기술했다. 보고서는 침해된 환경에서 추출된 해시가 오프라인에서 크랙되어 추가 횡적 이동에 사용되었다고 명시했다.
Wizard Spider (Conti / Ryuk): MITRE ATT&CK 그룹 페이지(G0102)는 이 그룹의 자격 증명 수확 패턴 중 하나로 T1558.003을 등재하고 있으며, 2022년 Conti 운영자 내부 문서가 유출된 사건에서 Kerberoasting이 표준 침투 매뉴얼의 일부로 기록되어 있던 사실이 다수의 보안 업체 분석을 통해 확인되었다.
Mandiant M-Trends 2024: 2023년 한 해 대응한 침해 사례 중 자격 증명 액세스 단계에서 Kerberoasting이 자주 관찰된 기법군에 포함되었다고 보고했다. 일반화된 통계라 단일 캠페인을 짚지는 않지만, 산업 전반의 패턴을 보여 준다.
공격자가 정상 인증 흐름을 따르기 때문에 단일 이벤트로는 구별이 거의 불가능하지만, RC4 강제 + 사용자 계정에 대한 TGS 요청 + 단시간 내 다수 SPN 요청이라는 세 조합이 서명처럼 남는다.
Windows 보안 이벤트 4769 (Kerberos 서비스 티켓 요청):
Ticket Encryption Type = 0x17 (RC4-HMAC) 항목이 핵심 신호다. AES가 기본인 환경에서 RC4 요청은 그 자체로 이상치다.Service Name에 대해 4769를 발생시키면 SPN 일괄 수집 신호로 해석된다.Service Name이 머신 계정($ 접미)이 아닌 일반 사용자 계정인 4769는 머신 계정보다 약한 비밀번호를 노린 의도성 신호다.Sigma 룰 (SigmaHQ 공식): win_susp_rc4_kerberos.yml, win_susp_kerberoast.yml 계열이 위 조건을 룰화해 두었다.
MITRE ATT&CK 데이터 소스: DS0026(Active Directory) — Active Directory Object Access, DS0028(Logon Session) — Logon Session Metadata 두 데이터 소스가 T1558.003 탐지의 1차 근거로 매핑되어 있다.
Atomic Red Team: T1558.003 atomics 시리즈가 공개되어 있어, 자체 환경에서 위 탐지 규칙이 실제로 트리거되는지 검증하는 용도로 활용된다.
핵심은 단일 이벤트가 아니라 상관 관계(correlation) 를 이용한다는 점이다. RC4 한 건은 레거시 시스템의 정상 트래픽일 수 있지만, 같은 사용자가 짧은 시간에 여러 서비스에 대해 RC4 TGS를 받아 가는 패턴은 정상 운영에서 나오기 어렵다.
T1558.003 Kerberoasting은 T1558 시리즈 중 진입 장벽이 가장 낮으면서도 결과물(서비스 계정 비밀번호)이 후속 공격(Silver Ticket, Lateral Movement)의 출발점이 되는 교차로다. RC4 비활성화와 머신 계정 활용 정책이 적용되지 않은 환경에서는 일반 사용자 계정 하나가 사실상 도메인 컴프로마이즈의 기점이 된다.
다음에 살펴볼 만한 주제는 Pre-authentication이 비활성화된 계정을 노리는 T1558.004 AS-REP Roasting, 그리고 Kerberos Constrained / Unconstrained Delegation을 악용하는 위임 기반 공격이다.
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.