Microsoft's guidance to help mitigate Kerberoasting | Microsoft Security Blog
Microsoft's guidance to help mitigate Kerberoasting | Microsoft Security Blog
Kerberoasting, a well-known Active Directory (AD) attack vector, enables threat actors to steal credentials and navigate through devices and networks. Microsoft is sharing recommended actions administrators can take now to help prevent successful Kerberoas
www.microsoft.com
- Kerberoasting 개념과 위험성
- Kerberoasting은 Kerberos 인증 프로토콜을 악용하여 Active Directory(AD) 서비스 계정의 자격 증명을 탈취하는 공격임
- 공격자는 GPU 가속화를 통해 암호를 빠르게 해독하고, 이를 통해 네트워크 내 수평 및 수직 이동을 수행하여 고권한 접근을 시도할 수 있음
- SPN(Service Principal Name) 계정이 등록된 서비스 계정, 특히 RC4와 같은 약한 암호화 알고리즘을 사용하는 경우에 공격 위험이 큼
- Kerberoasting 탐지 방법
- 약한 암호화 방식이 사용된 티켓 요청을 모니터링하고, RC4 암호화 타입을 확인하여 이를 방어할 수 있음
- Microsoft Defender XDR의 경고 ID 2410을 통해 Kerberos SPN 노출 의심 경고를 확인
- 단일 사용자가 짧은 시간 내 다수의 서비스 티켓 요청을 하는 경우, 이는 의심스러운 활동으로 간주하여 탐지
- Kerberoasting 방지 권장 사항
- 그룹 관리 서비스 계정(gMSA) 및 위임 관리 서비스 계정(dMSA) 사용
- gMSA는 120자 길이의 복잡한 암호를 자동으로 관리하여 높은 보안을 제공
- dMSA는 Windows Server 2025에서 새롭게 도입된 계정으로 Credential Guard와 통합하여 계정을 추가 보호하고, 기존 독립형 서비스 계정을 무중단으로 전환 가능
- 수동으로 긴 암호 설정
- gMSA 또는 dMSA를 사용할 수 없는 경우에는 14자 이상의 복잡하고 무작위로 생성된 암호를 사용하여 Kerberoasting 위험을 줄임
- AES 암호화 강제 적용
- 서비스 계정에서 AES (128비트 또는 256비트) 를 사용하여 암호화 강화를 적용하고, 암호를 변경하여 더 강력한 보호를 제공
- RC4 암호화 비활성화를 통해 RC4 사용을 차단
- 약한 암호 감사 및 관리
- 자주 사용되는 암호를 금지하고, 서비스 계정의 암호를 정기적으로 감사하여 약한 암호를 파악하고 수정
- SPN을 가진 사용자 계정 관리
- 필요하지 않은 계정에서 SPN을 제거하여 Kerberoasting 공격 표면을 줄임
- 그룹 관리 서비스 계정(gMSA) 및 위임 관리 서비스 계정(dMSA) 사용
- 결론
- Kerberoasting은 약한 암호와 취약한 암호화를 악용하여 AD 환경에 침투할 수 있는 심각한 위협임
- Microsoft는 OEM, 애플리케이션 개발자 및 사용자 협력을 통해 보다 안전한 Windows 환경을 제공
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 신뢰할 수 있는 소프트웨어를 위한 소프트웨어 공급망 보안 (1) | 2024.11.21 |
|---|---|
| OT 환경을 겨냥한 랜섬웨어 공격 증가에 따른 CISO의 역할과 대응 방안 (1) | 2024.11.21 |
| SSH 취약 계정 정보를 악용한 암호화폐 채굴 공격 발견 (0) | 2024.11.20 |
| 소프트웨어 정의 시대의 성공 핵심: "안전과 보안을 최우선으로 하는 운영체제" (0) | 2024.11.20 |
| Unicode 난독화를 이용한 E-Skimming 캠페인: Mongolian Skimmer (1) | 2024.11.20 |