숨은 보안관, 마이크로소프트 ATA 우회 가능하다

알려진 위협과 이상 현상 효율적으로 탐지해
완벽한 건 아냐...‘골든 티켓’ 살짝 바꿔 우회 가능

[보안뉴스 문가용 기자] 마이크로소프트의 고급 위협 분석(Advanced Threat Analytics, 이하 ATA) 플랫폼을 우회하는 방법이 공격자들 사이에서 활용되고 있다고 한다. ATA는 다수의 정보원으로부터 정보를 읽어 들이는데, 윈도우 이벤트 로그, SIEM 이벤트, 도메인 콘트롤러의 특정 프로토콜 등을 포함한다.

[이미지 = iclickart]

커베로스(Kerberos), NTLM, RPC, DNS, LDAP 등과 같은 프로토콜을 활용해 통신이 이뤄졌다면 ATA는 트래픽을 파싱(parsing)해 공격 가능성 및 사용자 행동 패턴과 관련된 데이터를 수집한다. 이를 통해 pass-the-hash, pass-the-ticket, Directory Services 복제, 무작위 대입 공격, 스켈레톤 키(skeleton key)와 같은 공격들을 탐지해낼 수 있다. 이 공격들의 공통점은, 이미 알려진 공격들이라는 것이다.

하지만 펜테스터 아카데미(Pentester Academy)에 소속된 해커인 니카일 마탈(Nikhil Mattal)에 의하면 ATA를 회피해 관리자 접근 권한을 취득할 수 있는 방법이 존재한다고 한다. “몇 년 전에는 윈도우 도메인의 작동 방식을 겨냥한 공격이 많았습니다. 또한 누군가 데스크톱에 로그온을 했고 그 크리덴셜들이 침해됐다면, ATA가 해당 계정 로그인 상태를 확인하여 경보를 발생합니다.”

ATA는 기기와 기기 사이, 네트워크 내에서 발생하는 횡방향의 움직임도 탐지할 수 있다. 또한 다양한 리소스로의 인증을 가능하게 해 시스템이 침해되었을 때 발생할 수 있는 결과들을 빠짐없이 보여줄 수 있기도 하다. 마탈은 이런 ATA를 “마을에 새롭게 부임한 보안관”이라고 칭한다. “현대의 기업 환경에서 가장 효율적인 툴들 중 하나인데 아직 많은 사람들이 그 존재를 모르고 있습니다.”

하지만 이런 새 보안관이라고 하더라도 완벽한 건 아니다. 우회 방법이 존재하기 때문이다. “일부 탐지 기능을 마비시키는 것도 가능하고, ATA 시스템 전체를 우회하는 것도 가능합니다. 이 보안 기능을 정지시켜놓고 위험한 공격을 감행하는 것이죠. 일단 ATA를 우회하는 데에 성공했다면 공격자들은 도메인 관리자 권한을 얻어낼 수 있고, 여기서부터 기업 내 모든 기기와 시스템, 리소스에 다가갈 수 있다.

공격자들은 이른바 골든 티켓 공격(golden ticket attack)이라고 하는 걸 활용해 ATA의 탐지 기능을 우회할 수 있다고 한다. ‘골든 티켓’이란 ‘인증 권한’의 의미를 가지고 있으며, 사용자들이 특정 리소스에 접근하기 위해 생성하는 것이기도 하다. ATA는 사용자가 골든 티켓을 생성할 때마다 이 사실을 탐지하게 된다. 하지만 공격자가 커베로스 프로토콜의 패킷을 바꿈으로써 이를 우회하는 게 가능하게 된다.

“ATA는 이상 현상을 탐지하긴 하지만 골든 티켓의 구조를 살짝 바꿔주면 완전히 우회하는 것도 가능해집니다.” 마탈의 설명이다. “이미 공격자들은 골든 티켓 변경 방식을 잘 알고 있습니다. 그렇게 한 번 취득한 골든 티켓은 사용자가 오랫동안 시스템에 머물게 해 소비자 개인정보나 지적재산 등을 훔칠 수 있게 해줍니다.”

마탈은 보다 자세한 우회 방법을 이번 여름 미국에서 개최되는 블랙햇 행사에서 공개할 예정이다. “골든 티켓 공격뿐만 아니라 ATA를 농락할 수 있는 다른 방법들도 함께 공개할 것입니다. 물론 이 방법은 전부 마이크로소프트에 알린 바 있으며, 해결해나가고 있습니다. 아마도 블랙햇 이전에 패치가 나올 것으로 보입니다.”
[국제부 문가용 기자(globoan@boannews.com)]

SK텔레콤 해킹 사태로 최근 잇슈가 되고 있는 ‘BPF도어’ 관련, 어떤 솔루션을 사용중인가요?
	안랩 V3 Net for Linux
	소만사 Server-i
	파이오링크 점검 도구
	잉카인터넷 전용 백신
	트렌드 마이크로 백신
	기타 국산(솔루션명은 댓글로)
	기타 외산(솔루션명은 댓글로)
	사용하지 않는다