DCSync

설명

DCSync는 도메인 컨트롤러가 변경 사항을 복제하는 데만 사용하는 적법한 Active Directory 기능이지만 불법 보안 주체도 이것을 사용할 수 있습니다.

소스 보안 주체는 DCSync 기능을 사용하여 대상 도메인에서 중요한 암호(비밀번호 해시, Kerberos 키 등)을 요청할 수 있고, 궁극적으로 도메인을 완전히 침해하는 결과를 초래할 수 있습니다.

암호를 가져오려면 보안 권한이 두 개 필요합니다. 하나는 "디렉터리 변경 사항 복제"(DS-Replication-Get-Changes)이고 다른 하나는 "디렉터리 변경 사항 모두 복제"(DS-Replication-Get-Changes-All)입니다. 이 관계는 소스에 이러한 권한을 둘 다 부여하는 경우에만 발생합니다. 권한은 직접 부여할 수도 있고 중첩된 그룹 멤버 자격을 통해 부여할 수도 있습니다.

악용

소스 보안 주체를 침해하는 공격자는 mimikatz 또는 impacket와 같은 전용 해커 도구를 사용하여 암호를 가져올 수 있습니다.

  • Golden ticket: "krbtgt" 계정의 비밀번호 해시를 가져오면 발생합니다. 이것을 통해 Kerberos TGT를 위조할 수 있고 모든 컴퓨터/서비스에서 누구든 가장할 수 있습니다. 특히 이렇게 하면 도메인의 모든 컴퓨터에 대해 관리 권한을 부여하게 됩니다.

  • Silver ticket: 컴퓨터/서비스 계정의 비밀번호 해시를 가져오면 발생합니다. 이렇게 하면 Kerberos 서비스 티켓을 위조할 수 있고 주어진 컴퓨터/서비스에서 누구든 가장할 수 있습니다.

수정

기본적으로 DCSync를 활용하도록 허용된 적법한 보안 주체는 다음과 같습니다.

  • 관리자

  • 도메인 관리자

  • 엔터프라이즈 관리자

  • 시스템

또한, Microsoft Entra ID Connect 구성을 사용하면 비밀번호 해시 동기화 서비스 계정(MSOL_...)이 DCSync를 활용하도록 허용합니다.

마지막으로, 특정 보안 도구의 서비스 계정을 검색할 수도 있습니다. 특히 비밀번호 감사 솔루션이 대표적입니다. 이러한 솔루션이 적합한지 책임자에게 문의하여 확인하십시오.

소스 보안 주체에게 DCSync를 수행할 적법한 필요가 없는 경우, 이 권한을 제거해야 합니다.

대상 도메인의 보안 설명자를 수정하는 방법:

  1. "Active Directory 사용자 및 컴퓨터"에서 도메인 이름을 마우스 오른쪽으로 클릭하고 속성 > 보안을 선택합니다.

  2. 불법 보안 주체의 "디렉터리 변경 사항 복제" 및 "디렉터리 변경 사항 모두 복제" 권한을 제거합니다.

참고: DCSync 관계는 중첩된 그룹 멤버 자격의 권한을 통해 발생할 수 있습니다. 따라서 정확한 상황에 따라 그룹 자체를 제거해야 하거나 해당 그룹의 일부 멤버만 제거해야 할 수도 있습니다.

참고 항목