SID 기록 있음
설명
소스 보안 주체에는 SIDHistory 특성에 대상 보안 주체의 SID가 있습니다. 이것은 소스가 대상과 같은 권리를 갖고 있음을 의미합니다.
SID 기록은 이전의 SID 기능을 참조하는 모든 인증을 유지하기 위해 여러 도메인 사이에서 보안 주체를 마이그레이션할 때 사용하는 적법한 메커니즘입니다.
다만 이것은 공격자가 사용하는 지속성 메커니즘이기도 합니다. 이것을 사용하면 비밀스런 백도어 계정이 관리자 계정과 같이 바람직한 대상과 동일한 권한을 가질 수 있기 때문입니다.
악용
소스 보안 주체를 침해하는 공격자가 대상 보안 주체로서 직접 인증할 수 있습니다. 대상의 SID가 Active Directory 인증 메커니즘이 생성하는 토큰(NTLM 및 Kerberos)에 투명하게 추가되기 때문입니다.
수정
소스와 대상 보안 주체가 승인된 도메인 마이그레이션과 관련이 있는 경우, 해당 관계를 적법한 것으로 간주하고 어떤 작업을 수행하지 않아도 됩니다. 이 관계는 계속 표시되어 잠재적인 공격 경로를 상기시키는 역할을 합니다.
마이그레이션 후에 원본의 도메인이 삭제되거나 Tenable Identity Exposure에서 구성되지 않는 경우, 대상 보안 주체가 확인되지 않음(unresolved)으로 표시됩니다. 위험은 대상에 있으며 그 대상이 존재하지 않으므로 위험이 존재하지 않고 따라서 수정이 필요하지 않습니다
반대로, 기본적으로 권한 있는 사용자나 그룹에 대한 SID 기록 관계의 경우 Active Directory에서 만드는 것을 방지하므로 악성일 가능성이 매우 큽니다. 이러한 관계가 아마 "DCShadow" 공격과 같은 해커 기술을 사용하여 만들어졌을 가능성이 있음을 의미합니다. 이러한 사례는 "SID 기록"과 관련된 IoE에서도 확인됩니다.
이런 경우, Tenable Identity Exposure에서는 Active Directory 포리스트 전체에 대한 포렌식 검사를 추천합니다. 공격자가 소스의 SID 기록을 악의적으로 편집하기 위해 높은 수준의 권한(도메인 관리자나 그와 동급)을 얻은 것이기 때문입니다. 포렌식 검사를 하면 공격에 상응하는 수정 참고 자료로 공격을 분석하고 제거해야 할 잠재적인 백도어를 식별할 수 있습니다.
마지막으로, Microsoft에서는 이 마이그레이션을 완료한 뒤 모든 서비스(SMB 공유, Exchange 등)의 모든 액세스 권한을 수정하여 새 SID를 사용하도록 하고, 불필요한 SIDHistory 값은 제거하도록 권장합니다. 이것이 하우스키핑 모범 사례입니다. 다만, 모든 ACL을 철저하게 식별하여 수정하기는 매우 힘든 작업입니다.
소스 개체 자체에서 SIDHistory 특성을 편집할 권한이 있는 사용자가 SIDHistory 값을 제거할 수 있습니다. 만들기와 달리 이 작업에는 도메인 관리자 권한이 필요하지 않습니다.
이렇게 하려면 PowerShell을 사용할 수밖에 없습니다. Active Directory 사용자 및 컴퓨터와 같은 그래픽 도구는 실패하기 때문입니다. 예:
Set-ADUser -Identity <user> -Remove @{sidhistory="S-1-..."}주의: SIDHistory 값을 제거하기는 쉽지만, 이 작업을 되돌리기는 매우 복잡합니다. SIDHistory 값을 다시 만들어야 하며, 그러려면 다른 도메인이 있어야 하고 그 도메인은 서비스 해제될 가능성이 있기 때문입니다. 이 때문에 Microsoft에서는 스냅샷 또는 백업을 준비해두는 것도 권장합니다.
참고 항목