📌 개요
- 다수의 유저 계정을 상대로 하나의 비밀번호를 대입해 공격하는 방식
- MITRE ATTACK - T1110.003(T110: Brute Force)
- Tactic: Credntial Access(자격증명 액세스)
📌 공격 방식
1. 액티브 디렉토리(Active Directory, AD) 비밀번호 정책 확인:
- AD 비밀번호 정책을 확인하려면 도메인 유저 권한을 갖고 있어야 합니다.
- 정책 확인을 통해 계정잠금 방지와 공격 효율성을 증대 시킬수 있습니다.
- AD 비밀번호 정책에는 계정 잠금 임계점, 임계점 리셋 시간, 계정 잠금 시간 등이 포함되어있습니다.
2. 유저 명단 확보:
- 유저 명단은 LDAP을 통해 알아낼 수 있습니다.
- LDAP에 자주 쓰이는 툴들은 블러드하운드, Powerview 등이 있습니다.
- LDAP(Lightweight Directory Access Protocol)란 네트워크 상에서 디렉터리 정보를 조회하고 수정하기 위한 프로토콜입니다.
3. 스프레이 공격실행:
- 도메인 비밀번호 정책, 계정 잠금 임계점, 계정 잠금 시간등을 확인한 뒤 스프레이 공격을 실행합니다.
- 예를들어 임계점이 5번이고 임계점 리셋 시간이 2시간이라면 2시간 마다 1~2개의 비밀번호를 스프레이 합니다.
- 임계점에 가깝게 스프레이 하지 않는 이유는 실제 직원들이 계정을 사용하다 비밀번호를 잘못 입력할수 있기 때문입니다.
- 도메인 비밀번호 정책을 모르는 상태에서 10,000명 이상의 큰 네트워크를 상대로 스프레이 공격을 진행한다면 8시간마다 1개의 비밀번호를 시도하는 것을 추천한다.
- 공격을 실행하기전 고객사에게 연락해 사전허락을 맡아야합니다.
📌 정리
- 핵심은 '액티브 디렉토리 비밀번호 정책 확인'과 '스프레이 속도를 조절'하는 것
- 하나의 호스트에서 스프레이를 진행하기보단 여러 대 호스트에서 긴 시간 동안 느린 속도로 천천히 스프레이 공격을 실행하여 탐지되지 않도록 함
참고자료(더 보기▼)