프록시 위키

골든티켓 공격

프록시 선택 및 구매

신뢰 조종사

골든 티켓 공격은 Microsoft Active Directory 인프라의 약점을 이용하는 정교한 사이버 공격입니다. 이를 통해 공격자는 Windows 도메인 내에서 인증에 사용되는 Kerberos 티켓을 위조하여 네트워크에 대한 무단 액세스 권한을 부여할 수 있습니다. 이 공격은 2014년 보안 연구원 Benjamin Delpy에 의해 처음 발견되어 공개되었습니다. 이후 전 세계 IT 관리자 및 조직의 중요한 관심사가 되었습니다.

골든 티켓 공격의 기원에 관한 역사

골든 티켓 공격의 기원은 Microsoft의 Kerberos 구현에서 발견된 취약점으로 거슬러 올라갑니다. Kerberos 인증 프로토콜은 Active Directory의 핵심 구성 요소로, 사용자가 네트워크 리소스에 대한 액세스를 인증하고 얻을 수 있는 안전한 방법을 제공합니다. 2014년에 "Mimikatz" 도구의 창시자인 Benjamin Delpy는 Kerberos 티켓이 발행되고 검증되는 방식에서 약점을 발견했습니다.

Delpy는 도메인 컨트롤러에 대한 관리 액세스 권한이 있는 공격자가 이러한 취약점을 악용하여 골든 티켓을 위조할 수 있음을 밝혔습니다. 이 위조된 티켓은 공격자의 초기 진입점이 닫힌 후에도 조직의 리소스에 대한 지속적인 액세스를 얻는 데 사용될 수 있습니다.

골든 티켓 공격에 대한 자세한 정보

골든 티켓 공격은 Microsoft Active Directory 인프라의 두 가지 주요 구성 요소인 TGT(티켓 부여 티켓)와 KDC(키 배포 센터)를 활용합니다. 사용자가 Windows 도메인에 로그인하면 KDC는 TGT를 발급합니다. 이는 사용자의 신원을 증명하는 역할을 하며 자격 증명을 반복적으로 입력할 필요 없이 다양한 리소스에 대한 액세스 권한을 부여합니다.

골든 티켓 공격에는 다음 단계가 포함됩니다.

  1. 인증자료 추출: 공격자는 도메인 컨트롤러에 대한 관리 액세스 권한을 얻고 일반 텍스트로 저장된 KDC 장기 비밀 키를 포함하여 필요한 인증 자료를 추출합니다.

  2. 골든 티켓 제작: 공격자는 추출된 자료를 사용하여 임의의 사용자 권한과 일반적으로 수십 년에 이르는 매우 긴 유효 기간을 갖춘 TGT를 위조합니다.

  3. 지속성과 측면 이동: 위조된 티켓은 네트워크에 대한 지속적인 액세스 권한을 얻고 시스템 간에 측면 이동하여 중요한 리소스에 액세스하고 추가 계정을 손상시키는 데 사용됩니다.

골든 티켓 공격의 내부 구조

골든 티켓 공격의 내부 구조를 이해하려면 Kerberos 티켓의 구성 요소를 이해하는 것이 중요합니다.

  1. 머리글: 암호화 유형, 티켓 유형, 티켓 옵션에 대한 정보가 포함되어 있습니다.

  2. 티켓정보: 사용자의 ID, 권한, 액세스할 수 있는 네트워크 서비스에 대한 세부정보가 포함됩니다.

  3. 세션 키: 세션 내에서 메시지를 암호화하고 서명하는 데 사용됩니다.

  4. 추가 정보: 사용자의 IP 주소, 티켓 만료 시간 및 기타 관련 데이터가 포함될 수 있습니다.

골든 티켓 공격의 주요 특징 분석

골든 티켓 공격은 강력한 위협이 되는 몇 가지 주요 기능을 가지고 있습니다.

  1. 고집: 위조된 티켓의 유효기간이 길기 때문에 공격자는 장기간 네트워크에 대한 접근을 유지할 수 있습니다.

  2. 권한 승격: 공격자는 더 높은 수준의 액세스 권한이 있는 티켓을 위조하여 중요한 시스템과 데이터에 대한 제어권을 부여함으로써 권한을 높일 수 있습니다.

  3. 측면 운동: 지속적인 액세스를 통해 공격자는 네트워크 전반에 걸쳐 측면으로 이동하여 추가 시스템을 손상시키고 제어를 확대할 수 있습니다.

  4. 몰래 하기: 해당 공격은 시스템 로그에 흔적을 거의 남기지 않아 탐지가 어렵습니다.

골든 티켓 공격의 유형

골든 티켓 공격에는 두 가지 기본 유형이 있습니다.

  1. 티켓 훔치기: 이 접근 방식에는 도메인 컨트롤러에서 KDC 장기 비밀 키와 같은 인증 자료를 훔치는 것이 포함됩니다.

  2. 오프라인 공격: 오프라인 공격 시나리오에서는 공격자가 도메인 컨트롤러를 직접 손상시킬 필요가 없습니다. 대신 백업이나 도메인 스냅샷에서 필요한 자료를 추출할 수 있습니다.

아래는 두 가지 유형의 비교표입니다.

유형 공격방법 복잡성 감지 난이도
티켓 훔치기 도메인 컨트롤러에 직접 액세스 높은 중간
오프라인 공격 백업 또는 스냅샷에 대한 액세스 중간 낮은

골든 티켓 공격 활용 방법, 문제점 및 해결 방법

골든 티켓 공격은 조직에 심각한 보안 문제를 야기합니다.

  1. 승인되지 않은 접근: 공격자는 중요한 데이터 및 리소스에 무단으로 액세스하여 잠재적인 데이터 침해로 이어질 수 있습니다.

  2. 권한 승격: 공격자는 높은 권한의 티켓을 위조하여 권한을 상승시키고 중요한 시스템을 제어할 수 있습니다.

  3. 탐지 부족: 공격의 흔적이 거의 남지 않아 탐지 및 예방이 어렵습니다.

골든 티켓 공격의 위험을 완화하려면 조직은 다음 솔루션을 고려해야 합니다.

  1. 최소 권한: 불필요한 액세스를 제한하고 성공적인 공격의 영향을 최소화하기 위해 최소 권한 모델을 구현합니다.

  2. 정기 모니터링: 의심스러운 행동과 이상 현상이 있는지 네트워크 활동을 지속적으로 모니터링합니다.

  3. 자격 증명 관리: 키와 비밀번호를 정기적으로 교체하는 등 자격 증명 관리 관행을 강화합니다.

  4. 다단계 인증: 다중 요소 인증(MFA)을 시행하여 추가 보안 계층을 추가합니다.

주요 특징 및 기타 비교

다음은 골든 티켓 공격을 유사한 용어와 비교한 표입니다.

용어 설명
골든 티켓 공격 무단 액세스를 위해 Kerberos의 약점을 악용합니다.
실버 티켓 공격 무단 리소스 액세스에 대한 서비스 티켓을 위조합니다.
Pass-the-Ticket 공격 무단 액세스를 위해 도난당한 TGT 또는 TGS를 사용합니다.

미래의 관점과 기술

기술이 발전함에 따라 사이버 위협도 발전하고 있습니다. 골든 티켓 공격 및 관련 위협에 대응하기 위해 다음 기술이 더욱 두드러질 수 있습니다.

  1. 제로 트러스트 아키텍처: 기본적으로 사용자나 장치를 신뢰하지 않으며 신원 및 액세스에 대한 지속적인 확인이 필요한 보안 모델입니다.

  2. 행동 분석: 비정상적인 동작과 자격 증명 위조의 잠재적 징후를 식별하는 고급 기계 학습 알고리즘입니다.

  3. 향상된 암호화: 인증자료가 쉽게 추출되지 않도록 더욱 강력한 암호화 방식을 제공합니다.

프록시 서버를 골든 티켓 공격과 연결하거나 사용하는 방법

OneProxy에서 제공하는 것과 같은 프록시 서버는 네트워크 보안에서 중요한 역할을 합니다. 프록시 서버 자체는 골든 티켓 공격에 직접적으로 관여하지 않지만 다음을 통해 보안을 강화하는 데 도움이 될 수 있습니다.

  1. 교통 점검: 프록시 서버는 네트워크 트래픽을 검사하여 의심스러운 활동을 감지하고 차단할 수 있습니다.

  2. 액세스 제어: 프록시 서버는 액세스 제어를 시행하여 승인되지 않은 사용자가 중요한 리소스에 액세스하는 것을 방지할 수 있습니다.

  3. 필터링: 프록시는 악의적인 트래픽을 필터링하고 차단하여 잠재적인 악용에 대한 공격 표면을 줄일 수 있습니다.

관련된 링크들

골든 티켓 공격 및 관련 주제에 대한 자세한 내용은 다음 리소스를 참조하십시오.

  1. MITRE ATT&CK – 골든 티켓
  2. 골든 티켓에 대한 Microsoft 보안 권고
  3. SANS 연구소 – 골든 티켓 공격 설명
  4. Mimikatz GitHub 리포지토리

골든 티켓 공격(Golden Ticket Attack)과 같은 정교한 사이버 위협으로부터 조직을 보호하려면 정보를 지속적으로 확보하고 사전 대응하는 것이 중요합니다. 정기적인 보안 평가, 직원 교육, 모범 사례 채택은 네트워크와 데이터를 보호하기 위한 필수 단계입니다.

에 대해 자주 묻는 질문 골든 티켓 공격: 자격 증명 위조의 어두운 비밀 풀기

골든 티켓 공격은 Microsoft Active Directory 인프라의 약점을 이용하는 정교한 사이버 공격입니다. 이를 통해 공격자는 Kerberos 티켓을 위조하여 네트워크에 대한 무단 액세스를 허용할 수 있습니다. 공격자는 도메인 컨트롤러에 대한 관리 액세스 권한을 얻고 인증 자료를 추출한 다음 임의의 사용자 권한으로 오래 지속되는 티켓을 위조하여 네트워크에 대한 지속적인 액세스를 제공합니다.

골든 티켓 공격(Golden Ticket Attack)은 2014년 보안 연구원 벤저민 델피(Benjamin Delpy)에 의해 처음 발견되어 공개되었습니다.

골든 티켓 공격은 지속성, 권한 상승, 측면 이동 및 스텔스를 제공합니다. 오래 지속되는 위조 티켓은 공격자에게 네트워크에 대한 장기간 액세스 권한을 부여하여 권한을 확대하고 추적이 거의 없이 시스템 간에 측면으로 이동할 수 있도록 합니다.

예, 두 가지 기본 유형이 있습니다. 하나는 도메인 컨트롤러에서 직접 인증 자료를 훔치는 것이고, 다른 하나는 백업이나 도메인 스냅샷에서 필요한 자료를 추출하는 오프라인 공격입니다.

위험을 완화하려면 조직은 최소 권한 액세스를 구현하고, 정기적으로 네트워크 활동을 모니터링하고, 자격 증명 관리를 강화하고, 다단계 인증(MFA)을 시행해야 합니다.

세 가지 공격 모두 Kerberos 약점을 악용하는 공격과 관련되어 있지만 골든 티켓 공격은 무단 액세스를 위해 Kerberos 티켓을 위조합니다. 반면, Silver Ticket Attack은 서비스 티켓을 위조하고, Pass-the-Ticket Attack은 훔친 티켓을 이용해 무단 접속을 시도합니다.

제로 트러스트 아키텍처, 행동 분석, 향상된 암호화와 같은 기술은 향후 골든 티켓 공격 및 관련 위협에 대처하기 위해 두각을 나타낼 수 있습니다.

프록시 서버는 네트워크 트래픽을 검사하고, 액세스 제어를 적용하고, 악의적인 트래픽을 필터링하여 잠재적인 악용에 대한 공격 표면을 줄여 보안을 강화할 수 있습니다.

골든 티켓 공격 및 관련 주제에 대한 자세한 내용은 아래 제공된 링크를 참조하세요.

  1. MITRE ATT&CK – 골든 티켓
  2. 골든 티켓에 대한 Microsoft 보안 권고
  3. SANS 연구소 – 골든 티켓 공격 설명
  4. Mimikatz GitHub 리포지토리
데이터센터 프록시
공유 프록시

믿을 수 있고 빠른 수많은 프록시 서버.

시작 시간IP당 $0.06
회전 프록시
회전 프록시

요청당 지불 모델을 갖춘 무제한 순환 프록시입니다.

시작 시간요청당 $0.0001
개인 프록시
UDP 프록시

UDP를 지원하는 프록시.

시작 시간IP당 $0.4
개인 프록시
개인 프록시

개인용 전용 프록시.

시작 시간IP당 $5
무제한 프록시
무제한 프록시

트래픽이 무제한인 프록시 서버.

시작 시간IP당 $0.06
지금 바로 프록시 서버를 사용할 준비가 되셨나요?
IP당 $0.06부터
프록시 구매