패스 더 해시(Pass the Hash)

이전 포스트에서 지적했듯이 해킹 위험은 이제 만약의 문제가 아니라 시기의 문제이다. 그 해킹의 유형과 대처방안 중 암호보안 관리 및 암호해킹 유형에 대해 간략하게 소개해보고자 한다.

 

'패스 더 해시(Pass the hash).'라는 말을 듣고 아마 소금에 절인 쇠고기 해시를 떠올렸을지도 모른다. 물론 필자도 개인적으로 좋아하는 음식이지만, 여기서 언급한 '해시'는 한번 보안이 뚫리면 온갖 문제가 생기는 종류를 말한다. 최근 새로운 해킹 방법으로 떠오르고 있으며 반드시 주의해야 할 대상이기도 하다. 패스 더 해시(Pass the Hash) 공격은 엄청난 손해를 가져올 수 있는 인증 탈취의 한 유형으로, 측면 공격(lateral attacks)과 권한 상승(privilege escalation) 공격에도 사용될 수 있으므로 여기서 그 종류와 대처방법을 알아보기로 하겠다.

 

계정 해킹의 유형

 

인증 탈취(Credential theft)

인증 탈취 공격은 다른 사용자의 인증을 훔치는 방법이다. 주로 도메인이나 서버 관리자 등의 인증을 훔친다.

 

권한 상승(Privilege escalation)
아무 계정이나 상관없이 손에 넣어 전체 시스템에 접근하는 공격 유형이다. 현재 사용하는 계정의 권한을 상승시켜 접근을 시도한다.

 

측면 공격(Lateral attacks)
하나의 시스템에서 획득한 권한을 이용해 개구리처럼 다른 시스템으로 옮겨가는 공격 방법이다.

 

계정 해시 탈취(Account hashes)
해시는 이론적으로 원래 값을 알아낼 수 없도록 수학적으로 계산된 값이다. 따라서 누군가가 당신의 비밀번호 해시를 가지고 있어도, 당신의 원래 비밀번호가 무엇인지 알 수 없다. 하지만 당신이 사용했을지도 모르는 가능한 모든 비밀번호의 해시를 가지고 있다면 그 값을 참조해 당신의 비밀번호를 알아낼 수 있다.

 

패스 더 해시(Pass the Hash)
이미 공격자가 워크스테이션이나 서버에 침투해 일반 사용자가 멀웨어를 다운로드하게 한 뒤 관리자가 접속하길 기다려 그 인증 해시를 탈취한다. 그렇게 탈취한 해시는 측면 공격 등에 사용한다.

 

대처 방법

 

마이크로소프트가 제시하는 대처법을 정리해봤다. 해당 사항 및 더 많은 정보는 http://aka.ms/pth에서 확인할 수 있다.

1. 높은 권한의 도메인 계정을 제한하고 보호하기
보안이 취약한 컴퓨터에 인증서가 무심코 노출될 수 있는 관리자의 권한을 제한할 수 있다.

 

2. 관리 권한을 가진 로컬 계정 제한하고 보호하기
로컬 관리자 계정을 사용하는 공격자의 권한을 제한할 수 있다.

 

3. 윈도 방화벽을 사용해 접속 트래픽 제한하기
로컬 윈도 방화벽으로 워크스테이션 접속을 막아 해킹당한 장치로 공격자가 측면 공격(Lateral attacks)을 하지 못하게 제한할 수 있다.

 Casper Manes, Pass the hash, 8. 9. 2015.
http://www.gfi.com/blog/security-101-pass-the-hash/