[케쉴주] Mimikatz를 이용한 패스워드 크랙

참고: https://www.youtube.com/watch?v=HJO-VhOFhjY

 

📍 Mimikatz

 

Windows 시스템을 사용하는 컴퓨터에서 자격 증명(Credential) 및 기타 민감한 데이터를 추출하는 데 사용되는 오픈 소스 도구이다.
LSASS(지역 보안 권한 하위 시스템 서비스)를 통해 접근하고,
해당 서비스를 침해하여 인증 데이터가 처리되고 저장되는 방법을 왜곡한다.

 

가능한 공격으로는 Pass-the-Hash, Pass-the-Ticket, Kerberos 티켓 통과 공격 등이 있다.

 

Mimikatz는 Microsoft 시스템의 메모리 구조를 살펴보면서 인증과 관련된 정보를 검색하는 과정을 빠르게 수행한다.

사용자 로그인 정보가 메모리에 저장될 때마다 이 정보를 식별하고 추출한다.

메모리 중에서 암호화된 로그인 정보를 찾아내어, 실제 비밀번호나 암호화된 해시 값의 추출 가능성을 제공한다.

 

🫧 Mimikatz 기능

패스워드 해시 추출

시스템에서 패스워드 해시를 추출해 원래의 패스워드를 알아내는 데 사용한다.

 

Kerberos 티켓 추출

Kerberos는 네트워크에서 사용자 인증을 관리하는 프로토콜이다.

사용자가 시스템에 로그인하면, Kerberos는 사용자에게 티켓을 발급한다. 이 티켓은 사용자가 시스템에 액세스할 수 있는 권한을 부여한다.

mimikatz는 이 티켓을 추출하고, 이를 이용해 시스템에 액세스한다.

패스워드 plain text 추출

시스템에서 실제 패스워드를 직접 추출한다.

 

🫧 Mimikatz 방어하기

1. 강력한 비밀번호 사용

• 대문자, 소문자, 숫자, 특수문자를 모두 포함하는 12자 이상의 비밀번호

2. 2단계 인증 사용

• 공격자가 비밀번호를 얻어도 추가적인 보안 단계를 통과하게 함

3. 정기적인 보안 업데이트
4. 관리자 권한 제한

• Mimikatz는 관리자 권한을 이용해 시스템에 침투
• 가능한 한 적은 수의 사용자에게 관리자 권한 부여
• 필요할 때만 관리자 권한을 사용하고 그 외의 시간에는 일반 사용자 계정을 사용하는 것이 좋음

5. 보안 소프트웨어 사용

• Mimikatz와 같은 위협을 감지하고 차단함