Microsoft Defender는 곧 Windows 암호 도용을 차단합니다

 

 

Microsoft는 LSASS 프로세스에서 Windows 자격 증명을 훔치려는 해커의 시도를 차단하기 위해 기본적으로 Microsoft Defender '공격 표면 감소' 보안 규칙을 활성화하고 있습니다.

 

위협 행위자가 네트워크를 손상시키면 자격 증명을 훔치거나 익스플로잇을 사용하여 측면으로 다른 장치로 확산을 시도합니다.

 

Windows 자격 증명을 도용하는 가장 일반적인 방법 중 하나는 손상된 장치에 대한 관리자 권한을 얻은 다음 Windows에서 실행되는 LSASS(Local Security Authority Server Service) 프로세스의 메모리를 덤프하는 것입니다.

 

이 메모리 덤프에는 컴퓨터에 로그인한 사용자의 Windows 자격 증명에 대한 NTLM 해시가 포함되어 있어 일반 텍스트 암호에 대해 무차별 대입이 가능하거나 Pass-the-Hash 공격에 사용되어 다른 장치에 로그인할 수 있습니다.

 

위협 행위자가 인기 있는 Mimikatz 프로그램을 사용하여 LSASS에서 NTLM 해시를 덤프하는 방법에 대한 데모가 아래에 나와 있습니다.

 

mimikatz를 사용하여 LSASS 덤프에서 NTLM 자격 증명 덤프

 

 

Microsoft Defender는 Mimikatz와 같은 프로그램을 차단하지만 LSASS 메모리 덤프는 여전히 원격 컴퓨터로 전송되어 차단될 염려 없이 자격 증명을 덤프할 수 있습니다.

 

Microsoft Defender의 ASR 구조

 

위협 행위자가 LSASS 메모리 덤프를 남용하는 것을 방지하기 위해 Microsoft는 LSASS 프로세스에 대한 액세스를 방지하는 보안 기능을 도입했습니다.

 

이러한 보안 기능 중 하나는 다른 프로세스가 액세스하지 못하도록 하는 가상 컨테이너에서 LSASS 프로세스를 격리하는 Credential Guard입니다.

 

그러나 이 기능은 드라이버나 응용 프로그램과 충돌을 일으켜 일부 조직에서 이 기능을 활성화하지 못하게 할 수 있습니다.

 

Credential Guard에서 발생하는 충돌을 일으키지 않고 Windows 자격 증명 도용을 완화하는 방법으로 Microsoft는 곧 기본적으로 Microsoft Defender ASR(Attack Surface Reduction) 규칙을 활성화할 예정입니다.

 

' Windows 로컬 보안 기관 하위 시스템에서 자격 증명 도용 차단' 규칙은 관리 권한이 있더라도 프로세스가 LSASS 프로세스를 열고 메모리를 덤프하는 것을 방지합니다.

 

Process Explorer가 LSASS 프로세스를 덤프하지 못하도록 차단하는 ASR 규칙

 

 

이 새로운 변경 사항은 이번 주 Microsoft의 ASR 규칙 문서에 대한 업데이트를 발견한 보안 연구원 Kostas에 의해 발견되었습니다.

 

"ASR(Attack Surface Reduction) 규칙 "Windows 로컬 보안 기관 하위 시스템(lsass.exe)에서 자격 증명 도용 차단"의 기본 상태가 구성되지 않음에서 구성됨으로 변경되고 기본 모드가 차단으로 설정됩니다. 다른 모든 ASR 규칙은 기본 상태인 구성되지 않음으로 유지됩니다." Microsoft는 ASR 규칙에 대한 업데이트된 문서에서 설명했습니다.

 

"추가 필터링 논리가 이미 규칙에 통합되어 최종 사용자 알림을 줄입니다. 고객은 기본 모드를 재정의하는 감사, 경고 또는 비활성화 모드로 규칙을 구성할 수 있습니다. 이 규칙의 기능은 규칙이 기본 설정 모드로 구성하거나 차단 모드를 수동으로 활성화한 경우."

 

공격 표면 감소 규칙은 이벤트 로그에 오탐과 많은 노이즈를 유발하는 경향이 있기 때문에 Microsoft는 이전에 기본적으로 보안 기능을 활성화하지 않았습니다.

 

그러나 Microsoft는 최근 관리자 및 Windows 사용자가 사용하여 공격 표면을 증가시키는 공통 기능을 제거함으로써 편의성을 희생하면서 보안을 선택하기 시작했습니다.

 

예를 들어 Microsoft는 최근 4월에 다운로드한 Office 문서의 VBA 매크로가 Office 응용 프로그램 내에서 활성화되는 것을 방지하여 맬웨어에 대한 인기 있는 배포 방법을 중단할 것이라고 발표했습니다.

 

이번 주에 우리는 Microsoft가 위협 행위자가 맬웨어를 설치하고 명령을 실행하는 데 일반적으로 사용하는 WMIC 도구의 사용 중단을 시작했음을 알게 되었습니다.

 

완벽한 솔루션은 아니지만 훌륭한 시작

 

기본적으로 ASR 규칙을 사용하도록 설정하면 Windows 자격 증명 도용에 상당한 영향을 미치지만 절대적인 문제는 아닙니다.

 

전체 공격 노출 영역 감소 기능은 Microsoft Defender를 기본 바이러스 백신으로 실행하는 Windows Enterprise 라이선스에서만 지원되기 때문입니다. 그러나 BleepingComputer의 테스트에 따르면 LSASS ASR 규칙은 Windows 10 및 Windows 11 Pro 클라이언트에서도 작동합니다.

 

유감스럽게도 다른 바이러스 백신 솔루션이 설치되면 ASR은 즉시 장치에서 비활성화됩니다.

 

또한 보안 연구원은 위협 행위자가 해당 파일 이름/디렉토리에서 도구를 실행하여 ASR 규칙을 우회하고 LSASS 프로세스를 계속 덤프할 수 있도록 하는 기본 제공 Microsoft Defender 제외 경로를 발견했습니다.

 

Mimikatz 개발자 Benjamin Delpy는 Microsoft가 다른 규칙에 대해 이러한 기본 제공 제외를 추가했을 수 있지만 제외가 모든 규칙에 영향을 미치기 때문에 LSASS 제한을 우회한다고 BleepingComputer에 말했습니다.

 

"예를 들어, "유병률, 연령 또는 신뢰할 수 있는 목록 기준을 충족하지 않으면 실행 파일 실행 차단" 규칙에서 디렉터리를 제외하려는 경우 이 규칙에서만 가능하지 않습니다. 제외는 모든 ASR에 적용됩니다. 규칙... LSASS 액세스 포함", Delpy는 BleepingComputer와의 대화에서 다가오는 변경 사항에 대해 설명했습니다.

 

그러나 이러한 모든 문제에도 불구하고 Delpy는 이 변경을 Microsoft의 주요 진전으로 보고 있으며 Windows 자격 증명을 훔치는 위협 행위자의 능력에 상당한 영향을 미칠 것이라고 믿습니다.

 

"그것은 우리가 몇 년 동안(수십 년 동안?) 요청한 것입니다. 좋은 단계이며 인터넷에서 가져올 때 매크로가 기본적으로 비활성화되어 있다는 사실을 알게 되어 매우 기쁩니다. 이제 실제 공격과 관련된 조치를 보기 시작했습니다. " 계속 델피.

 

"LSASS 프로세스를 여는 프로세스를 지원해야 할 정당한 이유는 없습니다... 단지 인증과 관련된 버그/레거시/엉성한 제품(대부분의 경우)을 지원하기 위해서입니다.')"

 

BleepingComputer는 이 규칙이 기본적으로 활성화되는 시기에 대해 자세히 알아보기 위해 Microsoft에 연락했지만 회신을 받지 못했습니다.