크레덴셜 가드

Credential Guard는 LSASS용 가상화 기반 격리 테크놀로지입니다.이를 통해 공격자가 해시 ^[1]^[2]^[3]^[4]공격을 통과하기 위해 사용할 수 있는 credential을 도용하는 것을 방지합니다.Credential Guard는 마이크로소프트의 Windows 10 운영 ^[1]체제에서 도입되었습니다.Windows 10 버전 20H1 에서는, operating system의 Enterprise 에디션에서만 credential 가드를 사용할 수 있습니다.

요약

시스템 손상 후 공격자는 네트워크를 통해 더 많은 횡방향 이동을 위해 저장된 자격 증명을 추출하려고 시도합니다.주요 타깃은 NTLM 및 Kerberos credential을 저장하는 LSASS 프로세스입니다.Credential Guard는 SYSTEM 권한을 가진 사용자도 ^[5]접근할 수 없는 가상화된 컨테이너에서 LSASS를 실행함으로써 공격자가 LSASS에 저장된 credential을 덤프하는 것을 방지합니다.다음으로 시스템은 가상화된 LSASS ^[6]^[3]^[7]프로세스와 통신하기 위해 LSAIso(LSA Isolated)라는 프록시 프로세스를 만듭니다.

바이패스 기술

credential guard를 탑재한 시스템에서 credential을 도용하는 일반적인 방법은 다음과 같습니다.

시스템에서 실행 중인 키로거는 입력된 비밀번호를 ^[8]^[3]모두 캡처합니다.
관리자 권한을 가진 사용자는 새 SSP(보안 지원 공급자)를 설치할 수 있습니다.새로운 SSP는 저장된 비밀번호 해시에 액세스할 수 없지만 SSP 설치 ^[8]^[9]후 모든 비밀번호를 캡처할 수 있습니다.
SSPI를 사용하여 크래커블 NetNTLMv1 해시를 취득하는 'Internal Monologue' 공격과 같이 저장된 credential을 다른 소스에서 추출합니다.^[10]

레퍼런스

^ ^a ^b "Protect derived domain credentials with Windows Defender Credential Guard". Windows IT Pro Center. Retrieved 14 September 2018.
^ "Analysis of the attack surface of windows 10 virtualization-based security" (PDF). blackhat.com. Retrieved 13 November 2018.
^ ^a ^b ^c Yosifovich, Pavel; Russinovich, Mark (5 May 2017). Windows Internals, Part 1: System architecture, processes, threads, memory management, and more, Seventh Edition. Microsoft Press. ISBN 978-0-13-398647-1.
^ "Credential Guard Cheat Sheet". insights.adaptiva.com. Retrieved 13 November 2018.
^ "Deep Dive into Credential Guard, Credential Theft & Lateral Traversal". Microsoft Virtual Academy. Retrieved 17 September 2018.
^ "Windows 10 Device Guard and Credential Guard Demystified". Microsoft TechNet, Ash's blog. Retrieved 17 September 2018.
^ "Technique: Credential Dumping". attack.mitre.org. Retrieved 8 July 2019.
^ ^a ^b "Windows Credential Guard & Mimikatz". nviso labs. 2018-01-09. Retrieved 14 September 2018.
^ "Third party Security Support Providers with Credential Guard". Windows Dev Center. Retrieved 14 September 2018.
^ "Retrieving NTLM Hashes without touching LSASS: the "Internal Monologue" Attack". andreafortuna.org. Retrieved 5 November 2018.

[Protect_derived_domain_credentials_with_Windows_Defender_Credential_Guard-1] "Protect derived domain credentials with Windows Defender Credential Guard". Windows IT Pro Center. Retrieved 14 September 2018.

[Analysis_of_the_attack_surface_of_windows_10_virtualization-based_security-2] "Analysis of the attack surface of windows 10 virtualization-based security" (PDF). blackhat.com. Retrieved 13 November 2018.

[Windows_Internal_7_-_Volume_1-3] Yosifovich, Pavel; Russinovich, Mark (5 May 2017). Windows Internals, Part 1: System architecture, processes, threads, memory management, and more, Seventh Edition. Microsoft Press. ISBN 978-0-13-398647-1.

[Credential_Guard_Cheat_Sheet-4] "Credential Guard Cheat Sheet". insights.adaptiva.com. Retrieved 13 November 2018.

[Deep_Dive_into_Credential_Guard,_Credential_Theft_&_Lateral_Traversal-5] "Deep Dive into Credential Guard, Credential Theft & Lateral Traversal". Microsoft Virtual Academy. Retrieved 17 September 2018.

[Windows_10_Device_Guard_and_Credential_Guard_Demystified-6] "Windows 10 Device Guard and Credential Guard Demystified". Microsoft TechNet, Ash's blog. Retrieved 17 September 2018.

[ATT&CK_Credential_Dumping-7] "Technique: Credential Dumping". attack.mitre.org. Retrieved 8 July 2019.

[Windows_Credential_Guard_&_Mimikatz-8] "Windows Credential Guard & Mimikatz". nviso labs. 2018-01-09. Retrieved 14 September 2018.

[Third_party_Security_Support_Providers_with_Credential_Guard-9] "Third party Security Support Providers with Credential Guard". Windows Dev Center. Retrieved 14 September 2018.

[Retrieving_NTLM_Hashes_without_touching_LSASS:_the_“Internal_Monologue”_Attack-10] "Retrieving NTLM Hashes without touching LSASS: the "Internal Monologue" Attack". andreafortuna.org. Retrieved 5 November 2018.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

Search

크레덴셜 가드

네임스페이스

더

요약

바이패스 기술

레퍼런스