Microsoft MVP성태의 닷넷 이야기
기타: 45. 윈도우 계정의 암호를 알아내는 mimikatz 도구 [링크 복사], [링크+제목 복사]
조회: 26599
글쓴 사람
정성태 (techsharer at outlook.com)
홈페이지
첨부 파일
 

윈도우 계정의 암호를 알아내는 mimikatz 도구

아래와 같은 글이 있어서,

윈도우7, 8의 취약점을 이용한 어드민 계정 탈취 가능 현상
; http://social.msdn.microsoft.com/Forums/ko-KR/5a52cdf9-7922-4b52-9ea7-f2f962b93ae3/7-8-?forum=vistako

mimikatz 도구에 대해 검색해 보았습니다. 현재 github에 소스코드까지 공개되어 있어 가벼운 마음으로 다운로드 받아 테스트를 시작했습니다.

gentilkiwi/mimikatz 
; https://github.com/gentilkiwi/mimikatz/releases

제가 다운로드 받은 버전은 오늘자 기준 최신 버전인 "mimikatz 2.0 alpha 20140501"이고, 제 VM 테스트 머신 중에 윈도우 8에서 실행했으나 다음과 같이 동작하지 않았습니다.

mimikatz_1.png

아래의 소개 PPT 자료에 보니,

mimikatz
; http://fr.slideshare.net/gentilkiwi/mimikatz-ossir

XP, 2003, Vista, 2008, 7, 2008R2, 8, 2012의 x86/x64 버전에서 동작한다고 하는데 이상하군요. 혹시나 싶어 cmd.exe를 "관리자 권한"으로 실행시킨 다음 "privilege::debug" 명령을 실행해 보았습니다. 그랬더니 성공합니다. ^^

mimikatz # privilege::debug
Privilege '20' OK

그다음 "sekurlsa::logonpasswords" 명령을 내리면 계정의 암호가 평문과 함께 출력됩니다. (테스트 해보니 8.1에서도 동작합니다.)

재미있는 점이 있다면, 현재 "로그인 중인 사용자 계정과 컴퓨터가 실행 중인 동안 로그인을 했던 사용자에 한해서만" 암호를 알아낼 수 있다는 점입니다. 즉, 컴퓨터에 계정이 등록되었다고 해도 mimikatz를 실행하는 시점의 컴퓨터가 살아 있는 동안 로그인을 한 적이 없다면 그 사용자 계정의 암호는 알아낼 수 없습니다.




검색하다 보니 다음의 글이 있습니다.

mimikatz를 이용해 admin$가 공유된 서버의 계정탈취
; http://apollo89.com/wordpress/?p=5786

사실, 위의 글은 약간 오버한 감이 있습니다. "admin$" 공유를 접근할 수 있는 것은 말 그대로 그 컴퓨터의 관리자 계정에 해당하므로 역시나 관리자 권한의 계정을 알고 있지 않다면 의미가 없습니다. (그리고, 해커가 관리자 권한을 알고 있다면 이미 게임이 끝난 것이죠.)

본문에서 언급된 "특히 누구나 접근가능한 everyone으로 열린 admin$ 공유는 매우 위험하다."라는 것도 마찬가지입니다. '컴퓨터 관리'에 들어가서 "admin$" 공유의 권한을 조정하려고 하면 다음과 같이 기본 UI에서는 허가하지 않고 있습니다.

mimikatz_2.png

This has been shared for administrative purposes. The share permissions and file security cannot be set.

설령 편법을 동원해 admin$을 everyone에게 열었다고 해도 c:\Windows 폴더가 공유된 것일 뿐 mimikatz를 psexec를 이용해 실행하기 위해서는 역시나 대상 컴퓨터의 관리자 계정 정보가 필요합니다.

c:\psexec.exe \\192.168.0.100 -c c:\mimikatz\x64\mimikatz.exe

그래도 위의 글에 적힌 psexec.exe를 이용한 원격 실행이 아주 의미가 없는 것은 아닙니다. 예를 들어, 개인용 운영체제(XP, 7, 8)의 경우 기존 로그인 중인 사용자 계정 정보를 얻기 위해 RDP 원격 접속(mstsc.exe)을 한다면 기존 사용자 세션이 끊어지기 때문에 몰래 접근할 수 있는 방법이 없습니다. 하지만, psexec.exe를 이용하면 기존 사용자의 로그인 세션을 끊지 않고도 실행할 수 있다는 점에서 의미가 있습니다.




정리해 볼까요? 일단, 개인용 PC에서는 mimikatz 보안 위협을 걱정할 필요는 없습니다. 왜냐하면, 외부 사용자가 그 개인용 PC의 관리자 암호를 알고 있을 수는 없기 때문입니다. 혹시나 친한 친구에게 자신의 PC에 접근할 수 있는 관리자 권한의 사용자 계정을 주었다면 그 친구가 mimikatz를 이용한다면 여러분의 암호를 알아낼 수는 있습니다. (그런 친구를 절친으로 사귄 자신을 원망하세요. ^^;)

문제는 "윈도우7, 8의 취약점을 이용한 어드민 계정 탈취 가능 현상" 글에 나온 것처럼 학교나 공공장소에서 사용하는 경우입니다.

만약 여러분들이 사용하는 컴퓨터에 다중 사용자가 또 다른 '관리자' 권한으로 접속할 수 있는 환경이라면... 그냥 간단하게 생각해서 여러분들의 암호가 공유되었다고 생각하는 것이 편하겠습니다. 따라서, 그런 공공 장소에서의 컴퓨터에서는 절대로 여러분들의 개인 PC에서 사용하는 암호와 동일한 걸로 사용해서는 안됩니다.

어떤 관점에서 본다면 mimikatz 도구가 크게 보안에 위협이 되는 것은 아닙니다. 공공장소의 컴퓨터에서 누구나 관리자 권한으로 접속할 수 있다면 그 컴퓨터에서 이뤄지는 모든 행동이 모니터링 될 수 있기 때문입니다. 단지 mimikatz 도구로 그 계정의 암호를 알 수 있게 되었다는 정도가 추가로 문제가 될 뿐입니다.

어쨌든, 분명한 것은 현재 로그인 중인 사용자 계정의 암호를 알 수 있다는 것은 심각한 보안 결함입니다. 마이크로소프트도 지금쯤이면 이를 알고 있을 테니... 아마도 언젠가는 수정할 테지만... 과연 언제가 될지 저도 궁금하군요. ^^




[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]



donaricano-btn



[최초 등록일: ]
[최종 수정일: 6/28/2021

Creative Commons License
이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.
by SeongTae Jeong, mailto:techsharer at outlook.com

비밀번호

댓글 쓴 사람
 



2014-05-02 06시28분
MSE, SEP 등의 Antivirus 제품 들에서 이미 Hacktool로 체크되어 있어서 실질적인 위협은 안되겠네요. 그보다 저자의 2011년 포스팅의 내용(http://goo.gl/eL97yP)이 재미있네요. 좋은 자료 소개해 주셔서 감사합니다~
GiSeong Eom
2014-05-02 06시31분
URL 주소를 댓글에 포함시켰더니 링크가 이상하게 되네요^^
GiSeong Eom
2014-05-03 01시16분
안티바이러스 들이 해당 툴을 감지할 수 있다고 해서, 응용 프로그램 자체의 보안이 뚫린 것을 그대로 유지해도 괜찮은 걸까요? ^^
정성태
2015-10-09 02시13분
[이준연] 윈도우 10에서는 관리자 권한으로 실행해보아도 안되네요.
[손님]
2021-06-21 10시26분
AD를 사용하는 기업 환경의 경우 대비책으로 VSM을 활성화시키는 것도 방법일 듯합니다.

Virtual Secure Mode (VSM) in Windows 10 Enterprise
; http://woshub.com/virtual-secure-mode-vsm-in-windows-10-enterprise/
정성태

[1]  2  3  4  5  6  7  8  9  10  11  12  13  14  15  ...
NoWriterDateCnt.TitleFile(s)
12752정성태8/4/202144개발 환경 구성: 592. JetBrains의 IDE(예를 들어, PyCharm)에서 Visual Studio 키보드 매핑 적용
12751정성태8/4/202157개발 환경 구성: 591. Windows 10 WSL2 환경에서 docker-compose 빌드하는 방법
12750정성태8/3/202182디버깅 기술: 181. windbg - 콜 스택의 "Call Site" 오프셋 값이 가리키는 위치
12749정성태8/2/202173개발 환경 구성: 590. Visual Studio 2017부터 단위 테스트에 DataRow 특성 지원
12748정성태8/2/202131개발 환경 구성: 589. Azure Active Directory - tenant의 관리자(admin) 계정 로그인 방법
12747정성태8/1/202146오류 유형: 748. 오류 기록 - MICROSOFT GRAPH – HOW TO IMPLEMENT IAUTHENTICATIONPROVIDER파일 다운로드1
12746정성태7/31/202199개발 환경 구성: 588. 네트워크 장비 환경을 시뮬레이션하는 Packet Tracer 프로그램 소개
12745정성태7/31/202128개발 환경 구성: 587. Azure Active Directory - tenant의 관리자 계정 로그인 방법
12744정성태7/30/202133개발 환경 구성: 586. Azure Active Directory에 연결된 App 목록을 확인하는 방법?
12743정성태7/30/202153.NET Framework: 1083. Azure Active Directory - 외부 Token Cache 저장소를 사용하는 방법파일 다운로드1
12742정성태7/30/202137개발 환경 구성: 585. Azure AD 인증을 위한 사용자 인증 유형
12741정성태7/29/202186.NET Framework: 1082. Azure Active Directory - Microsoft Graph API 호출 방법파일 다운로드1
12740정성태7/29/202156오류 유형: 747. SharePoint - InvalidOperationException 0x80131509
12739정성태7/28/202165오류 유형: 746. Azure Active Directory - IDW10106: The 'ClientId' option must be provided.
12738정성태7/28/202168오류 유형: 745. Azure Active Directory - Client credential flows must have a scope value with /.default suffixed to the resource identifier (application ID URI).
12737정성태7/28/202169오류 유형: 744. Azure Active Directory - The resource principal named api://...[client_id]... was not found in the tenant
12736정성태7/28/202151오류 유형: 743. Active Azure Directory에서 "API permissions"의 권한 설정이 "Not granted for ..."로 나오는 문제
12735정성태7/27/202186.NET Framework: 1081. C# - Azure AD 인증을 지원하는 데스크톱 애플리케이션 예제(Windows Forms)파일 다운로드1
12734정성태7/26/2021101스크립트: 20. 특정 단어로 시작하거나/끝나는 문자열을 포함/제외하는 정규 표현식 - Look-around
12733정성태7/23/2021124.NET Framework: 1081. Self-Contained/SingleFile 유형의 .NET Core/5+ 실행 파일을 임베딩한다면?파일 다운로드2
12732정성태7/23/202167오류 유형: 742. SharePoint - The super user account utilized by the cache is not configured.
12731정성태7/23/202184개발 환경 구성: 584. Add Internal URLs 화면에서 "Save" 버튼이 비활성화 된 경우
12730정성태7/23/202199개발 환경 구성: 583. Visual Studio Code - Go 코드에서 입력을 받는 경우
12729정성태7/22/202196.NET Framework: 1080. xUnit 단위 테스트에 메서드/클래스 수준의 문맥 제공 - Fixture
12728정성태7/22/202179.NET Framework: 1079. MSTestv2 단위 테스트에 메서드/클래스/어셈블리 수준의 문맥 제공
[1]  2  3  4  5  6  7  8  9  10  11  12  13  14  15  ...