성태의 닷넷 이야기
홈 주인
모아 놓은 자료
프로그래밍
질문/답변
사용자 관리
사용자
메뉴
아티클
외부 아티클
유용한 코드
온라인 기능
MathJax 입력기
최근 덧글
[정성태] Roll A Lisp In C - Reading ; https...
[정성태] Java - How to use the Foreign Funct...
[정성태] 제가 큰 실수를 했군요. ^^; Delegate를 통한 Bein...
[정성태] Working with Rust Libraries from C#...
[정성태] Detecting blocking calls using asyn...
[정성태] 아쉽게도, 커뮤니티는 아니고 개인 블로그입니다. ^^
[정성태] 질문이 잘 이해가 안 됩니다. 우선, 해당 소스코드에서 ILis...
[양승조
] var대신 dinamic으로 선언해서 해결은 했습니다. 맞는 해...
[양승조
] 또 막혔습니다. ㅠㅠ var list = props[i].Ge...
[양승조
] 아. 감사합니다. 어제는 안됐던것 같은데....정신을 차려야겠네...
글쓰기
제목
이름
암호
전자우편
HTML
홈페이지
유형
제니퍼 .NET
닷넷
COM 개체 관련
스크립트
VC++
VS.NET IDE
Windows
Team Foundation Server
디버깅 기술
오류 유형
개발 환경 구성
웹
기타
Linux
Java
DDK
Math
Phone
Graphics
사물인터넷
부모글 보이기/감추기
내용
<div style='display: inline'> <h1 style='font-family: Malgun Gothic, Consolas; font-size: 20pt; color: #006699; text-align: center; font-weight: bold'>윈도우 계정의 암호를 알아내는 mimikatz 도구</h1> <p> 아래와 같은 글이 있어서,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > 윈도우7, 8의 취약점을 이용한 어드민 계정 탈취 가능 현상 ; <a target='tab' href='http://social.msdn.microsoft.com/Forums/ko-KR/5a52cdf9-7922-4b52-9ea7-f2f962b93ae3/7-8-?forum=vistako'>http://social.msdn.microsoft.com/Forums/ko-KR/5a52cdf9-7922-4b52-9ea7-f2f962b93ae3/7-8-?forum=vistako</a> </pre> <br /> mimikatz 도구에 대해 검색해 보았습니다. 현재 github에 소스코드까지 공개되어 있어 가벼운 마음으로 다운로드 받아 테스트를 시작했습니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > gentilkiwi/mimikatz ; <a target='tab' href='https://github.com/gentilkiwi/mimikatz/releases'>https://github.com/gentilkiwi/mimikatz/releases</a> </pre> <br /> 제가 다운로드 받은 버전은 오늘자 기준 최신 버전인 "mimikatz 2.0 alpha 20140501"이고, 제 VM 테스트 머신 중에 윈도우 8에서 실행했으나 다음과 같이 동작하지 않았습니다.<br /> <br /> <img onclick='toggle_img(this)' class='imgView' alt='mimikatz_1.png' src='/SysWebRes/bbs/mimikatz_1.png' /><br /> <br /> 아래의 소개 PPT 자료에 보니,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > mimikatz ; <a target='tab' href='http://fr.slideshare.net/gentilkiwi/mimikatz-ossir'>http://fr.slideshare.net/gentilkiwi/mimikatz-ossir</a> </pre> <br /> XP, 2003, Vista, 2008, 7, 2008R2, 8, 2012의 x86/x64 버전에서 동작한다고 하는데 이상하군요. 혹시나 싶어 cmd.exe를 "관리자 권한"으로 실행시킨 다음 "privilege::debug" 명령을 실행해 보았습니다. 그랬더니 성공합니다. ^^<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > mimikatz # privilege::debug Privilege '20' OK </pre> <br /> 그다음 "sekurlsa::logonpasswords" 명령을 내리면 계정의 암호가 평문과 함께 출력됩니다. (테스트 해보니 8.1에서도 동작합니다.)<br /> <br /> 재미있는 점이 있다면, 현재 "로그인 중인 사용자 계정과 컴퓨터가 실행 중인 동안 로그인을 했던 사용자에 한해서만" 암호를 알아낼 수 있다는 점입니다. 즉, 컴퓨터에 계정이 등록되었다고 해도 mimikatz를 실행하는 시점의 컴퓨터가 살아 있는 동안 로그인을 한 적이 없다면 그 사용자 계정의 암호는 알아낼 수 없습니다.<br /> <br /> <hr style='width: 50%' /><br /> <br /> 검색하다 보니 다음의 글이 있습니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > mimikatz를 이용해 admin$가 공유된 서버의 계정탈취 ; <a target='tab' href='http://apollo89.com/wordpress/?p=5786'>http://apollo89.com/wordpress/?p=5786</a> </pre> <br /> 사실, 위의 글은 약간 오버한 감이 있습니다. "admin$" 공유를 접근할 수 있는 것은 말 그대로 그 컴퓨터의 관리자 계정에 해당하므로 역시나 관리자 권한의 계정을 알고 있지 않다면 의미가 없습니다. (그리고, 해커가 관리자 권한을 알고 있다면 이미 게임이 끝난 것이죠.)<br /> <br /> 본문에서 언급된 "특히 누구나 접근가능한 everyone으로 열린 admin$ 공유는 매우 위험하다."라는 것도 마찬가지입니다. '컴퓨터 관리'에 들어가서 "admin$" 공유의 권한을 조정하려고 하면 다음과 같이 기본 UI에서는 허가하지 않고 있습니다.<br /> <br /> <img alt='mimikatz_2.png' src='/SysWebRes/bbs/mimikatz_2.png' /> <br /><br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > This has been shared for administrative purposes. The share permissions and file security cannot be set. </pre> <br /> 설령 편법을 동원해 admin$을 everyone에게 열었다고 해도 c:\Windows 폴더가 공유된 것일 뿐 mimikatz를 psexec를 이용해 실행하기 위해서는 역시나 대상 컴퓨터의 관리자 계정 정보가 필요합니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > c:\psexec.exe \\192.168.0.100 -c c:\mimikatz\x64\mimikatz.exe </pre> <br /> 그래도 위의 글에 적힌 psexec.exe를 이용한 원격 실행이 아주 의미가 없는 것은 아닙니다. 예를 들어, 개인용 운영체제(XP, 7, 8)의 경우 기존 로그인 중인 사용자 계정 정보를 얻기 위해 RDP 원격 접속(mstsc.exe)을 한다면 기존 사용자 세션이 끊어지기 때문에 몰래 접근할 수 있는 방법이 없습니다. 하지만, psexec.exe를 이용하면 기존 사용자의 로그인 세션을 끊지 않고도 실행할 수 있다는 점에서 의미가 있습니다.<br /> <br /> <hr style='width: 50%' /><br /> <br /> 정리해 볼까요? 일단, 개인용 PC에서는 mimikatz 보안 위협을 걱정할 필요는 없습니다. 왜냐하면, 외부 사용자가 그 개인용 PC의 관리자 암호를 알고 있을 수는 없기 때문입니다. 혹시나 친한 친구에게 자신의 PC에 접근할 수 있는 관리자 권한의 사용자 계정을 주었다면 그 친구가 mimikatz를 이용한다면 여러분의 암호를 알아낼 수는 있습니다. (그런 친구를 절친으로 사귄 자신을 원망하세요. ^^;)<br /> <br /> 문제는 "<a target='tab' href='http://social.msdn.microsoft.com/Forums/ko-KR/5a52cdf9-7922-4b52-9ea7-f2f962b93ae3/7-8-?forum=vistako'>윈도우7, 8의 취약점을 이용한 어드민 계정 탈취 가능 현상</a>" 글에 나온 것처럼 학교나 공공장소에서 사용하는 경우입니다.<br /> <br /> 만약 여러분들이 사용하는 컴퓨터에 다중 사용자가 또 다른 '관리자' 권한으로 접속할 수 있는 환경이라면... 그냥 간단하게 생각해서 여러분들의 암호가 공유되었다고 생각하는 것이 편하겠습니다. 따라서, 그런 공공 장소에서의 컴퓨터에서는 절대로 여러분들의 개인 PC에서 사용하는 암호와 동일한 걸로 사용해서는 안됩니다.<br /> <br /> 어떤 관점에서 본다면 mimikatz 도구가 크게 보안에 위협이 되는 것은 아닙니다. 공공장소의 컴퓨터에서 누구나 관리자 권한으로 접속할 수 있다면 그 컴퓨터에서 이뤄지는 모든 행동이 모니터링 될 수 있기 때문입니다. 단지 mimikatz 도구로 그 계정의 암호를 알 수 있게 되었다는 정도가 추가로 문제가 될 뿐입니다.<br /> <br /> 어쨌든, 분명한 것은 현재 로그인 중인 사용자 계정의 암호를 알 수 있다는 것은 심각한 보안 결함입니다. 마이크로소프트도 지금쯤이면 이를 알고 있을 테니... 아마도 언젠가는 수정할 테지만... 과연 언제가 될지 저도 궁금하군요. ^^<br /> </p><br /> <br /><hr /><span style='color: Maroon'>[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]</span> </div>
첨부파일
스팸 방지용 인증 번호
2144
(왼쪽의 숫자를 입력해야 합니다.)