설계
Last updated
Last updated
공격자는 AWS를 활용하여 웹 서비스를 제공하는 기업의 핵심 웹 소스코드를 유출하기 위한 목적을 가진다.
사내 임직원이 공격자가 보낸 문서형 악성코드를 실행, 해당 호스트가 장악되어 C2 서버와 자유롭게 통신할 수 있는 상황에서 공격자는 내부망에서 정보 수집을 진행한다.
공격자는 fsadmin 계정을 사용해 ADFS로 접속한 기록 [BR1] 을 확인하고, 현재 호스트에 fsadmin과 관련된 정보가 남아있는지 확인하기 위해 lsass dump를 수행해볼 것이다.
fsadmin NTLM Hash [BR2] 를 획득한 공격자는 Pass the Hash 공격으로 AD FS로 Lateral Movement를 시도할 것이다.
그 다음 AD FS 서버 내에서 정보 수집을 진행, Edge 브라우저 북마크에서 STS Login Portal [BR3]을 발견하여 접속한다.
공격자는 AWS와 AD FS가 연동된 Portal일 것이라 예측할 수 있고, 실제로 로그인 단계로 들어갔을 때 자동 저장된 aws.admin@pbl-waffle.swu [BR4] 를 발견하여 GoldenSAML 공격을 수행하기 위한 최소한의 조건이 갖춰지게 된다.
본 프로젝트에서 다뤄지는 시스템은 Breadcrumb, Decoy, Monitoring 3개 요소로 구성되어 상호작용하며 동작하도록 설계되었다.
다만 Monitoring은 설계에만 포함되었을뿐, 실제로 구현되지는않았음을 미리 밝힌다.
Monitoring = Server + Console
Server = [1. 기존 보안 시스템 + 2. Active Breadcrumbs + 3. Decoy] 에서 발생하는 모든 행위와 로그를 실시간으로 수집한다.
Console = Server에서 수집된 정보를 시각화한다.
시나리오 상 타겟 기업의 인프라는 AWS에서 WIndows Server로 구축하였다.
모티프가 된 보고서는 Google Cloud(전 Mandiant)에서 발간한 ""으로, State-Sponsored 그룹중하나인 APT29에서 Golden SAML 기법을 사용하여 조직에서 사용하는 M365를 침해한 것에서 아이디어를 얻었다.
이는 2019년에 발견된 캠페인에서 자세히 살펴볼 수 있으며, 특히 본 프로젝트에서 중점적으로 다루는 Golden SAML 공격의 경우 MITRE T1606.002 (Forge Web Credentials: SAML Tokens) 에 속하기도 한다.
