디펜더의 규칙 설정 추가로 횡적 움직임에 필요한 요소 하나 사라져

요약 : 마이크로소프트가 자사 보안 솔루션인 디펜더(Defender)의 공격 표면 감소(Attack Surface Reduction)라고 알려진 보안 규칙이 활성화 된 상태를 ‘디폴트’로 만들었다. 이를 통해 LSASS 프로세스로부터 윈도 크리덴셜이 도난당하는 것을 보다 어렵게 만들 계획이라고 한다. 횡적으로 움직이기 위해 공격자들이 가장 많이 사용하는 방식 중 하나가 LSASS에서 크리덴셜을 훔치는 것인데, 인기 높은 해킹 도구인 미미캐츠(Mimikatz)를 사용하면 이 공격의 난이도가 상당히 떨어진다고 한다.


배경 : 공격 표면 감소 규칙이 디폴트로 활성화 되면 LSASS 프로세스로 접근하는 절차가 까다로워진다. LSASS 프로세스가 가상 컨테이너 안에 고립되기 때문에 다른 프로세스로부터 접근할 수 없기 때문이다. 다만 이 때문에 특정 업무 프로세스가 좀 더 불편해질 수도 있다.

말말말 : “‘공격 표면 감소’ 규칙 중 ‘윈도 로컬 보안 인증 서브시스템으로부터 크리덴셜 훔쳐내기 방지’ 항목을 활성화시켰습니다. 그 외 다른 항목들은 예전 그대로 상태로 남아 있습니다.” -MS-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>