윈도우 인증의 구성요소

LSA (Local Security Authority) : 모든 계정의 로그인에 대한 검증, 시스템 자원 및 파일 등에 대한 접근 권한 검사

로컬 원격 모두에 해당, 이름과 SID(Security Identifier)를 매칭하며 SRM이 생성한 감사 로그 기록

 

SAM (Security Account Manager) : 윈도우에서 패스워드를 암호화하여 보관하는 파일의 이름과 동일

 

SRM (Security Reference Monitor) : SAM이 사용자의 계정과 패스워드의 일치 여부를 확인하여 알리면 사용자에게 
SID(security identifier)부여 SID에 기반하여 파일이나 디렉토리에 대한 접근 허용 여부 결정, 이에 대한 감사 메시지 생성

 

 

- 로컬인증

Ctrl + Alt + Delete 를 눌러 Winlogon 화면

아이디와 패스워드 입력 후 LSA 서브 시스템이 인증 정보를 받아 NTLM 모듈에 아이디와 패스워드를 넘겨줌

SAM이 받아 확인 후 로그인 허용

 

 

 

 

- 도메인 인증(회사)

Ctrl + Alt + Delete 를 눌러 Winlogon 화면

인증 정보 입력 후 해당 정보 LSA 서브 시스템에 인계

LSA 서브 시스템에서 해당 인증 정보가 로컬 인증용인지 도메인 인증용인지 확인

커버로스 프로토콜을 이용하여 도메인 컨트롤러에 인증 요청

 

도메인 인증에서는 기본적으로 풀 도메인 이름과 커버로스 프로토콜을 이용하게 되어 있지만 IP를 이용해 접근을 시도할 경우 NTLM을 사용

 

---

 

SAM(윈도우 패스워드 파일)

- 윈도우에서 사용되는 사용자 패스워드를 저장하고 있는 데이터베이스

- 패스워드는 단 방향 암호화 방식인 해시 방식으로 암호화 되어 있음

- SAM파일은 %SystemRoot%/system32/config/SAM 위치에 있음

 

> 공격자들은 윈도우 시스템을 해킹한 후에 사용자 패스워드 정보가 포함된 SAM 파일을 크랙합니다.

Cain & Abel과 같은 해킹 툴을 이용하여 SAM 파일을 크랙하고 현재 로그인한 윈도우 사용자의 패스워드를 mimikatz 해킹 툴을 이용해서 추출합니다.

 

 

github gentilkiwi mimikatz releases

 

세부정보 > 이 사이트를 방문해도 됩니다

 

 

1. mimikatz를 관리자 권한으로 실행

2. privilege::debug 입력

3. sekurlsa::logonpasswords full입력

* 명령어로 실행 시 : mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords full" "exit" > test.txt

 

 

 

- 해시(Hash)의 특징

암호화와 다른 개념으로 암호가 정보를 숨기기 위한 것이라면 해시는 정보의 위·변조를 확인하기 위한 방법

실무적으로는 비밀번호를 복호화하지 못하도록 단방향 암호화 방식으로 해시를 사용함

평문의 길이가 달라도 사용하는 해시 알고리즘에 따라 동일한 길이의 해시 결과가 나옴

* 해시가 충돌 되는 경우도 있음(해시의 길이가 길면 길수록 안전함)

* MD5 같은 경우 Rainbow Table을 만들어서 공격함 (모든 평문을 md5 해시로 저장해 놓은 것)

---

 

윈도우 사용자 관리 : SID (Security Identifier)

- 현재 로그인 한 사용자의 SID 보기 : whoami /user

- 시스템에 존재하는 사용자의 SID 보기 : wmic UserAccount Where LocalAccount=True GET SID

 

 

윈도우 폴더 권한 관리 : NTFS

- 폴더 별 사용 권한 부여 가능

- 읽기 및 실행 폴더 내용 보기 읽기 쓰기 특정 권한 등을 지정할 수 있음

* 윈도우 프로그램 사용 권한 관리 : UAC(User Account Control)

- 특정 권한이 필요할 때 사용자에게 실행에 대한 통제 권한을 알려주는 것