개념

TA0004

권한 상승은 타겟 호스트나 네트워크에서 더 높은 권한을 갖기 위한 공격을 실행하는 단계다. 코드 실행, 지속성 공격, 횡적 이동을 하기 위해서는 더 많은 권한이 필요할 때가 많다. 공격자들은 이처럼 호스트 기반 권한 상승이나 네트워크 기반 권한 상승을 통해 가장 높은 수준의 권한에 도달하려고 한다. 높은 수준의 권한은 다음과 같다:

  • 로컬 관리자

  • SYSTEM/Root 권한

  • 네트워크 관리자 - 도메인 어드민, 엔터프라이즈 어드민

권한 상승은 꼭 필요하지 않다?

상황에 따라 권한 상승이 100% 필요한 것은 아니다. 예를 들어 현재 있는 호스트에서 권한 상승이 불가능 하다면 다른 호스트로 횡적 이동을 한 뒤, 액티브 디렉토리 기반의 공격을 실시해 도메인 어드민 권한이 되어 모든 호스트를 장악하는 경우도 있을 수 있다.

따라서 액티브 디렉토리의 경우 공격자들이 로컬 권한 상승 공격 보다는 액티브 디렉토리 권한 상승 공격에 좀 더 집중하는 경향이 있다.

리눅스 서버들 또한 마찬가지다. 특정 서버를 장악 하고 다른 유저의 SSH 키를 찾았다면, 굳이 "root 쉘"을 딸 필요는 없다. 물론 권한 상승을 해 root 유저가 되는 것도 좋지만, 실제 공격은 CTF가 아니다. 획득한 SSH 키로 횡적 이동을 해 목표를 달성 할 수 있다면 공격자들은 굳이 로컬 호스트 권한 상승을 진행하지 않고 가장 효율적인 다른 방법들을 찾을 것이다.

네트워크 기반 권한 상승도 마찬가지다. 목표 달성이 가능하다면 굳이 도메인 어드민, 엔터프라이즈 어드민 권한을 획득할 필요는 없다. 예를 들어 PCI 데이터 유출이 목적인 APT 그룹이라면 SQL 관리자 권한만 되도 메인 데이터베이스에서 데이터 유출이 가능할 것이다. 물론 도메인 어드민이 된다면 흔적을 지운다던지 도메인 내 모든 호스트에 영향력을 행사할 수 있다. 그러나 데이터 유출만이 목적이라면, 오히려 공격을 더 진행하지 않고 탐지 확률을 최소한으로 낮춘 뒤, 데이터 유출만 하고 네트워크를 떠나는게 더 이득일 수도 있다.

Last updated