[정보보안] 5. Mimikatz - sekurlsa

Mimikatz는 윈도우상에서 각종 계정과 관련된 정보를 탈취하고 이를 해독하기 위한 도구이다.

공격자들이 악성 코드 등에 종종 포함하여 공격에 사용하곤 하는 도구로, 본래 목적은 취약점을 MS측에 알리기 위해 개발되었다고 한다.

 

이번 포스트에서는, Mimikatz의 다양한 기능보다는 윈도우 내의 관리자 계정을 탈취하는 기능을 실행해보고자 한다.

Mimikatz는 GitHub상에 무료로 공개되어있기에 누구나 접근하여 다운로드할 수 있다.

(대부분의 AV에서 악성 프로그램으로 여겨지기에 보안기능을 모두 제거해야 다운로드가 가능하다.)

(https://github.com/gentilkiwi/mimikatz)

 

본 실습은 MS측에서 무료로 제공하는 테스트용 Windows 7에서 진행하였다.

Mimikatz를 실행하면 다음의 그림과 같은, 마치 리눅스 계열 도구처럼 생긴 모습을 확인할 수 있다.

Mimikatz를 실행할 때, 관리자 권한으로 실행된 cmd/PowerShell 등을 이용해야함을 유의하자.

 

 

실행 후, Mimikatz에서 privilege::debug 명령어를 입력하여 Mimikatz의 실행 권한을 debug로 변경한다.

Mimikatz는 debug 권한을 이용하여, 실행중인 lsass 프로세스에 디버거를 붙이고 메모리 정보를 획득한다.

이를 진행하기 위해 mimikatz의 권한을 debug로 설정하게 된다.

 

이후, sekurlsa::logonpasswords 명령어를 실행하여 해당 PC에 존재하는 계정들과 계정의 비밀번호 정보를 획득한다.

하단의 그림처럼, 해당 PC의 계정들에 대한 정보와 더불어 password 등의 정보를 획득할 수 있다.

(정보는 혹시나 싶어 가려두었다.)

Mimikatz는 윈도우의 Local Security Authority Subsystem Service (LSASS) 라는 프로세스에서 해당 정보들을 획득한다.

해당 프로세스는 메모리상에 각종 계정에 대한 정보를 올려두고 사용하기 때문에 debug 모드를 통해 해당 프로세스에 붙어 계정 정보를 메모리로부터 획득할 수 있다.

온라인 상에서 글로 확인한 바로는, 해당 방법은 PC가 켜져있는 동안 한번이상 로그인 한 계정에 대해서만 정보를 획득할 수 있다고 한다.

(이는 추가적으로 확인해보아야 할 부분이라고 생각한다.)

 

더불어, 해당 공격방식은 윈도우 8.1 이후부터는 MS사에서 LSASS에 대한 추가적인 보안 장치를 적용했다고 한다.

(추가적으로 윈10 기기에서 수행해 본 결과, 하단처럼 wdigest 정보 : 계정에 대한 암호가 평문으로 나옴 가 null로 출력됨을 확인하였다.)