WL-001 Sysmon 1 Process Creation
SB-03 프로세스 생성 이벤트를 확인하는 로그.
T1059.003
T1087.002
T1018
T1033
T1135
T1069
T1021.006
T1059.001
Operation MyCompany Dominance
Operation MyCompany Dominance는 MyCompany 조직의 AWS 클라우드 기반 AD 인프라를 표적으로 삼은 침해 캠페인이다. Gsin1626은 사회공학적 기법으로 악성 바이너리를 유포하여 내부 직원 PC를 최초 장악한 뒤, 도메인 정찰을 통해 취약한 암호 정책이 설정된 서비스 계정을 식별했다.
이후 Rubeus를 활용해 서비스 계정의 Kerberos 티켓 해시를 추출했으며, Hashcat 기반의 사전 공격을 수행해 해당 계정의 평문 암호를 확보했다. 탈취한 자격 증명으로 파일 서버에 원격 접속한 Gsin1626은 해당 계정에 부여된 로컬 관리자 권한을 남용하여 내부 기밀 문서를 유출하고 LSASS 프로세스 메모리 덤프를 수행했다.
Gsin1626은 덤프 파일을 pypykatz로 분석하여 도메인 관리자(Domain Admin)의 자격 증명을 추가로 확보하고, Impacket 도구의 DCSync 기능을 악용하여 도메인의 핵심인 krbtgt 계정 해시를 탈취했다. 최종적으로 Gsin1626은 위조된 TGT(Golden Ticket)를 생성하여 도메인 컨트롤러(DC)의 최고 권한을 획득했으며, AD 데이터베이스인 NTDS.dit를 추출함으로써 조직 내 모든 계정의 자격 증명을 탈취했다.
Groups
| ID | Name | Description |
|---|---|---|
| G-SB-003 | Gsin1626 | Operation MyCompany Dominance 활동과 연결된 공격 그룹이다. |
Techniques Used
| Domain | ID | Name | Use | Primary Logs |
|---|---|---|---|---|
| Enterprise | T1204.002 | User Execution: Malicious File | Operation MyCompany Dominance 당시 Gsin1626는 직원PC에 악성 실행 파일을 배포했고, 직원PC의 사용자가 배포된 악성 실행 파일을 실행하면서 리버스 쉘을 통한 초기 침투가 발생했다. | - |
| Enterprise | T1059.001 | Command and Scripting Interpreter: PowerShell | Operation MyCompany Dominance 당시 Gsin1626는 WinRM 원격 접속, 데이터 유출 등 전 과정에 걸쳐 PowerShell을 활용했다. | WL-001 |
| Enterprise | T1095 | Non-Application Layer Protocol | Operation MyCompany Dominance 당시 Gsin1626는 리버스 쉘을 통해 공격자 서버 IP의 4444 포트로 아웃바운드 TCP 커넥션을 수립했다. | WL-002 |
| Enterprise | T1087.002 | Account Discovery: Domain Account | Operation MyCompany Dominance 당시 Gsin1626는 net user /domain 등의 명령을 통해 AD 내 도메인 계정 목록, 도메인 관리자 식별 등의 정보 수집 활동을 수행했다. | WL-001 |
| Enterprise | T1018 | Remote System Discovery | Operation MyCompany Dominance 당시 Gsin1626는 nltest, nslookup 등의 명령을 통해 주요 서버와 인프라 구조를 특정했다. | WL-001 |
| Enterprise | T1033 | System Owner/User Discovery | Operation MyCompany Dominance 당시 Gsin1626는 whoami, quser 등의 명령을 통해 시스템 내 권한 수준과 계정을 확인했다. | WL-001 |
| Enterprise | T1135 | Network Share Discovery | Operation MyCompany Dominance 당시 Gsin1626는 net view, net share 등의 명령을 통해 네트워크 공유 자원에 대한 정보를 수집했다. | WL-001 |
| Enterprise | T1069 | Permission Groups Discovery | Operation MyCompany Dominance 당시 Gsin1626는 net localgroup Administrators 등의 명령을 통ㅇ해 로컬 관리자 그룹 구성원과 도메인 관리자 계정 목록을 파악했다. | WL-001 |
| Enterprise | T1558.003 | Steal or Forge Kerberos Tickets: Kerberoasting | Operation MyCompany Dominance 당시 Gsin1626는 Rubeus를 이용하여 서비스 계정의 Kerberos 서비스 티켓 해시를 추출하고 Hashcat을 이용한 커스텀 사전 공격으로 평문 암호를 복원했다. | WL-003 |
| Enterprise | T1021.006 | Remote Services: Windows Remote Management | Operation MyCompany Dominance 당시 Gsin1626는 탈취한 서비스 계정의 자격 증명으로 WinRM을 사용하여 파일 서버에 원격으로 접속했다. | WL-001 |
| Enterprise | T1059.001 | Command and Scripting Interpreter: PowerShell | Operation MyCompany Dominance 당시 Gsin1626는 파일 서버 내부 이동 및 툴 반입 과정 전반에 걸쳐 PowerShell 인터프리터를 오용했다. | WL-001 |
| Enterprise | T1105 | Ingress Tool Transfer | Operation MyCompany Dominance 당시 Gsin1626는 Kerberosting 공격을 위한 도구(Rubeus.exe)를 직원PC 내부로 반입했다. | WL-004 |
| Enterprise | T1003.001 | OS Credential Dumping: LSASS Memory | Operation MyCompany Dominance 당시 Gsin1626는 Windows 내장 도구인 comsvcs.dll을 이용하여 LSASS 프로세스 메모리를 덤프하고 도메인 관리자의 자격 증명을 탈취했다. | WL-005 |
| Enterprise | T1218.011 | System Binary Proxy Execution: Rundll32 | Operation MyCompany Dominance 당시 Gsin1626는 마이크로소프트 서명이 완료된 신뢰할 수 있는 정상 시스템 파일인 rundll32.exe를 프록시로 악용했다. | - |
| Enterprise | T1074.001 | Data Staged: Local Data Staging | Operation MyCompany Dominance 당시 Gsin1626는 파일 서버의 내부 공유 폴더를 경유지로 삼아 직원PC로 데이터를 스테이징했다. | - |
| Enterprise | T1041 | Exfiltration Over C2 Channel | Operation MyCompany Dominance 당시 Gsin1626는 Invoke-WebRequest를 이용한 HTTP POST 방식으로 LSASS 덤프, 고객 목록 파일 등 내부 정보를 자신의 서버로 유출했다. | WL-002 |
| Enterprise | T1036.005 | Masquerading: Match Legitimate Resource Name or Location | Operation MyCompany Dominance 당시 Gsin1626는 데이터 유출 및 스테이징 과정에서 파일명을 정상 파일 패턴으로 위장했다. | - |
| Enterprise | T1560.001 | Archive Collected Data: Archive via Utility | Operation MyCompany Dominance 당시 Gsin1626는 여러 경로에서 수집한 파일들을 네트워크로 유출하기 용이하도록 단일 아카이브 파일로 압축했다. | - |
| Enterprise | T1003.006 | OS Credential Dumping: DCSync | Operation MyCompany Dominance 당시 Gsin1626는 Impacket의 DCSync 기능을 이용하여 DC로부터 krbtgt의 AES256 키를 탈취했다. | WL-006 |
| Enterprise | T1558.001 | Steal or Forge Kerberos Tickets: Golden Ticket | Operation MyCompany Dominance 당시 Gsin1626는 탈취한 krbtgt 자격 증명으로 위조 TGT(Golden Ticket)를 생성하여 도메인 내 임의 권한을 행사하고 DC로의 장기 지속 접근을 확보했다. | WL-007, WL-003, WL-010 |
| Enterprise | T1078.002 | Valid Accounts: Domain Accounts | Operation MyCompany Dominance 당시 Gsin1626는 탈취한 도메인 관리자의 자격 증명과 골든 티켓을 이용하여 DC에 도메인 관리자 권한으로 접근했다. | WL-008 |
| Enterprise | T1569.002 | System Services: Service Execution | Operation MyCompany Dominance 당시 Gsin1626는 위조된 골든 티켓과 Impacket의 psexec.py를 이용해 도메인 컨트롤러에 원격 접속했다. | WL-009 |
| Enterprise | T1003.003 | OS Credential Dumping: NTDS | Operation MyCompany Dominance 당시 Gsin1626는 위조된 골든 티켓과 Impacket의 secretdump.py를 이용해 AD 내부의 모든 계정의 데이터베이스(NTDS)를 탈취했다. | - |
Matrix View
Reconnaissance
No SB-03 Technique현재 캠페인에서 이 tactic에 매핑된 Technique 없음
Resource Development
No SB-03 Technique현재 캠페인에서 이 tactic에 매핑된 Technique 없음
Initial Access
No SB-03 Technique현재 캠페인에서 이 tactic에 매핑된 Technique 없음
Execution
No SB-03 Technique현재 캠페인에서 이 tactic에 매핑된 Technique 없음
Persistence
No SB-03 Technique현재 캠페인에서 이 tactic에 매핑된 Technique 없음
Privilege Escalation
No SB-03 Technique현재 캠페인에서 이 tactic에 매핑된 Technique 없음
Defense Evasion
No SB-03 Technique현재 캠페인에서 이 tactic에 매핑된 Technique 없음
Credential Access
No SB-03 Technique현재 캠페인에서 이 tactic에 매핑된 Technique 없음
Discovery
No SB-03 Technique현재 캠페인에서 이 tactic에 매핑된 Technique 없음
Lateral Movement
No SB-03 Technique현재 캠페인에서 이 tactic에 매핑된 Technique 없음
Collection
T1204.002 User Execution: Malicious FileOperation MyCompany Dominance 당시 Gsin1626는 직원PC에 악성 실행 파일을 배포했고, 직원PC의 사용자가 배포된 악성 실행 파일을 실행하면서 리버스 쉘을 통한 초기 침투가 발생했다.T1059.001 Command and Scripting Interpreter: PowerShellOperation MyCompany Dominance 당시 Gsin1626는 WinRM 원격 접속, 데이터 유출 등 전 과정에 걸쳐 PowerShell을 활용했다.T1095 Non-Application Layer ProtocolOperation MyCompany Dominance 당시 Gsin1626는 리버스 쉘을 통해 공격자 서버 IP의 4444 포트로 아웃바운드 TCP 커넥션을 수립했다.T1087.002 Account Discovery: Domain AccountOperation MyCompany Dominance 당시 Gsin1626는 net user /domain 등의 명령을 통해 AD 내 도메인 계정 목록, 도메인 관리자 식별 등의 정보 수집 활동을 수행했다.T1018 Remote System DiscoveryOperation MyCompany Dominance 당시 Gsin1626는 nltest, nslookup 등의 명령을 통해 주요 서버와 인프라 구조를 특정했다.T1033 System Owner/User DiscoveryOperation MyCompany Dominance 당시 Gsin1626는 whoami, quser 등의 명령을 통해 시스템 내 권한 수준과 계정을 확인했다.T1135 Network Share DiscoveryOperation MyCompany Dominance 당시 Gsin1626는 net view, net share 등의 명령을 통해 네트워크 공유 자원에 대한 정보를 수집했다.T1069 Permission Groups DiscoveryOperation MyCompany Dominance 당시 Gsin1626는 net localgroup Administrators 등의 명령을 통ㅇ해 로컬 관리자 그룹 구성원과 도메인 관리자 계정 목록을 파악했다.T1558.003 Steal or Forge Kerberos Tickets: KerberoastingOperation MyCompany Dominance 당시 Gsin1626는 Rubeus를 이용하여 서비스 계정의 Kerberos 서비스 티켓 해시를 추출하고 Hashcat을 이용한 커스텀 사전 공격으로 평문 암호를 복원했다.T1021.006 Remote Services: Windows Remote ManagementOperation MyCompany Dominance 당시 Gsin1626는 탈취한 서비스 계정의 자격 증명으로 WinRM을 사용하여 파일 서버에 원격으로 접속했다.T1059.001 Command and Scripting Interpreter: PowerShellOperation MyCompany Dominance 당시 Gsin1626는 파일 서버 내부 이동 및 툴 반입 과정 전반에 걸쳐 PowerShell 인터프리터를 오용했다.T1003.001 OS Credential Dumping: LSASS MemoryOperation MyCompany Dominance 당시 Gsin1626는 Windows 내장 도구인 comsvcs.dll을 이용하여 LSASS 프로세스 메모리를 덤프하고 도메인 관리자의 자격 증명을 탈취했다.T1218.011 System Binary Proxy Execution: Rundll32Operation MyCompany Dominance 당시 Gsin1626는 마이크로소프트 서명이 완료된 신뢰할 수 있는 정상 시스템 파일인 rundll32.exe를 프록시로 악용했다.T1074.001 Data Staged: Local Data StagingOperation MyCompany Dominance 당시 Gsin1626는 파일 서버의 내부 공유 폴더를 경유지로 삼아 직원PC로 데이터를 스테이징했다.T1036.005 Masquerading: Match Legitimate Resource Name or LocationOperation MyCompany Dominance 당시 Gsin1626는 데이터 유출 및 스테이징 과정에서 파일명을 정상 파일 패턴으로 위장했다.T1560.001 Archive Collected Data: Archive via UtilityOperation MyCompany Dominance 당시 Gsin1626는 여러 경로에서 수집한 파일들을 네트워크로 유출하기 용이하도록 단일 아카이브 파일로 압축했다.T1003.006 OS Credential Dumping: DCSyncOperation MyCompany Dominance 당시 Gsin1626는 Impacket의 DCSync 기능을 이용하여 DC로부터 krbtgt의 AES256 키를 탈취했다.T1558.001 Steal or Forge Kerberos Tickets: Golden TicketOperation MyCompany Dominance 당시 Gsin1626는 탈취한 krbtgt 자격 증명으로 위조 TGT(Golden Ticket)를 생성하여 도메인 내 임의 권한을 행사하고 DC로의 장기 지속 접근을 확보했다.T1078.002 Valid Accounts: Domain AccountsOperation MyCompany Dominance 당시 Gsin1626는 탈취한 도메인 관리자의 자격 증명과 골든 티켓을 이용하여 DC에 도메인 관리자 권한으로 접근했다.T1569.002 System Services: Service ExecutionOperation MyCompany Dominance 당시 Gsin1626는 위조된 골든 티켓과 Impacket의 psexec.py를 이용해 도메인 컨트롤러에 원격 접속했다.T1003.003 OS Credential Dumping: NTDSOperation MyCompany Dominance 당시 Gsin1626는 위조된 골든 티켓과 Impacket의 secretdump.py를 이용해 AD 내부의 모든 계정의 데이터베이스(NTDS)를 탈취했다.Command and Control
T1105 Ingress Tool TransferOperation MyCompany Dominance 당시 Gsin1626는 Kerberosting 공격을 위한 도구(Rubeus.exe)를 직원PC 내부로 반입했다.Exfiltration
T1041 Exfiltration Over C2 ChannelOperation MyCompany Dominance 당시 Gsin1626는 Invoke-WebRequest를 이용한 HTTP POST 방식으로 LSASS 덤프, 고객 목록 파일 등 내부 정보를 자신의 서버로 유출했다.Impact
No SB-03 Technique현재 캠페인에서 이 tactic에 매핑된 Technique 없음
SB-03 Campaign Logs
이 캠페인에서 현재 검증하거나 작성 중인 로그 상세 페이지를 한눈에 확인한다.
WL-002 Sysmon 3 Network Connection
SB-03 네트워크 연결 이벤트를 확인하는 로그.
T1095
T1041
WL-003 WL-003 Windows Security 4769 Kerberos Service Ticket Request
SB-03 Kerberos 서비스 티켓 요청 이벤트를 확인하는 로그.
T1558.003
T1558.001
WL-004 WL-004 PowerShell 4104 PowerShell Script Block Logging
SB-03 PowerShell로 실행된 스크립트 본문과 명령어를 확인하는 로그.
T1105
WL-005 WL-005 Sysmon 10 Process Access
SB-03 프로세스 접근 이벤트를 확인하는 로그.
T1003.001
WL-006 WL-006 Windows Security 4662 Direction Service Access
SB-03 액티브 디렉터리(AD) 개체에 대해 수행된 접근 및 작업 권한을 확인하는 로그.
T1003.006
WL-007 WL-007 Kerberos Golen Ticket Bypass Detection
SB-03 Kerberos 인증 이벤트(4768, 4769)를 상호 비교하여 TGT 발급 기록 없이 서비스 이용을 요청하는 가짜 티켓 행위를 확인하는 로그.
T1558.001
WL-010 WL-010 Windows Security 4768 Kerberos Authentication Ticket Request
SB-03 사용자 계정의 Kerberos 최초 인증 및 TGT(Ticket Granting Ticket) 발급 이벤트를 기록하는 로그.
T1558.001
WL-008 WL-008 Windows Security 4624 Successful Logon
SB-03 로그온 성공 이벤트를 확인하는 로그.
T1078.002
WL-009 WL-009 Windows System 7045 Service Installation
SB-03 서비스 설치 이벤트를 확인하는 로그.
T1569.002
Campaign Logs
| Log ID | Purpose |
|---|---|
| WL-001 | Sysmon Event ID 1 기반 프로세스 생성 로그로, 초기 실행과 도메인 정찰 행위를 확인한다. |
| WL-002 | Sysmon Event ID 3 기반 네트워크 연결 로그로, 비정상 아웃바운드 연결과 C2 연결 시도를 확인한다. |
| WL-003 | Windows Event log Security 4769 기반 Kerberos 서비스 티켓 요청 로그로, 비정상 Kerberos 서비스 티켓 요청 행위를 확인한다. |
| WL-004 | PowerShell 4104 기반 PowerShell Script Block Logging 로그로, PowerShell로 실행된 스크립트 본문과 명령어를 확인한다. |
| WL-005 | Sysmon Event ID 10 기반 프로세스 접근 로그로, 특정 프로세스가 다른 프로세스의 메모리나 핸들에 접근하는 행위를 확인한다. |
| WL-006 | Windows Event log Security 4662 기반 Direction Service Access 로그로, 도메인 컨트롤러(DC)내의 액티브 디렉터리 개체에 비인가 계정이 접근하는 행위를 확인한다. |
| WL-007 | Windows Event log Security 4768, 4769 기반 Kerberos Golden Ticket Bypass Detection 로그로, TGT 발급 기록 없이 서비스 이용을 요청하는 가짜 티켓 행위를 확인한다. |
| WL-008 | Windows Event log Security 4624 기반 로그온 성공 로그로, 시스템 및 도메인 환경 내에서 발생하는 모든 계정의 로그온 성공 행위를 확인한다. |
| WL-009 | Windows Event log System 7045 기반 서비스 설치 로그로, 시스템 내에서 새로운 서비스가 등록 및 설치되는 행위를 확인한다. |
| WL-010 | Windows Event log Security 4768 기반 Kerberos Authentication Ticket Request 로그로, TGT 발급 행위를 확인한다. |
Software
| ID | Name | Description |
|---|---|---|
| S-SB-03-001 | Rubeus | 서비스 계정의 kerberos 티켓에서 해시를 추출하기 위해 사용된 도구이다. |
| S-SB-03-002 | Hashcat | 추출된 티켓 해시를 대상으로 사전 공격을 수행하기 위해 사용된 도구이다. |
| S-SB-03-003 | Impacket | secretsdump.py(DCSync), ticketer.py(Golden Ticket 생성), psexec.py(DC 원격 제어) 등 도메인 장악의 전 과정에 활용된 도구이다. |
| S-SB-03-004 | pypykatz | 유출된 LSASS 덤프 파일에서 도메인 관리자의 해시를 추출하기 위해 사용된 도구이다. |