DCSync

도메인에는 도메인을 관리하기 위한 컨트롤러가 여러대 있을 수 있고, 각각의 컨트롤러가 모두 통일된 정보를 가져야 하기 때문에 MS-DRSR 프로토콜을 정보 동기화 목적으로 사용합니다.

정상적 MS-DRSR 이용
MS-DRSR 악용

AD 환경의 기본 설정에서 Domain Admins, Enterprise Admins, Administrators 그룹원들은 모두 DCSync를 하기 위한 권한이 설정되어 있습니다.

공격자가 높은 수준의 객체를 장악한 경우 정상적으로 정보 동기화를 요청하는 패킷을 전송하여 도메인의 모든 정보를 탈취할 수 있습니다.

도메인 컨트롤러는 도메인으로부터 정보를 가져오기 위해 다음과 같은 두가지 권한이 필요합니다.

DCSync 세팅

Abuse

mimikatz # lsadump::dcsync /user:contoso\Administrator /domain:contoso.com

References

LogoActive Directory Security: DCSync attackMedium
LogoDCSync | 레드팀 플레이북
Logo[MS-DRSR]: Directory Replication Service (DRS) Remote ProtocolMicrosoftLearn
LogoDCSync Detection | Netero1010 Security Lab
PreviousShadow CredentialsNextLSASS

Last updated

Was this helpful?