Trust Account

신뢰 계정은 도메인 신뢰 관계 구성 시 리소스 접근이 허용된 도메인(신뢰받는 도메인)에 생성되는 특수 목적의 계정입니다.

PENTEST 도메인 객체들이 CONTOSO 리소스에 접근이 허용되어 있을 때 PENTEST에는 CONTOSO$ 신뢰 계정이 생성됩니다. 이러한 신뢰 계정은 로그인을 위한 계정이 아니므로 프로토콜 사용 시 인증하는 것이 불가능합니다.

신뢰 계정의 NT 해시는 TDO 컨테이너의 Inter-releam Key이지만, NTLM 챌린지에는 사용하지 못합니다.

NT 해시 등을 사용하여 신뢰 계정으로 도메인에 로그인 혹은 인증하려고 하면 STATUS_NOLOGON_INTERDOMAIN_TRUST_ACCOUNT 코드가 반환됩니다. 이는 Microsoft 공식 문서에서 규정한 오류 코드입니다.

Return value/code

Description

0xC0000198

STATUS_NOLOGON_INTERDOMAIN_TRUST_ACCOUNT

The account used is an interdomain trust account. Use your global user account or local user account to access this server.

서로 다른 도메인의 KDC 관점에서 볼 때, 각각의 KDC는 상대 도메인의 자원에 대해서 전혀 알 수 없습니다. PENTEST 도메인 객체가 CONTOSO 도메인 서비스에 접근하려 할 때, PENTEST 도메인 KDC는 자신이 알 수 없는 SPN이 요청되므로 신뢰 관계가 있는지 확인한 뒤 있다면 신뢰 계정의 TGT를 반환합니다.

신뢰 계정은 이와 같이 다른 도메인에 접근할 때 TGT를 획득하여 대상 도메인에서 복호화를 할 수 있도록 지원하는 역할을 합니다.

References

[MS-ERREF]: NTSTATUS ValuesMicrosoftLearn

PreviousSSL Pinning NextTools

Last updated 4 hours ago

Was this helpful?