피드로 돌아가기
Dev.toSecurity
원문 읽기
Windows SAM DB 분석을 통한 NTLM Hash 추출 및 복호화 프로세스
How to Crack the SAM Database in Kali Linux | Windows Password Hash Extraction Guide
AI 요약
Context
Windows 시스템의 사용자 인증 정보가 저장된 SAM 데이터베이스의 구조적 특성 분석. 시스템 파일의 물리적 접근 권한 확보를 통한 오프라인 인증 정보 탈취 가능성 검토.
Technical Solution
- VM 이미지(.ova) 내 vmdk 파일 분석을 통한 물리적 디스크 덤프 수행
- Windows Registry Hive 내 SAM, SYSTEM, SECURITY 파일의 상호 의존성을 이용한 데이터 추출
- Impacket의 secretsdump 및 samdump2 도구를 활용한 NTLM Hash 값의 정밀 분리
- creddump7의 pwdump.py를 통한 Registry Hive 기반의 자격 증명 추출 고도화
- rockyou.txt Wordlist 기반의 Dictionary Attack 및 John the Ripper를 통한 Hash 복호화 수행
Key Takeaway
운영체제 수준의 Registry Hive 보호 체계가 물리적 이미지 덤프 앞에서는 무력화될 수 있다는 보안 취약점 확인. 인증 정보 보호를 위해 파일 시스템 접근 제어와 추가적인 암호화 계층 설계의 필요성 도출.
실천 포인트
1. VM 이미지 및 가상 디스크 파일의 외부 유출 방지를 위한 암호화 적용 여부 검토
2. 중요 시스템 파일(SAM, SYSTEM)에 대한 무단 접근 및 덤프 시도 모니터링 설정
3. 단순 NTLM Hash 기반 인증의 취약성을 보완하기 위한 다요소 인증(MFA) 도입 검토