피드로 돌아가기
Kerberoasting for developers: why your Active Directory is probably misconfigured
Dev.toDev.to
Security

gMSA 도입을 통한 Kerberoasting 공격 원천 차단 및 AD 보안 강화

Kerberoasting for developers: why your Active Directory is probably misconfigured

Ayi NEDJIMI2026년 5월 22일5intermediate

Context

Active Directory 환경에서 Service Principal Name(SPN)을 이용해 TGS 티켓을 요청하는 Kerberos 인증 구조의 취약점을 분석함. 서비스 계정의 비밀번호 해시로 암호화된 티켓을 오프라인에서 크래킹하여 평문 비밀번호를 탈취하는 Kerberoasting 공격에 노출된 레거시 아키텍처의 한계를 다룸.

Technical Solution

  • gMSA(Group Managed Service Accounts) 도입을 통한 120자 랜덤 바이트 비밀번호 자동 생성 및 30일 주기 자동 로테이션 적용
  • 최소 권한 원칙 기반의 전용 서비스 계정 설계를 통한 Domain Admin 계정의 서비스 실행 구조 제거
  • Administrative Tier Model 적용으로 Tier 0(DC)와 Tier 2(Workstation) 간의 접근 경로를 완전히 분리한 계층형 아키텍처 구축
  • AES-256(0x12) 암호화 강제 적용 및 RC4-HMAC(0x17) 기반의 TGS 요청에 대한 SIEM 모니터링 체계 구축

- 서비스 계정 요청 시 정적 비밀번호 계정 대신 gMSA 적용 여부 확인 - Event ID 4769 로그에서 encryption type 0x17(RC4) 발생 패턴 분석 - 서비스 계정에 부여된 불필요한 도메인 관리자 권한 제거 및 최소 권한 재설정 - AD 계정 체계를 Tier 0, 1, 2로 분리하여 수평 이동(Lateral Movement) 경로 차단

원문 읽기