NTLM 릴레이 공격의 부활: 알아야 할 모든 것

NTLM 릴레이 공격은 여전히 상당한 위협으로, 공격자가 도메인에 가입된 호스트를 손상시키고 내부적으로 이동할 수 있게 합니다. 오래된 공격이지만, NTLM 릴레이는 종종 과소평가되고 오해받고 있습니다. NTLM은 마이크로소프트가 1993년에 도입한 레거시 인증 프로토콜이며, Kerberos가 선호되는 프로토콜이지만 NTLM은 여전히 널리 사용됩니다. NTLM은 challenge-response 교환을 사용하여 재전송 공격을 방지하지만, 릴레이 공격에는 취약합니다. NTLM 인증 교환은 클라이언트와 서버 간의 3단계 메시지 교환을 포함합니다. 두 가지 주요 NTLM 응답 생성 알고리즘 버전이 있습니다. NTLMv1과 NTLMv2입니다. NTLMv1은 DES 암호화를 사용하는 오래된 알고리즘이며 공격에 취약하지만, NTLMv2는 HMAC-MD5를 사용하며 오늘날에도 여전히 사용됩니다. LM 호환성 수준 레지스트리 값은 Windows 호스트에서 NTLM 버전 지원을 제어하며, 낮은 수준은 NTLMv1을 활성화하여 심각한 결과를 초래할 수 있습니다. 패스워드 크래킹은 문제이며, 공격자는 캡처된 NTLM 교환을 크래킹하여 패스워드를 복구하거나 Pass the Hash 공격을 위해 NT 해시를 사용할 수 있습니다. 릴레이 공격은 도메인에 가입된 호스트를 손상시키는 가장 쉬운 방법이며, 공격자가 패스워드를 크래킹하지 않고도 피해자로서 대상에 인증할 수 있게 합니다.