2015학년도 시스템보안 컴퓨터 공학과 발표자 : 안정섭 Password Cracking 2015학년도 시스템보안 컴퓨터 공학과 발표자 : 안정섭

PRESENTATION INDEX Password Cracking 개념 Password Cracking 공격기법 종류 Window 인증구조 Q & A

다른 사람의 컴퓨터 시스템에 몰래 들어가 정보를 Password Cracking 개념 상대방의 시스템에 침투하여 비밀번호를 알아내는 행위 Password Cracking 다른 사람의 컴퓨터 시스템에 몰래 들어가 정보를 훼손하거나 프로그램을 훼손하는 불법 행위 특정한 시스템에 로그인을 할 때 허가된 사용자임을 확인하는데 이용되는 문자열

Password : ******* 해시 데이터를 자르고 치환하거나 위치를 바꾸어 해시 값을 만들어 냄 Password Cracking Password : ******* 해시 데이터를 자르고 치환하거나 위치를 바꾸어 해시 값을 만들어 냄 종류 MD5 SHA-1 HAS-160 등 암호화 특별한 알고리즘을 만들어 데이터를 만들어 냄 종류 AES DES RSA 등

Password Cracking Shoulder sniffing Dictionary attack Dumpster diving Social engineering Brute force attack 패스워드로 사용할 만한 것을 사전으로 만들어놓고 이를 하나씩 대입하여 패스워드 일치 여부를 확인하는 것 Rainbow table

Password Cracking Brute force attack 문자종류 선택 문자길이 선택 무작위 영문, 숫자, 특수문자를 선택하고 길이를 정하여 모든 가능한 수로 공격하는 기법

Password Cracking 패스워드에서 특정 변이 함수를 여러 번 수행하여 다양한 패스워드를 생성 후 테이블에 저장 Rainbow table 패스워드에서 특정 변이 함수를 여러 번 수행하여 다양한 패스워드를 생성 후 테이블에 저장 변이된 각 패스워드의 해시 값을 체인으로 연결하여 테이블에 저장

Password Cracking 취약한 패스워드 길이가 너무 짧거나 널(Null)인 패스워드 사전에 나오는 단어나 이들의 조합으로 이루어진 패스워드 키보드 자판을 일련 순으로 나열한 패스워드 사용자 계정 정보에서 유추 가능한 단어들로 된 패스워드

Password Cracking 강력한 패스워드 패스워드 크래킹 예방법 8자 이상 패스워드(문자+숫자+특수문자) 시스템 혹은 사이트마다 다른 패스워드 사용 베이스 패스워드 활용하기 Ex) datistoryum => 베이스 패스워드 + 추가 패스워드 패스워드 크래킹 예방법 강력한 패스워드 생성 일정 시간마다 윈도우 보안 업데이트 실시 Administrator(관리자) 패스워드 설정

Window 인증

Winlogon(winlogon.exe) : 윈도우 로그인 프로세스의 한부분 사용자가 입력한 계정과 암호를 LSA에게 전달함 Window 인증구성요소 Winlogon(winlogon.exe) : 윈도우 로그인 프로세스의 한부분 사용자가 입력한 계정과 암호를 LSA에게 전달함 LSA(lsass.exe) : 전달받은 계정과 암호를 검증하기 위해 NTLM 모듈로 로딩하고 계정을 검증, SRM이 작성한 감사로그를  기록하는 역할을 수행한다. 보안의 중심요소며 보안 서브 시스템이라고도 함 SAM : 사용자 로그인 입력정보와 SAM데이터 베이스 정보를 비교하여 인증여부를 결정함 사용자인증 정보(SAM파일): 계정 정보(암호화 된 해쉬값)가 저장됨 SRM : SAM이 사용자의 계정과 패스워드 일치 여부를 확인하여 알리면 사용자에게 SID(Security Identifier) 부여, SID에 기반하여 파일이나 디렉터리에 대한 접근 허용 여부 결정, 이에 대한 감사 메시지를 생성함

SID(Security Identifier)의 구조 Window 인증구성요소 SID(Security Identifier)의 구조 The SID for account NEWGENERATION\administrator is          S-1-5-21-1801674531-839522115-1708537768-500           ①  ②                ③                 ④ ① 해당 시스템이 윈도우 시스템임을 말함 ② 시스템이 도메인 컨트롤러이거나 단독 시스템(Stand alone system)임을 표시함 ③ 시스템의 고유한 숫자임. 이 고유한 숫자는 시스템을 설치할 때 시스템의 특성을 수집하여 생성됨 ④ 각 사용자별 숫자로 표현되는 고유한 ID다. 관리자(Administrator) 는 500번, Guest 계정은 501번, 일반 사용자는 1000대의 숫자부 터 가지게 됨

로컬 인증 Winlogon에서 아이디 패스워드 입력 후 LSA에게 전송 LSA는 인증 정보 수신 Window 인증구조 로컬 인증 Winlogon에서 아이디 패스워드 입력 후 LSA에게 전송 LSA는 인증 정보 수신 NTLM 모듈을 통해 SAM이 수신 받아 확인하고 로그인 허용

도메인 인증 Winlogon에서 아이디 패스워드 입력 후 LSA에게 전송 도메인에 포함된 컴퓨터의 LSA는 인증 정보 수신 Window 인증구조 Winlogon에서 아이디 패스워드 입력 후 LSA에게 전송 도메인에 포함된 컴퓨터의 LSA는 인증 정보 수신 NTLM 모듈을 통해 SAM이 수신 받아 로컬 인증 or 도메인 인증을 확 인하고 도메인 컨트롤러(DC)에 인증요청 도메인 컨트롤러는 커버로스 프로토콜을 이용해 인증

Window 인증구조 Challenge & Response 방식 텔넷이나 FTP가 아이디와 패스워드를 네트워크를 통해 직접 전달하고 웹포털 사이트에서 사용 네트워크에 패스워드 노출을 없애기 위함 LM/NTLM 인증 방식을 사용

Window 인증구조 LM 인증 LM 해시 알고리즘 윈도우에서 가장 약한 인증 방법 Windows XP 이하 버전에 사용 크래킹 시간 10초 이하 취약점: 한 블록씩 비교해 나가면서 검증해 나가면 쉽게 크랙됨

Window 인증구조 Password : qwer12345 q w e r 1 2 3 패스워드 블록 1 4 5 패스워드 블록 2 패스워드 데이터 바이트 1바이트 q w e r 1 2 3 패스워드 블록 1 4 5 패스워드 블록 2 한 블록당 256의 계산량을 가지지만 8자~14자의경우 257의 계산량을 가진다.

Window 인증구조 NTLM 인증 NTLM Ver1 해시 알고리즘 LM 해시에 MD4 해시가 추가 LM 해시보다 안전함 오래 적용되지 않은 기법 md4

Window 인증구조 NTLM v2해시 V2는 윈도우 비스타 이후의 윈도우 시스템에서 기본 인증 프로토콜로 사용 LM/NTLM과는 전혀 다른 알고리즘으로 해시 값을 생성 복잡도가 충분하여 크래킹이 쉽지 않음

Window 인증구조 자격증명 네트워크가 연결되지 않은 경우에도 도메인에 등록된 PC에 로그인할 때 도메인 계정을 사용해 로그인하는데, 이를 가능하게 만는 것이 자격 증명(Cache Credential) 일반PC 사용자는 로그인할 때 로컬 계정 이용 회사 노트북이나 회사PC처럼 도메인에 등록된 컴퓨터에 로그인할 때는 도메인계정사용 해당 컴퓨터가 도메인과 네트워크에 연결되어 있는 경우에는 NTML이나 커버로스 이용해 로그인 ‘Password verifier’라고도 함

실습 압축해제 압축해제 1 1

실습 Click

Ca_setup.exe winrtgen.zip 실습 드래그 앤 드롭 Ca_setup.exe winrtgen.zip 이동 후에 ca_setup.exe를 실행하여 설치할 것! Next 연타 후 설치 마지막에 Don’t install 누르면 끝 !

실습 방화벽관련 경고 메세지, 무시해도 됨! 1 2 3 4 5

실습 3 4 5 6 7 복사해서 붙여넣기 8

실습

End Q & A