DRSUAPI

핵심:

DRSUAPI는 **"Directory Replication Service (DRS) Remote Protocol (DRSUAPI)"**의 약자로,
Active Directory의 데이터(예: 사용자 해시 등)를 복제하는 데 사용되는 윈도우 내부 RPC 프로토콜입니다.

근거 및 설명:

• DRSUAPI = Directory Replication Service (DRS) + API
• Active Directory(AD)는 여러 DC(Domain Controller) 사이에서 사용자 정보, 그룹, 해시 등을 복제함.
• 이 복제를 위해 MS가 정의한 비공개/내부용 RPC 인터페이스가 DRSUAPI.
• 해커는 이걸 악용해서 NTDS.dit에서 사용자 계정과 NTLM 해시를 추출할 수 있음.

실전에서의 사용 예:

• 도구: impacket-secretsdump가 대표적

• 명령 예:

  secretsdump.py -just-dc -hashes ... user@domain-controller-ip

• 동작: DRSUAPI RPC 호출을 통해 DC에서 직접 해시 덤핑

왜 중요하냐?

• 관리자 권한만 있으면 DC에서 모든 사용자 해시를 직접 추출할 수 있음
• 탐지 어렵고 빠름
• Pass-the-Hash, Golden Ticket 같은 공격으로 이어짐

결론:

DRSUAPI는 도메인 컨트롤러 간 AD 데이터 복제를 위한 RPC 프로토콜이며,
공격자가 이를 악용하면 해시 덤프 등 심각한 정보 탈취가 가능함.
secretsdump.py가 이 인터페이스를 활용함.

DRSUAPI란?

• DRSUAPI(Directory Replication Service (DRS) Remote Protocol API)는 Active Directory 도메인 컨트롤러끼리 사용자/해시 등 정보를 동기화(복제)할 때 사용하는 윈도우 내부 프로토콜.
• 관리자 권한 계정으로 DRSUAPI를 호출하면 NTDS.DIT(AD 사용자/해시 DB)에서 해시를 직접 추출 가능.

시크릿덤프 원리 (impacket secretsdump.py 기준)
1. 관리자 권한 계정으로 도메인 컨트롤러에 인증.
2. DRSUAPI 프로토콜을 이용해 NTDS.DIT 파일의 사용자 계정/해시/키 등 정보를 요청.
3. 도메인 컨트롤러가 내부적으로 복제용 데이터를 반환 → 해시, Kerberos 키 등 추출.
4. 공격자는 이 해시를 오프라인 크랙하거나, 패스더해시 등으로 바로 로그인 시도.

실제 명령어 예시:

python3 /impacket/examples/secretsdump.py -dc-ip 10.10.107.58 -target-ip 10.10.107.58 backup@spookysec.local:backup2517860

• 관리자 권한 계정 필요(backup, administrator 등)
• DRSUAPI 방식 자동 사용 → NTDS.DIT 해시 추출

핵심: DRSUAPI는 AD 복제 프로토콜을 악용해, 원격에서 NTDS.DIT 해시를 추출하는 실전 침투 핵심 기술. OSCP 시험에서 관리자 계정 획득 후 secretsdump.py로 해시 덤프 시 자동으로 사용됨.