DCSync Attack이란 무엇인가

DCSync 공격은 흔히 말해 "Credential dumping" 공격으로 불리우며, Microsoft Directory Replication Service Remote Protocol (MS-DRSR)을 이용하여 Domain Controller로 가장하여 사용자의 비밀번호나 Hash를 불러오는 것을 말한다.

무엇이 필요한가

DCSync를 하기위해선 다음과 같은 설정이 필요하다.
1. Replicating Directory Changes
2. Replicating Directory Changes All
3. Replicating Directory Changes in Filtered Set

Attack Methodology

1. Domain Controller 에게 replication 요청을 한다.
2. User replication 요청이 GetNCChanges를 통해 DC에 요청이 된다.
3. Domain Controller는 replication data를 요청자에게 보낸다 (password나 hash)

Detection of the Attack

DCSync 공격을 알아채기 위해서는 네트워크 모니터링이나 윈도우즈 이벤트를 체크하는것이 필요하다. 혹시 EventID 4462가 Windows 이벤트 로그에서 나오면 {1131f6ad-9c07–11d1-f79f-00c04fc2dcd2} 해당 GUID를 필터링하여 어떠한 유저가 "Replication Directory Changes All"를 사용했는지 찾는다.