1. 개요
DCSync Attack 은 AD 해킹 기법 중에서 가장 중요한 기술 중 하나이다.
공격자를 DC 서버라고 시스템을 속여서 사용자들의 비밀번호 정보를 합법적으로 복사해오는 공격이기 때문이다.
예를 들어보면 AD 환경에서 DC 서버가 여러 대일 수 있고, DC-1 과 DC-2가 있다고 하자. DC-2가 DC-1 에게 업데이트 된 정보를 요구하는 경우 DC-1 은 DC-2와 Sync 를 하려고 할 것이다. 이 때 해커가 이 과정에 끼어든다.
해커의 컴퓨터가 DC-1 에게 Sync 를 요청하고 DC-1이 건내주는 비밀번호 해시를 받아 챙긴다.
물론 아무나 가느안 것은 아니고 특정 권한을 가진 계정이 필요한데, BloodHound 등으로 찾아낼 수 있다. 관계도에 Get-Changes 혹은 Get-Changes-All 과 같은 권한이 존재한다면 복제 요청이 성공적으로 수행되게 된다.
