T1003 - 방어 회피 - Mimikatz DCShadow 플레이북 사용

  • 릴리스 버전: Zurich
  • 업데이트 날짜 2025년 07월 31일
  • 소요 시간: 1분

    • 이 Playbook을 사용하여 Mimikatz DCShadow로 인해 발생한 것으로 의심되는 보안 인시던트를 조사합니다. 다음 단계에서는 T1003 - Defense Evasion - Mimikatz DCShadow 플레이북에서 사용할 수 있는 작업, 작업 및 하위 플로우에 대한 안내를 제공합니다.

    시작하기 전에

    필요한 역할:
    • sn_si.admin
    • flow_designer

    프로시저

    1. 플레이북이 트리거되고 실행이 시작되면 작업 1에서 새 DC(도메인 컨트롤러)의 생성을 담당하는 계정을 찾습니다.
    2. 작업 2에서 사용자에게 연락하여 비즈니스 정당성을 확인합니다.
      제공된 이메일 템플릿을 사용하여 사용자에게 연락할 수 있습니다.
    3. 작업 3에서 사용자가 유효한 비즈니스 정당성을 제공했는지 확인합니다.
    4. 작업 4에서 사용자가 유효한 비즈니스 정당성을 제공한 경우 다음 단계를 수행합니다.
      그림 1. T1003 - 방어 회피 - Mimikatz DCShadow 플레이북
      사용자가 유효한 비즈니스 정당성을 제공했는지 여부를 확인하기 위한 응답 작업
      1. 작업 5에서는 지금까지의 결과를 문서화합니다.
      2. 작업 6에서 사후 인시던트 검토를 시작합니다.
        작업 7에서는 사후 인시던트 검토 후 플로우가 종료됩니다.
    5. 작업 8에서 사용자가 유효한 비즈니스 정당성을 제공하지 않은 경우 다음 단계를 수행합니다.
      그림 2. T1003 - 방어 회피 - Mimikatz DCShadow 플레이북 사용
      사용자가 유효한 비즈니스 정당성을 제공하지 않은 경우의 응답 작업입니다.
      1. 작업 9에서는 관련된 모든 계정, 컴퓨터 및 기타 장치를 잠그거나 격리합니다.
      2. 작업 10에서 잠긴 계정에 대해 포렌식 조사를 수행하고 데이터가 유출되었거나 악성 코드가 삽입되었는지 확인합니다.
      3. 작업 11에서 영향을 받는 자원의 이미지를 다시 설치합니다.
      4. Action 12에서는 봉쇄를 해제하고 시스템을 운영 표준으로 되돌립니다.
      5. 작업 13에서 작업을 종결하기 전에 사후 인시던트 검토를 완료합니다.