search

DPAPI Backup Key

도메인 사용자 계정의 패스워드가 변경될 경우, 사용자의 패스워드로부터 파생되는 비밀키로 암호화된 마스터키를 복호화 할 수단이 없습니다. 이런 경우를 방지하기 위해 마스터키 사본을 생성하고 도메인 백업키로 암호화 합니다.

이렇게 되면 과거에 사용한 사용자의 패스워드로 암호화 된 마스터키를 현재 사용자는 복호화 하지 못하더라도 도메인 백업키를 통해 사본 마스터키를 복호화하여 데이터를 얻을 수 있고, 복호화 한 데이터를 새로운 마스터키로 암호화한 뒤, 이 마스터키는 현재 패스워드로 암호화하여 저장할 수 있습니다.

circle-info

도메인 관리자는 BackupKey 원격 프로토콜을 사용하여 도메인 컨트롤러로부터 백업 키를 추출할 수 있습니다.

특이한 점으로 생성된 도메인 백업키를 변경할 수 있는 수단은 공식적으로 지원되지 않습니다. 비공식적 수단을 제외하면 도메인 환경 구축 후 이론상 영원히 마스터키는 동일합니다.

hashtag
Abuse

# 도메인 백업 키 추출
.\SharpDPAPI.exe backupkey /nowrap

# 자격 증명 복호화
.\SharpDPAPI.exe credentials /pvk:<Backup Key>

hashtag
References

LogoActive Directory 도메인 컨트롤러의 DPAPI 백업 키 - Win32 appsMicrosoftLearnchevron-right
LogoDetecting DPAPI Backup Key TheftDSInternalschevron-right
Logo[MS-BKRP]: BackupKey Remote ProtocolMicrosoftLearnchevron-right
LogoDPAPI secrets | The Hacker Recipeswww.thehacker.recipeschevron-right
PreviousDomain Cached CredentialsNextWindows

Last updated