블랙박스 없이 수행하는 Active Directory 대상 자율 침투 테스트
요약
Darkmoon은 Active Directory(AD) 환경에서 자율적으로 침투 테스트를 수행하는 에이전트 프레임워크입니다. 상태 유지(stateful)가 필요한 AD 공격의 특성을 고려하여 Markdown 플레이북을 기반으로 추론, 열거, 피벗 과정을 투명하게 실행합니다.
핵심 포인트
- AD 공격의 복잡성을 해결하기 위한 에이전트 루프 설계
- Markdown 플레이북을 통한 상태 유지 및 실행 과정의 투명성 확보
- BloodHound 스타일의 로직을 활용한 공격 경로 식별 및 실행
- 모든 도구 호출과 실행 단계가 로그로 남는 감사 가능성 제공
Active Directory (AD)는 대부분의 내부 침해 사고가 발생하는 지점이자, 대부분의 AI 도구들이 포기하는 지점입니다. Darkmoon은 AD 공격 경로를 자율적으로 실행하며 모든 단계를 보여줍니다.
AI에게 AD가 어려운 이유
AD 공격 경로는 상태 유지(stateful)가 필요하며 다단계로 이루어집니다. 단일 프롬프트로는 전체 그래프를 담을 수 없습니다. 상태를 유지하면서 열거(enumerate), 추론(reason), 피벗(pivot)을 수행하는 에이전트 루프(agent loop)가 필요합니다.
상태 엔진으로서의 플레이북 (Playbooks)
Darkmoon에서 AD 방법론은 사용자가 읽고 포크(fork)할 수 있는 Markdown 플레이북입니다. 에이전트는 이를 따르고, 프록시(proxy)는 상태를 유지하며, 모든 도구 호출(tool call)은 명시적입니다.
발판(foothold)에서 도메인까지
에이전트는 BloodHound 스타일의 로직으로 열거를 수행하고, 공격 경로를 식별하며, 실제 도구를 사용하여 이를 실행하고 각 단계의 출력을 첨부합니다.
설계 단계부터 고려된 감사 가능성 (Auditable)
방법론이 파일 형태이고 실행 과정이 로그로 남기 때문에, 검토자는 도메인이 어떻게 장악되었는지 정확히 추적할 수 있습니다.
시도해보기
GOAD에서 실행하고 생성된 공격 경로를 처음부터 끝까지 읽어보세요.
- Repo (GPLv3): https://github.com/ASCIT31/Dark-Moon
- Docs: https://docs.dark-moon.org/
- Demo: https://youtu.be/1bFRVuMkZzY
침투 테스트 전문가(pentesters)들에 의해 만들어졌으며, 침투 테스트 전문가들을 위해 오픈 소스로 공개되었습니다. 방법론과 증거 추적(evidence trail)에 대한 피드백을 진심으로 환영합니다.
AI 자동 생성 콘텐츠
본 콘텐츠는 Dev.to AI tag의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.
원문 바로가기