[News Clipping] 2021. 03. 3주차

Main News : 코로나를 타고 성장한 RDP 공격, 2021년부터 본격적으로 시작된다

코로나를 타고 성장한 RDP 공격, 2021년부터 본격적으로 시작된다

코로나 - 재택 근무의 시대, 원격 데스크톱 프로토콜(RDP)을 겨냥한 공격이 큰 관심

(원격 근무를 급하게 도입했기 때문에 나타난 부작용)

RDP : 마이크로소프트가 개발한 원격 접근 프로토콜.

윈도 서버 및 워크스테이션들에 구축되어 있음.

공격자뿐만아니라 대부분의 조직들이 원거리 연결, 접속 문제 해결을 위해 사용하는 프로토콜

2월에 집계된 RDP 공격 : 총 9310만 회

3월에 집계된 RDP 공격 : 총 2억 7740만 회

1사분기에 비해 4사분기에 보고된 RDP 공격 평균 768% 증가

RDP를 겨냥한 공격 : 대부분 '무작위 대입' 형태, 공격자 입장에서 들여야 할 노력이 최소화 된 공격

효과는 꽤 높은 편(사용자의 비밀번호 간소화, 중복사용이 원인)

지금이라도 교육과 설정 조정으로 바로잡는 게 가능

RDP 사용 예정인 기업은 사용자가 될 직원들 교육이 중요

(특히 비밀번호 설정과 관련해 올바른 습관이 몸에 밸 수 있도록 도움줄 것)

 

News Tracking : 원격 데스크톱 프로토콜 RDP, 공격자들의 수단 되고 있다 (19.01.28)

공격자들, RDP 침해하기 위해 네트워크 터널링과 포트 포워딩 실시

RDP, 백도어보다 강력하면서 안전한 공격 통로, 편리 vs 안전

원격 데스크톱 프로토콜(Remote Desktop Protocol, RDP)을 사용하는 공격자들 사이에서

네트워크 터널링, 호스트 기반 포트포워딩 기법이 인기 --> 네트워크 보호 장치들을 피해가는데 효과적

 

RDP : 마이크로소프트 윈도우에 탑재된 한 가지 요소,

관리자·엔지니어·사용자들이 합법적인 목적을 달성하기 위해 원격에서 시스템에 접근할 수 있도록 만들어진 것

 

네트워크 터널링, 호스트 기반 포트 포워딩 기법을 통해 공격자들 :

방화벽으로 막혀 있던 원격 서버에 연결, 이를 하나의 운반책으로 활용

- 로컬의 리스닝 서비스로 터널을 파서(사용되는 유틸리티 : PuTTY Link, Plink

[공격자들이 다른 시스템으로의 SSH 네트워크 연결을 가능하게 함

- 수많은 IT 환경들이 프로토콜을 검사하지 않거나 SSH 커뮤니케이션을 차단하지 않기 때문에

공격자들은 암호화 된 터널을 생성하고 RDP 서비스를 C&C와 연결시킬 수 있음]) 들어감

- 원격 서버에서부터 접근 가능

 

공격자들이 원하는 건 이전에 침해한 시스템으로부터 오는 악성 트래픽.

--> 점프 박스를 통해 곧바로 망분리 된 다른 시스템으로 포워딩 됨(디폴트 RDP 포트인 TCP 3389도 사용될 수 있음)

--> 공격자들이 관리자의 점프박스를 악용해 망분리된 시스템을 넘나들되 정상 관리자의 행위를 방해하거나 이상징후를 일으키지 않을 수 있음.

>>>호스트 기반, 네트워크 기반의 방어 및 탐지 매커니즘 사용 - 이러한 RDP 공격 완화

>>>호스트 기반의 방화벽 규칙 설정 - 인바운드 RDP 연결 방어

>>>레지스트리 키, 이벤트 로그 등 재점검

>>>가장 중요한 건 RDP 연결을 찾아 해제하는 것.

>>>관리자들은 RDP 연결이 점프 박스나 중앙 관리 서버를 통해 시작되도록 규칙 변경해야 함.

>>>권한이 높은 계정 수를 줄이기 혹은 제거하기

>>>방화벽 규칙 재설정 - 포트포워딩 취약점 제거

>>>네트워크 트래픽의 콘텐츠 검사, Snort 규칙 세우기 - RDP 터널 찾기

 

News Tracking : 공격자들, RDP로 랜섬웨어 직접 설치한다 (17.11.17)

공격자들, RDP로 랜섬웨어 직접 설치한다

멀웨어가 피싱 등의 수단으로 대량 배포되는 일반적인 랜섬웨어 공격과 다르게

공격자들은 윈도우 시스템 한 번에 하나씩 침투, RDP 액세스 사용해 수동으로 랜섬웨어 까는 중

 

작은 회사들은 RDP가 IT 지원을 받는 유일한 창구

- 다른 도시나 해외에 위치한 서드파티가 윈도우 네트워크에 원격으로 접근해 이를 로컬 사용자와 거의 동일한 수준에서 제어할 수 있게 해줌

-편리한 도구일 수 있으나 인터넷에 노출시킨 채로 방치한다면 공격자들이 무차별 대입 공격을 통해 기업 네트워크에 침투할 우려

RDP 서버가 인터넷에 노출되어 있다는 것 = 아무데서나 들어오는 연결을 수용하겠다는 의미

 

소규모 기업체 다수 : RDP 연결 처리용으로 만들어진 컴퓨터 보유, RDP 사용자를 메인 서버로 직접 연결시키는 것 허용

--> 공격자들이 쇼단을 통해 열려있는 포트 찾은 뒤 네트워크 내 어딘가에 위치한 RDP로 이동

 

해커가 RDP를 통해 무차별 대입 공격으로 시스템에 침입하기 위해 수년간 NLBrute 사용

--> NLBrute 툴 사용법에 대한 유튜브 영상도 존재

--> 10월, 다크웹 시장에서 수만 건의 무차별 대입 RDP 액세스가 판매(35,000개 이상)

 

>>>RDP 서비스에 접근할 때 VPN 연결 요청, 직접적 인터넷 액세스 피하기

>>>비밀번호 추측 공격을 제한(계정 폐쇄 정책) - 비밀번호 추측 3번 실패/5분간 계정 폐쇄

---

편리와 안전을 사이에 두고 하는 선택은 언제나 난제이다. 불편하더라도 기업의 보안이 새어나갈 구멍을 최소화 할지, 편리하게 사용해 업무 효율을 올리면서 각자 개인 보안에 신경쓰고 보안 전문가에게 맡길지, 기업이 추구하는 방향에 따라 다르겠지만 어느것이 정답인지는 알 수 없는 일이며 완벽한 보안은 없다는 말이 있는 만큼 현실적으로 어렵기도 하다. 시대가 변하면서 앞으로 더 새롭고 강력한 공격기법이 얼마나 나타날지 상상이 안된다. 늘어난 재택근무, 비대면 수업으로 인해 RDP를 겨냥한 공격이 증가하고 있지만, 지금이라도 교육과 설정 조정으로 방어가 가능하다고 하니 기업들이 속히 행동으로 옮겼으면 한다. 자주 느끼는 거지만 침투 공격을 막을 수 있는 방법이 간단한 경우가 많은데, 해야 할 일을 미루다가 공격당하는 어이없는 일은 없어야 하겠다.