본문 바로가기
보안/취약점정보

RDP 공격?

홍쿠스 2021. 9. 11. 21:40
반응형

RDP란?

마이크로소프트의 RDP(Remote Desktop Protocol)는 윈도우 시스템에 원격으로 연결하기 위해 사용된다. 

 

[Window]+[R] → mstsc

 

RDP 공격?

 

  RDP 프로토콜은 사용이 쉽고 해킹된 시스템을 완전히 제어할 수 있기 때문에 RDP를 표적으로 삼는 것을 선호한다. 또한 공격자가 정당한 목적으로 사용되는 프로토콜을 통해 시스템에 액세스할 수 있기 때문에 방어자가 악의적인 활동을 탐지하기가 더 어렵다.

  마이크로소프트의 RDP는 사용자가 윈도우로 구동하는 다른 컴퓨터에서 원격 윈도우 시스템에 연결하는 수단을 제공한다. 원격 디스플레이 및 입력 기능을 제공하기 때문에 실제로 장치 앞에 앉아 있는 것처럼 원격 윈도우 시스템에 액세스해 작업할 수 있다. 예를 들어, RDP를 사용해 집에 있는 윈도우 PC를 활용해 업무용 컴퓨터에 액세스하고 직장에서와 같은 작업을 수행할 수 있다.

  조직은 직원 인력이 시스템에 물리적으로 접촉하지 않고 문제를 해결하기 위해 액세스할 수 있도록 원격 액세스를 활성화하는 경우가 많다. 이 기능은 유용할 수 있지만 많은 조직이 강력한 비밀번호를 요구하지 않거나 네트워크 레벨 인증을 활성화하지 않거나 원격 데스크톱을 통해 로그인할 수 있는 사용자를 제한하지 않는 등 원격 데스크톱에 액세스할 수 있는 계정을 적절히 보호하지 않는다.

 

무작위 대입 방식과 레인보우 테이블(Rainbow Table)을 사용하는 공격자는 민감한 데이터 도난, 악성코드 심기, 데이터 포이즈닝(Data Poisoning), 기타 악의적인 활동을 위해 이 비밀번호를 깨고 시스템에 대한 완전한 액세스를 확보할 수 있는 경우가 많다. 카슨은 "RDP가 활성화된 인터넷 연결 장치를 스캔해 온라인으로 이런 시스템을 찾기가 꽤 쉽다"고 말했다.

또한 공격자는 이전에 침투했던 다른 범죄자로부터 비밀번호를 구매할 수도 있다. 여러 다크 웹 시장에서 최근 해킹된 RDP 서버에 대한 액세스가 최저 3달러에 판매되고 있다. 보안 공급업체 맥아피(McAfee)와 플래시포인트(Flashpoint)는 정부, 의료, 기타 주요 기관에 속한 것을 포함해 전 세계 3만 5,000~4만 개의 RDP 서버 액세스를 위한 비밀번호를 판매하는 USA(Ultimate Anonymity Service)라는 스토어에 대해 보고한 바 있다.

플래시포인트의 수석 분석가 루크 로드헤퍼는 "여러 개의 서버를 동시에 제어할 수 있도록 개발된 무작위 대입 소프트웨어 및 툴을 통해 RDP 서버 표적화를 자동화하는 추세"라고 말했다. 그리고 나서 서버에 대한 액세스를 전용 서버와 위치 유형으로 검색할 수 있는 범죄자 시장에서 판매한다. 

 

[요약]

  - RDP는 랜섬웨어를 위한 최고의 공격 벡터가 된다.

  - 공격자들은 인터넷에 노출된 RDP 서비스를 반복적으로 악용해 여러 주요 조직에 속한 시스템과 네트워크에

    랜섬웨어를 설치

 

관련 기사

https://www.boannews.com/media/view.asp?idx=95721 

 

코로나를 타고 성장한 RDP 공격, 2021년부터 본격적으로 시작된다

원격 데스크톱 프로토콜(RDP)가 사이버 공격자들 사이에서 점점 높은 인기를 구가하는 중이다. 코로나로 인해 원격 근무자가 늘어난 것과 깊은 관련이 있는 것으로 분석되고 있다. 하지만 백신

www.boannews.com

 

 

방어 방법

 

1) 강력한 비밀번호를 사용하자
RDP 액세스에 항상 강력한 사용자 이름과 비밀번호를 사용한다.

길고 안전한 비밀번호, 특히 관리자 계정에 이중 인증을 활성화하고 액세스를 항상 VPN 뒤에 숨긴다.
로그인 자격 증명을 기본 "admin/administrator"에서 바꾸기만 해도 무작위 대입 공격의 속도를 크게 늦출 수 있다.

2) 역할 기반 액세스 제한을 이행하자
조직은 RDP 콘솔에 대한 관리자 액세스를 가진 사용자의 수를 제한해야 한다.

또한 이런 액세스가 있는 사용자의 권한을 제한하자.

3) RDP에 NLA를 활성화하자
NLA(Network Level Authentication)는 추가적인 보호 계층을 제공한다.

활성화된 경우 RDP를 통해 원격 시스템에 연결하려 시도하는 사용자는 우선 세션이 수립되기 전에 신원을 인증해야 함

4) RDP 포트를 변경하자
RDP 포트를 변경하면 개발된 RDP 포트를 찾는 포트 스캐너가 감지할 수 없다

※ RDP 기본적으로 서버 포트 : 3389(TCP/UDP)

 

출처 : https://www.itworld.co.kr/news/110782

저작자표시 비영리 변경금지

'보안 > 취약점정보' 카테고리의 다른 글

Formbook 악성코드  (0) 2021.11.23
Apache Tomcat 취약점  (0) 2021.11.07
Dlink 취약점 공격  (0) 2021.09.12

'보안/취약점정보' Related Articles

티스토리툴바