전 세계 RDP 서버를 노리는 새로운 브루트포스 봇넷 발견

New Brute-Force Botnet Targeting Over 1.5 Million RDP Servers Worldwide

보안 연구원들이 현재 인터넷에서 공개적으로 접근이 가능한 윈도우 RDP 서버 150만개 이상을 브루트포싱하는 정교한 봇넷 캠페인을 발견했습니다.

GoldBrute라 명명된 이 봇넷 체계는 네트워크에 모든 새로운 크랙된 시스템을 추가함으로써 확대 되며, 접근이 가능한 새로운 RDP 서버를 찾아 브루트포싱하도록 설계되었습니다.

이 캠페인의 배후에 있는 공격자들은 보안 툴과 악성코드 분석가들에게 탐지되지 않기 위해 감염된 기기 수백만 대에 고유한 계정/패스워드 조합을 사용하도록 명령했습니다.

그리고 타깃 서버가 서로 다른 IP 주소로부터 브루트포싱 공격을 받도록 설정했습니다.

Morphus Labs의 Renato Marinho가 발견한 이 캠페인은 아래의 그림과 같이 작동하며, 작동 방식은 아래와 같습니다:

<이미지 출처: https://morphuslabs.com/goldbrute-botnet-brute-forcing-1-5-million-rdp-servers-371f219ec37d>

1단계: RDP 서버를 브루트포싱 하는데 성공하면, 공격자는 해당 기기에 JAVA 기반 GoldBrute 봇넷을 설치합니다.

2단계: 감염된 기기를 제어하기 위해 공격자들은 AES로 암호화된 웹 소켓 연결을 통해 명령 및 데이터를 교환하는 고정된 중앙 C&C 서버를 사용합니다.

3, 4단계: 각각의 감염된 기기는 공개적으로 접근 가능하며 브루트포싱이 가능한 새로운 RDP 서버를 최소 30개를 찾아 보고하라는 첫 번째 명령을 받습니다.

5, 6단계: 이후 공격자들은 각각의 감염된 기기에 고유한 계정/패스워드 조합을 할당하여 C&C 서버를 통해 지속적으로 전달되는 타깃 RDP 기기 목록에 시도할 것을 명령합니다.

7단계: 시도가 성공하면, 감염된 기기는 해당 로그인 크리덴셜을 C&C 서버에 보고합니다.

현재로서는 얼마나 많은 RDP 서버가 영향을 받아 인터넷상의 다른 RDP 서버에 브루트포스 공격에 참여하고 있는지 정확히 알 수 없습니다.

<이미지 출처: https://morphuslabs.com/goldbrute-botnet-brute-forcing-1-5-million-rdp-servers-371f219ec37d>

현재 Shodan 검색 결과, 인터넷에서 접근이 가능한 윈도우 RDP 서버는 약 240만대로 나타났으며 이들 중 절반 이상이 브루트포싱 공격을 받고 있는 것으로 추측됩니다.

현재 알약에서는 해당 봇넷에 대하여 'Trojan.JAVA.Agent.Gen'으로 탐지중에 있습니다.

출처:

https://thehackernews.com/2019/06/windows-rdp-brute-force.html

https://morphuslabs.com/goldbrute-botnet-brute-forcing-1-5-million-rdp-servers-371f219ec37d