팬데믹 상황을 악용한 RDP 브루트포싱 공격 성행

Criminals Exploit Pandemic with Brute-Force RDP Attacks

ESET의 연구원들이 RDP 기반 해킹 공격이 지난 몇 달간 급증하고 있다고 경고했습니다. 

이들은 RDP를 악용하는 브루트포싱 공격 시도 횟수가 증가했으며, 사이버 범죄자들은 이를 통해 랜섬웨어를 배포한다고 밝혔습니다.

RDP(원격 데스크톱 프로토콜)은 네트워크 외부에서 윈도우에 접속하는데 사용하는 마이크로소프트의 독점 프로토콜입니다. 

ESET은 여러 회사에서 적절한 보안장치 없이 RDP 포트를 오픈한 상태로 방치하고 있다고 밝혔습니다. 이러한 상황은 악성코드 감염으로 이어질 수 있습니다.

ESET은 RDP 공격이 증가하는 상황을 코로나19 팬데믹 상황과 연결 지었습니다. 

많은 직원들이 집에서 회사 네트워크에 접속해야 하는 재택근무 상황이기 때문에 RDP를 사용할 수밖에 없었을 것이라 설명했습니다. 

고유 클라이언트에 대한 공격 수는 지난 12월 3만 회에서 5월에는 10만 회까지 증가했습니다.

 

<이미지 출처: https://www.welivesecurity.com/2020/06/29/remote-access-risk-pandemic-cybercrooks-bruteforcing-game/>

ESET은 외부 환경에서 발생하는 반복되는 로그인 시도를 잡아내기 위한 새로운 탐지 계층을 생성했습니다. 

이는 모든 클라이언트를 보호하는데 사용하는 블랙리스트에 문제의 IP 주소를 추가합니다. 

하지만 이 작업을 위해서는 회사의 서버에서 NLA(Network Level Authentication) RDP 옵션을 활성화해야 합니다.

마이크로소프트는 작년 발생한 RDP의 취약점을 악용하는 BlueKeep 웜 공격에 대한 보호 장치로써 이 방법을 이미 제안했습니다.

※ 관련글 보러가기

▶ RDP 세션의 윈도우 잠금 화면을 우회하는 제로데이 취약점 발견 (2019.06.05)

▶ 지멘스 헬시니어스 의료기기, 윈도우 BlueKeep 결함에 취약해 (2019.05.29)

RDP를 노린 공격을 예방하는 방법 중 하나는 필요하지 않을 경우 완전히 비활성화하거나, 적어도 인터넷을 통해 연결할 수 있는 사용자를 제한하는 접근 제어 리스트를 만들어 관리하는 것이 좋습니다.

또한 모든 계정에 강력하고 복잡한 패스워드를 사용하고 다중 인증 방식을 사용할 것을 권장했습니다.

가능할 경우 VPN을 통해 외부에서 로컬 네트워크로의 모든 연결을 중개하도록 하는 것이 좋습니다.

RDP 기반 공격이 증가한 것을 목격한 회사는 ESET뿐만이 아닙니다. 지난 3월, Shodan은 인터넷에 노출된 RDP의 수가 점점 증가하고 있다고 경고했습니다.

한 달 후, 카스퍼스키 또한 Bruteforce.Generic.RDP 공격이 전 세계에서 급격히 증가하고 있다고 경고하기도 했습니다.

2018년에는 FBI 또한 노출된 RDP 문제에 대해 경고하기도 했습니다. 또한 이번 달에는 팬데믹 기간 동안 미국 내 K12 학교에 RDP 기반 랜섬웨어 공격을 주의하라는 경고를 발행하기도 했습니다.

출처:

https://www.infosecurity-magazine.com/news/pandemic-bruteforce-rdp-attacks/

https://www.welivesecurity.com/2020/06/29/remote-access-risk-pandemic-cybercrooks-bruteforcing-game/