보안 위협 분석
원격 데스크톱 사용자는 눈 여겨 보시길~
보안 기술 2021-06-29
공격자는 이를 위해 사전에 있는 단어 뿐 아니라 다양한 조합을 통해 성공을 가능성을 높이고 있다.
RDP 무차별 대입 공격은 아주 오래된 공격 방법이지만 여전히 공격자들에게 인기가 높다.
암호의 길이와 복잡성에 따라 성공하는데 짧게는 몇 초에서 길게는 몇 년이 걸리지만, 한 번 성공하게 되면 내부 침투에 용이하기 때문이다.
1. RDP 무차별 대입 공격 통계
위 그림은 2020년 4월에 Kaspersky 에서 발표한 국가별 RDP 무차별 대입 공격 그래프이다. 2020년 3월을 기점으로 폭발적으로 증가하는 것을 확인할 수 있다.
해당 시점을 보면 COVID-19의 유행으로 인해 재택근무가 증가하는 시점과 일치하는 것을 확인할 수 있다.
공격그룹들은 이를 놓치지 않고 목적을 달성하기 위한 수단으로
RDP 를 악용하는데 활용하고 있는 것을 볼 수 있다.
<그림> 랜섬웨어 공격 벡터
랜섬웨어 공격그룹 역시 RDP 무차별 대입 공격을 공격 벡터로 삼고 있다. Coveware 보고서에 따르면 RDP 공격은 랜섬웨어 공격그룹들이 가장 선호하는 침입 수단임을 확인할 수 있다. 또한, 암시장에서 기업 IP 및 RDP 자격증명 데이터를 최소 20달러에 구매가 가능하다고 하니, 공격그룹 입장에선 들이는 노력, 시간 대비 output이 뛰어난 공격 벡터임이 확실하다.
그럼 전 세계적으로 외부에 오픈되어 있는 RDP 서버는 얼마나 되는지 확인해 보자. Shodan 에서 port: 3389로 검색한 결과이다.
Shodan 통계에 따르면, 2021년 6월 현재 전 세계적으로 총 4,419,171개의 서버가 외부로 RDP 포트가 노출되어 있는 것을 확인할 수 있다.
이 중 대한민국은 82,867개로 10위를 차지하고 있다. 꽤나 많은 수치이다.
기본 포트인 3389 외 포트까지 감안하면 더 많은 서버가 외부에 노출되어 있을 것으로 판단된다.
2. 무차별 대입 공격 목적
공격자들은 웹사이트, FTP, TELNET, RDP 등 다양한 대상에 무차별 대입 공격을 수행한다.
무차별 대입 공격을 통해 무엇을 얻으려고 하는지 알아보자. Kaspersky는 다음과 같이
5가지로 요약하고 있다.
1) 광고 수익 창출 및 사용자 활동 데이터 수집
2) 데이터 유출
3) 악성코드 확산
4) 공격그룹 활동에 활용
5) 기업 이미지 훼손을 위한 웹 위, 변조
첫째, 광고 수익 창출 및 사용자 활동 데이터 수집의 경우, 운영 중인 웹사이트에 스팸 광고를 삽입하거나 의뢰된 광고 사이트로 리다이렉션하는 코드를 삽입하여 금전적인 이득을 취하거나, 사용자의 활동 데이터를 동의 없이 광고주에 판매하여 수익을 창출한다.
둘째, 데이터 유출의 경우, 개인 또는 기업의 자산정보, 자격증명 정보를 유출하거나 민감한 데이터베이스를 유출하여 금전적인 이득을 취할 수 있다.
셋째, 악성코드 확산의 경우, 운영 중에 웹사이트에 악성코드를 삽입하여 악성사이트로 유도하거나 방문자의 컴퓨터에 악성코드를 감염시킬 수 있다.
넷째, 공격그룹 활동에 활용의 경우, 침해서버를 봇넷의 구성원으로 활용하여, 또 다른 서버를 공격하는데 활용할 수 있다.
다섯째, 기업 이미지 훼손을 위한 웹 위,변조의 경우, 단순히 해당 기업의 평판을 저하시키고자 음란물과 같은 디페이스된 화면을 보여주기도 한다.
RDP 무차별 대입 공격의 경우는 어떨까? 주로 2, 3, 4의 목적을 위해 수행한다. 예를 들어, 직접 랜섬웨어 같은 악성코드를 감염시켜 암호화된 데이터를 인질로 금전적인 이득을 취하거나 암호화 전 데이터 유출 후 협박을 통해 2중 갈취를 하기도 한다.
3. 무차별 대입 공격의 유형
무차별 대입 공격의 유형에는 어떤 것들이 있는지 알아보자. Kaspersky는 다음과 같이 5가지로 요약하고 있다.
1) 단순한 무차별 대입 공격
2) 사전 공격
3) 하이브리드 무차별 대입 공격
4) 역방향 무차별 대입 공격
5) 크리덴셜 스터핑
첫째, 단순한 무차별 대입 공격의 경우, 무차별 대입 공격의 도구의 도움없이 직접 논리적으로 추측하는 방법이다. 예를 들어, 특정 장비의 공장 기본 계정정보 대입이나 admin / admin 같은 추측가능한 단순한 대입기법이다.
둘째, 사전 공격의 경우, 우리가 알고 있는 무차별 대입 공격의 기본 공격이다. 사전에 있는 단어를 일일히 대입하여 공격하는 방법으로, 공격그룹들은 다양한 조합의 단어들을 보강하여 공격에 이용한다.
셋째, 하이브리드 무차별 대입 공격의 경우, 사전과 무차별 대입 공격을 혼합하여 이용한다. 즉, 일반적인 단어와 임의의 숫자 또는 문자를 조합하는 방법이다. NewYork1993 또는 Spike1234 와 같은 암호가 포함된다. 정교화된 공격을 수행하는 APT 공격 그룹의 경우 예를 들어, 특정 기업 공격시 외부에 알려진 이메일 주소 john@email.com 에서 john1234, john4587 등과 같은 암호가 포함될 수 있다.
넷째, 역방향 무차별 대입 공격의 경우, 기존에 데이터 침해로 유출된 비밀번호를 기준으로 사용자 ID를 찾을 때까지 공격하는 방식이다.
다섯째, 크리덴셜 스터핑의 경우, 기존에 유출된 자격증명을 가지고 또 다른 웹사이트에서 로그인 시도를 하는 것이다.
RDP 무차별 대입 공격의 경우는 어떨까? 주로 2, 3번의 공격을 수행한다. 사전 공격을 주로 수행하되, 조합된 단어를 보강하여 성공 확률을 높인다.
4. RDP
무차별 대입 공격 성공에 걸리는 시간은?
<그림> 1thread로 공격할 경우 이벤트 로그
그렇다면, RDP 무차별 대입 공격의 성공까지는 얼마나 소요될까?
이를 위해 한가지 실험을 해 보았다. RDP의 경우 RDP negotiation 과정 등 네트워크 환경에 따라 소요되는 시간이 달라질 것이다.
실제 windows 서버를 대상으로 RDP 무차별 대입 공격을 수행해 보았다.
1개의 컴퓨터에서 1 thread로 공격할 경우 초당 7~10번 정도의 시도가 가능함을 확인할 수 있었다.
이를 근거로 6자리 영문+숫자 조합의 약 20억개 이상의 암호를 풀기 위해서는 대략 최대 2500일~3600일 정도 소요될 것으로 판단된다.
하지만, 실제 공격그룹 측면에서 보면 multithread 와 다수의 RDP 봇넷을 동원하면 1일 이내에도 성공이 가능한 수치이기 때문에 6자리 영문+숫자 조합의 암호는 실제로는 상당히 취약한 암호임을 알 수 있다.
5. RDP
무차별 대입 공격 통계
1) 공격자 IP 통계
(1일 통계)
실제 환경에서 RDP 무차별 대입 공격을 하는 IP 리스트를 하루동안 모니터링하여 정렬을 해 보았다.
통계에서 볼 수 있듯이 IP당 공격횟수가 균등하지 않았다. IP별로 공격횟수에 차이가 나는 것을 확인할 수 있었다.
이는 공격 그룹별, 공격 그룹의 RDP 봇넷별, 공격서버 사양 등에 따라 달라질 수 있을 것으로 판단된다.
또한, 흥미로운 요소가 한가지 있었는데, 클래스 대역이 동일한 IP들을 확인할 수 있었다. 이는 위,변조된 IP라기보다는 리얼 IP에 가까울 것이라고 조심스레 추측해 본다.
2) 공격자 IP 국가별 통계 (1일 통계)
RDP 무차별 대입 공격을 수행한 국가는 5388회를 기록한 중국이 가장 많았다. 네덜란드(4591회), 프랑스(3151회)가 그 뒤를 이었고, 흥미로운 점은 대한민국(350회)도 포함된 것을 확인할 수 있었다.
3) 공격자가 가장 많이 시도한 계정명 (1일 통계)
RDP 무차별 대입 공격은 위에서 살펴보았듯이 사전공격을 주로 수행한다.
공격자는 일반적으로 우리가 가장 많이 사용하는 계정명을 우선 대입해 보는 것으로 확인됐다.
가장 많이 접속 시도한 계정명은 5084회를 기록한 administrator 로 확인됐다. 그 다음으로는 administrador (3039회) 계정명이 많이 사용되었는데, 이는 스페인어 또는 포르투갈어를 사용하는 국가의 관리자명이다.
공격자들은 유럽국가를 공격 범위로 두고 있음을 확인할 수 있다.
그 다음으로는 administrateur (1629회) 계정명이 사용되었는데 이는 프랑스에서 사용하는 관리자명이다. 역시 유럽국가이다.
이 외 우리가 자주 사용하는 admin, user, test, server, root, owner 등의 계정명이 뒤를 이었다. 이러한 계정명을 사용할 경우 RDP 무차별 대입 공격에 취약할 수 밖에 없다.
6. RDP 무차별 대입 공격 대응 방법
지금까지 RDP 무차별 대입 공격에 대해서 알아보았다. 그렇다면, 이러한 공격에 대응하는 방법에는 어떤 것들이 있는지 알아보자.
1) RDP 사용 제한
2) VPN 2 factor 인증 접근 + 접근 IP제어
3) 영문 대소문자 + 특수문자 + 숫자 조합의 최소 8자리 이상 암호 사용 (주기적 변경)
4) 로그인 재시도 횟수 제한
7. 나의 비밀번호가 뚫리는 데 걸리는 시간은?
특성상 RDP 무차별 대입 공격에 적용시키기는 어렵지만, 일반적인 무차별 대입 공격에 뚫리는 데 걸리는 시간을 측정해 주는 사이트가 있다.
https://password.kaspersky.com/
자신이 사용하고 있는 비밀번호가 얼마나 취약한지 확인해 보자.
[참고자료]
https://securelist.com/remote-spring-the-rise-of-rdp-bruteforce-attacks/96820/
https://www.coveware.com/blog/q1-2020-ransomware-marketplace-report
https://www.kaspersky.com/resource-center/definitions/brute-force-attack
