2019.01.28 원격 데스크톰 프로토콜 RDP

1. RDP (Remote Desktop Protocol)

원격데스크 프로토콜이라 불리며 마이크로 소프트사가 개발한 프로토콜이다. 대부분의 마이크로소프트 윈도우 버전에 포함되어 있고, 리눅스, 유닉스, MAC 등 다양한 운영체제에서 활용한다. 기본적으로 TCP 포트 3389를 사용한다.

2. RDP를 통한 공격(기사)

원격 데스크톱 프로토콜을 사용하는 리스닝 서버로 접근하기 위해 공격자들은 네트워크 터널링과 호스트 기방 포워딩 기법을 이용하고있다. 이에 사용되는 툴이 SSH 연결을 도와주는 Putty와 Plink이다. 다양한 IT 환경들이 프로토콜을 검사하지 않거나 SSH 연결을 차단하지 않기에 공격자들은 암호화된 터널을 생성하고 RDP 서비스를 C&C(Command & Control)서버와 연결시킬 수 있게 된다.

 공격자들은 RDP 포트 포워딩을 위해 윈도우 2000부터 유틸리티로 포함된 netsh 명령을 사용하는 경우도 있다.
 포트포워딩을 통해 점프 박스(jump box)를 설정함으로써 임의의 포트에 대한 리스닝을 실시할 수 있다. 이로인해 공격자들은 이전에 침해한 시스템으로부터 오는 악성트래픽을 수신하는 것이 가능하다.

 악성 트래픽은 점프 박스를 통해 망분리된 다른 시스템으로 포워딩된다. 이때 TCP 3389(RDP default port)도 사용될 수 있다.

 

3. 보안방안

호스트 기반

사용하지 않는 RDP 연결을 찾아 해제한다.

방화벽 규칙 설정: 인바운드 RDP 연결 제어

로컬 계정을 가지고 있는 RDP의 사용 차단

레지스트리키, 이벤트 로그 점검

관리자 이름을 변경(Windows의 경우 기본 관리자 계정은 Administrator)

기본 RDP 포트에 대한 변경

네트워크 기반

RDP 연결이 점프 박스나 중앙 관리 서버를 통해 시작되도록 규칙 변경

권한 높은 계정을 줄이거나 없애기

방화벽 규칙 재설정하여 RDP 터널 찾아내기

4. 기존 공격 방법

4.1 2017년 무차별 대입공격

인터넷에 열려있는 RDP 시스템을 찾기 위해 쇼단(Shodan)과 센시스(Sensys) 같은 스캐닝 서비스르 사용한 흔적이 발견되었다.공격자들은 NLBrute 툴을 사용해 RDP 비밀번호를 추측하고 대입하거나 Brute Force 공격을 시도한다.

물론 이와같은 공격은 계정 잠금 정책만으로 방어가 가능하다. 비밀번호 3회 오류 시 5분간 계정을 폐쇄해 두는 정책 도입 시 범죄자들은 1시간에 48개의 비밀번호만을 시도가 가능하다.

4.2 2018년 마이크로소프트 패치

마이크로소프트는 CVE-2018-0886에 대해 보안업데이트를 실시했다. 이 취약점은 CredSSP 인증 프로세스 중에 공격자가 로컬 사용자 자격 증명을 포함한 세션 데이터를 도용하는 것으로 Man-in-the-Middle Attack의 일종이다.

CredSSP란 Credential Security  Support Provider로 RDP 및 WinRM에서 TLS를 기반으로 Windows 인증을 릴레이하는 데 사용되는 Microsoft 프로토콜이다.

URL: https://www.boannews.com/media/view.asp?idx=76479&kind=1