Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
취약점 정보최근 국내외 발생하는 RDP 공격 주의보
작성일 2018-10-19 조회 1203

최근 수 많은 RDP 관련 공격들이 네트워크 상에서 빈번히 발생하고 있습니다.

 

다수의 스캔성 RDP 공격 부터 Brute Force 공격까지 실제 온라인 상에서는 RDP 취약점을 이용해 랜섬웨어 유포, 개인정보 탈취 등을 시도하고 있습니다.

최근 다수의 FaceBook 계정정보나 회사 기밀정보등이 온라인에 유출되는 것도 RDP 취약점을 이용한 데이타 탈취로 보여지고 있습니다.

 

 


[그림. 1] 온라인에 공개된 1200명의 Facebook 사용자 계정 (https://files.fm/u/srf93cva)

 

 

[그림. 2] 얼마전 공개된 ALLSTARBIT 내부직원 정보

 


얼마전에는 미국의 Internet Crime Complaint Center (IC3) 사이버 공격 조직들이 RDP를 이용한 공격 시도가 늘어나고 있어 주의가 필요하다고 공지(https://www.ic3.gov/media/2018/180927.aspx) 하기도 했습니다.


IC3의 설명에 따르면 원격 데스크톱 프로토콜 (RDP)과 같은 원격 관리 도구는 RDP 액세스를 판매하는 암시장의 등장으로 2016 년 중반 이후 증가하고 있다고 합니다.
공격자들은 인터넷을 통해 취약한 RDP 세션을 식별하고 로그인 자격 증명 및 중요 정보 자산을 탈취하고 있다고 합니다.

 

 


[그림. 3] 인터넷상에서 RDP Scan 공격으로 의심되는 트래픽 (국내외 다수의 트래픽이 IoT 기기에서 발생)

 


IC3에서 지목하고 있는 공격자가 악용하는 RDP 취약점은 다음과 같습니다.

-Weak passwords : 사전 단어를 사용하거나 대문자 / 소문자, 숫자 및 특수 문자가 혼합되어 있지 않은 암호는 무차별 공격과 사전 공격에 취약합니다.
-CredSSP : 구식 버전의 RDP는 잠재적 인 man-in-the-middle 공격을 가능하게하는 결함 메커니즘 인 CredSSP (암호화 메커니즘)를 사용할 수 있습니다.
-RDP 포트 인터넷 개방 : 기본 RDP 포트에 대한 무제한 액세스 허용 (TCP 3389).
-RDP 계정 로그인 시도 임계치 미설정 : 사용자 계정에 무제한 로그인 시도 허용.

 

위의 취약점을 이용해 공격자들은 다은과 같은 피해를 발생 시킬 수 있습니다.

CrySiS Ransomware
CryptON Ransomware
Samsam Ransomware
Dark Web Exchange

 

 


[그림. 4] RDP 노출 국가 순위 - 2017.7 (https://blog.rapid7.com/2017/08/09/remote-desktop-protocol-exposure/)

 

 

[그림. 5] RDP 노출 기관 순위 - 2017.7 (https://blog.rapid7.com/2017/08/09/remote-desktop-protocol-exposure/)

 


위 권고 취약점 중 일반 사용자의 대처가 어려운 CVE-2018-0886 CredSSP취약점 분석 및 대응 방안에 대해서 알아보겠습니다.

 

 

 

 

취약점 분석

 

 

[그림. 6] CVE-2018-0886 공격 시나리오 (https://blog.preempt.com/security-advisory-credssp)

 

 

Microsoft Windows 제품군에 CredSSP 원격 코드 실행 취약점이 존재합니다.
공격자는 MITM (man-in-the-middle) 공격 기법을 이용해 사용자와 서버 사이에서 패킷을 가로채 임의코드를 실행합니다.

 

 


[그림. 7] 전체 공격 구성 화면 사용자의 세션인증을 가로채 리버스쉘을 도메인컨트롤에서 실행하는 모습 (https://blog.preempt.com/security-advisory-credssp)

 


공격자는 중간자로 위장해 CredSSP 세션이 발생할 때까지 기다렸다가 세션 인증을 훔치고 사용자가 원래 서버에 대한 원격 프로 시저 호출 (DCE / RPC) 실행시 공격자의 커멘드가 삽입된 조작된 응답을 돌려줍니다.

 

실제 응답 패킷은 암호화 돼 전달돼지만 이해를 돕기위해 평문 상태의 패킷으로 구현하면 아래와 같습니다.

 

 


[그림. 8] XML구문에 Exec 실행구문을 넣어 임의코드를 실행

(실제 공격에서는 리버스쉘을 이용한 공격을 실행할 가능성이 높음)

 


조작된 응답을 받은 사용자는 공격자의 커멘드를 서버에 실행해 공격자의 임의코드를 실행하게 됩니다.


다음은 실제 공격을 재현한 시연영상입니다.

 

 

취약점 시연 영상 (https://youtu.be/VywB2_o9Tsk)

 

 

 

 

대응방안

불필요하게 인터넷상에 RDP 포트를 노출하지 않습니다.

 

또한 네트워크 정책을 통해 RDP 계정 로그인 시도를 통제합니다.

 

마지막으로 벤더사에서 제공하는 보안패치를 적용합니다.
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-0886

 

 

 

 

WINS Sniper 대응방안
Sniper-IPS

[4517] MS Windows CredSSP MITM RCE

Sniper-UTM

[805374696] MS Windows CredSSP MITM RCE

Sniper-APTX

[3768] MS Windows CredSSP MITM RCE

 

 

 


참조
https://blog.preempt.com/security-advisory-credssp
https://github.com/preempt/credssp
https://www.ic3.gov/media/2018/180927.aspx

첨부파일 첨부파일이 없습니다.
태그 CVE-2018-0886  CredSSP  RDP