보안정보

UAS

130만 Windows RDP 서버에 대한 로그인 정보 유출

침해사고분석팀 2021.04.22

 

 

현재 Windows 원격 데스크톱 서버 130만개의 로그인 시 사용한 이름과 암호가 훔친 RDP 자격 증명을 위한 최대 해커 시장인 UAS에서 유출되었다.

 

RDP(원격 데스크톱 프로토콜)는 사용자가 마치 컴퓨터 앞에 앉아있는 것처럼 Windows 장치의 응용 프로그램과 데스크톱에 원격으로 액세스할 수 있는 Microsoft 원격 액세스 솔루션이다.

 

기업 네트워크에서 널리 사용되기 때문에 사이버 범죄자들은 ​​RDP 서버에 대한 훔친 자격 증명 판매를 시작했다.

 

기업 네트워크에 대한 액세스 비용이 비싸다고 생각할 수 있지만 실제로는 위협 행위자가 원격 데스크톱 계정을 최소 3 달러, 일반적으로 70 달러 이하에 판매한다.

 

위협 행위자가 네트워크에 액세스하면 다양한 악의적인 활동을 수행할 수 있게된다.

 

이러한 활동에는 네트워크 전체에 더 확산되고, 데이터를 훔치고, POS(Point-of-Sale) 멀웨어를 설치하여 신용 카드를 수집하고, 추가 액세스를 위한 백도어를 설치하거나, ​​랜섬웨어를 배포하는 것이 포함된다.

 

네트워크를 침해하기 위해 Windows 원격 데스크톱 서비스를 사용하는 것은 너무나 만연한데 FBI는 RDP가 랜섬웨어 공격으로 이어지는 모드 네트워크 침해의 70~80%를 담당한다고 밝힌 바 있다.

 

모든 랜섬웨어 그룹이 어느 정도 RDP를 활용하지만 Dharma로 알려진 랜섬웨어 그룹은 주로 원격 데스크톱을 사용하여 기업 네트워크에 접근하는 것으로 알려져있다.

 

UAS 또는 'Ultimate Anonymity Services'는 Windows 원격 데스크톱 로그인 자격 증명, 도난된 사회 보장 번호 및 SOCKS 프록시 서버에 대한 액세스를 판매하는 마켓 플레이스이다.

 

UAS는 가장 큰 시장이며, 판매된 RDP 계정 자격 증명을 수동으로 확인하고, 고객 지원을 제공하며 손상된 컴퓨터에 대한 원격 액세스를 유지하는 방법에 대한 팁 또한 제공한다.

 

도난당한 RDP 계정을 구매할 때 위협 행위자는 특정 국가, 주, 도시, 우편 번호, ISP 또는 운영 체제에서 손상된 장치를 검색하여 필요한 특정 서버를 찾을 수 있다.

 

 

 

[그림1. UAS에서 판매되는 RDP 서버]

 

 

잠재적인 구매자는 아래에 표시된 것처럼 각 서버를 자세히 살펴보고 Windows 계정 수, 인터넷 연결 속도, 서버의 하드웨어 등을 확인할 수 있다.

 

 

 

[그림2. 공개된 RDP 서버 스펙]

 

 

서버 필터링에도 불구하고 UAS는 현재 23,706개의 RDP 자격 증명을 판매하고 있다.

 

2018년 12월부터 한 보안 연구원 그룹은 UAS 마켓 플레이스 용 데이터베이스에 대한 비밀 액세스 권한을 갖고 있으며 거의 ​​3년 동안 판매된 RDP 자격 증명을 조용히 수집하고 있다.

 

이 기간 동안 연구원들은 2018년 말부터 UAS에서 판매된 1,379,609개의 RDP 계정에 대한 IP 주소, 사용자 이름 및 암호를 수집할 수 있었다.

 

이 데이터베이스는 Advanced Intel의 Vitali Kremez와 공유되었으며 데이터베이스에 있는 회사를 나열하지는 않지만 나열된 RDP 서버는 브라질, 인도 및 미국이 포함된 63개국의 정부 기관을 포함하여 전 세계에서 온 것으로 보인다.

 

또한 의료 산업의 많은 서버와 함께 유명한 유명 기업을 위한 RDP 서버도 있다.

 

이 데이터베이스의 130만 계정을 분석했을 때 판매된 RDP 서버에서 발견된 상위 5개 로그인 이름은 'Administrator', 'Admin', 'User', 'test', 'scanner' 이다.

 

RDP 서버에서 사용하는 상위 5개 비밀번호는 '123456', '123',' P@ssw0rd', '1234', 'Password1' 이다.

 

데이터베이스에서 상위 5개 대표 국가는 미국, 중국, 브라질, 독일, 인도, 영국이다.

 

Vitali Kremez는 "마켓 플레이스는 전 세계의 수많은 유명 침해 및 랜섬웨어 사례와 연결되어 있습니다. 많은 랜섬웨어 그룹이 UAS에서 초기 액세스를 구입하는 것으로 알려져 있습니다. 이 보물 창고는 사이버 범죄 생태계에 대한 렌즈를 제공합니다. 불량한 암호, 인터넷에 노출된 RDP와 같은 실수가 보안 침해의 주요 원인 중 하나임을 알 수 있습니다." 라고 결론지었다.

 

 

 

출처

https://www.bleepingcomputer.com/news/security/logins-for-13-million-windows-rdp-servers-collected-from-hacker-market/
목록