해커의 거의 모든 취약점을 악용하는 능력은 법 집행과 중소기업에게 가장 큰 과제 중 하나입니다. 연방 수사 국 (Federal Bureau of Investigation)은 최근 기업 및 다른 사람들에게 또 다른 위협에 대한 경고를 발표했습니다. 해커들은 RDP (원격 데스크톱 프로토콜)를 악용하여 더 많은 빈도로 악성 활동을 수행하기 시작했습니다.
FBI에 따르면 2016 년 중반에서 후반에 이르기까지 공격 벡터로 원격 데스크톱 프로토콜을 사용하는 비율이 증가했습니다. RDP 공격의 증가는 부분적으로 원격 데스크톱 프로토콜 액세스를 판매하는 어두운 시장에 의해 주도되었습니다. 이러한 나쁜 행위자는 인터넷을 통해 취약한 RDP 세션을 식별하고 악용하는 방법을 발견했습니다.
$config[code] not foundRDP를 사용하여 집이나 사무실 컴퓨터를 원격으로 제어하는 중소 기업의 경우 강력한 암호를 구현하고 정기적으로 변경하는 등 더 많은 경계가 필요합니다.
FBI는 발표에서 "RDP 프로토콜을 사용하는 공격은 사용자 입력을 요구하지 않으므로 침입을 탐지하기가 어렵습니다."
원격 데스크톱 프로토콜이란 무엇입니까?
원격 액세스 및 관리를 위해 설계된 RDP는 클라이언트 사용자, 장치, 가상 데스크톱 및 원격 데스크톱 프로토콜 터미널 서버 간의 응용 프로그램 데이터 전송을 단순화하는 Microsoft의 방법입니다.
간단히 말해서 RDP를 사용하면 컴퓨터를 원격으로 제어하여 리소스를 관리하고 데이터에 액세스 할 수 있습니다. 이 기능은 클라우드 컴퓨팅을 사용하지 않고 자신의 컴퓨터 또는 구내에 설치된 서버에 의존하는 소규모 기업에게 중요합니다.
RDP가 보안 문제를 처음으로 제기 한 것은 아닙니다. 과거에는 초기 버전이 중간자 공격에 취약 해져 공격자에게 무단 액세스를 허용했습니다.
2002 년에서 2017 년 사이에 Microsoft는 원격 데스크톱 프로토콜과 관련된 24 가지 주요 취약점을 수정 한 업데이트를 발표했습니다. 새 버전은 더 안전하지만 FBI 발표에 따르면 해커들은 여전히이를 공격의 벡터로 사용하고 있습니다.
원격 데스크톱 프로토콜 해킹: 취약점
FBI는 몇 가지 취약점을 발견했습니다. 그러나 모두 취약한 암호로 시작합니다.
기관은 사전 단어를 사용하고 대문자와 소문자, 숫자 및 특수 문자의 조합을 포함시키지 않으면 암호가 무차별 공격과 사전 공격에 취약하다는 의견을 밝혔습니다.
자격 증명 보안 지원 공급자 프로토콜 (CredSSP)을 사용하는 구형 원격 데스크톱 프로토콜은 또한 취약점을 나타냅니다. CredSSP는 원격 인증을 위해 클라이언트의 사용자 자격 증명을 대상 서버에 위임하는 응용 프로그램입니다. 구식 RDP를 사용하면 중간자 공격을 잠재적으로 시작할 수 있습니다.
다른 취약점으로는 기본 원격 데스크톱 프로토콜 포트 (TCP 3389)에 무제한 액세스를 허용하고 무제한 로그인 시도를 허용하는 것 등이 있습니다.
원격 데스크톱 프로토콜 해킹: 위협
다음은 FBI가 열거 한 위협의 몇 가지 예입니다.
CrySiS Ransomware: CrySIS ransomware는 무단 원격 액세스를 얻기 위해 무차별 공격과 사전 공격을 모두 사용하여 개방형 RDP 포트를 통해 주로 미국 기업을 대상으로합니다. 그런 다음 CrySiS는 장치에 ransomware를 드롭하고 실행합니다. 위협 행위자는 암호 해독 키와 교환하여 Bitcoin에서 지불을 요구합니다.
CryptON Ransomware: CryptON ransomware는 무차별 대입 공격을 사용하여 RDP 세션에 대한 액세스 권한을 얻은 다음 위협 행위자가 손상된 시스템에서 악성 프로그램을 수동으로 실행할 수있게합니다. 사이버 배우는 일반적으로 암호 해독 지시와 교환하여 Bitcoin을 요청합니다.
삼삼 랜서웨어: Samsam ransomware는 RDP 기반 컴퓨터를 공격하는 것을 포함하여 광범위한 공격을 통해 무차별 공격을 수행합니다. 2014 년 7 월 Samsam의 위협 행위자는 RDP 로그인 자격 증명에 대한 무차별 공격을 사용하여 의료 회사에 침투했습니다. ransomware는 탐지 전에 수천 대의 기계를 암호화 할 수있었습니다.
다크 웹 교환: 위협 행위자는 다크 웹 (Dark Web)에서 도난당한 RDP 로그인 자격 증명을 사고 파는 행위를합니다. 자격 증명의 값은 손상된 시스템의 위치, 세션에서 사용되는 소프트웨어 및 도난당한 리소스의 유용성을 높이는 추가 특성에 의해 결정됩니다.
원격 데스크톱 프로토콜 해킹: 어떻게 자신을 보호 할 수 있습니까?
원격으로 무언가에 액세스하려고 할 때 위험이 있음을 기억하는 것이 중요합니다. 또한 원격 데스크톱 프로토콜은 시스템을 완벽하게 제어하기 때문에 액세스 권한이있는 사람을 규제, 모니터링 및 관리해야합니다.
FBI와 미 국토 안보부는 다음과 같은 모범 사례를 구현함으로써 RDP 기반 공격에 대비할 수있는 기회가 더 많다고 말합니다.
- 강력한 암호 및 계정 잠금 정책을 사용하여 무차별 대입 공격으로부터 방어하십시오.
- 이중 인증을 사용하십시오.
- 시스템 및 소프트웨어 업데이트를 정기적으로 적용하십시오.
- 강력한 복구 시스템으로 안정적인 백업 전략을 수립하십시오.
- 로깅을 활성화하고 원격 데스크톱 프로토콜 로그인을 캡처하는 로깅 메커니즘을 보장합니다. 로그를 최소 90 일 동안 보관하십시오. 동시에 액세스 권한이있는 사용자 만 로그인을 사용하는지 확인하려면 로그인을 검토하십시오.
여기에서 나머지 권장 사항을 살펴볼 수 있습니다.
데이터 유출의 주요 뉴스는 정기적으로 뉴스에 나와 있으며, 무제한 리소스가있는 대규모 조직에서는 이러한 일이 발생하고 있습니다. 중소 기업을 모든 사이버 위협으로부터 보호하는 것은 불가능한 것처럼 보일 수 있지만, 모든 당사자에 대해 엄격한 통제를 통해 올바른 프로토콜을 갖추고 있다면 위험과 책임을 최소화 할 수 있습니다.
이미지: FBI
