청호PENTEST - Professional Penetration Testing Company

Select Language
조회 수 : 6
2019.06.11 (08:47:49)
블루킵과 마찬가지로 RDP와 관련된 공격...공격 난이도는 훨씬 낮아
현재도 진행 중인 골드브루트 공격...봇넷의 규모는 시시각각 커지는 중


최근 발견된 취약점인 블루킵(BlueKeep)이 ‘메가웜(mega worm)’이라는 별명을 얻을 정도로 화제가 되고 있다. 그런데 최근 해커들의 웹 공격 활동을 분석해보면, 정말 경계해야 할 것은 블루킵이 아니라 골드브루트(GoldBrute)라고 한 보안 전문가가 경고했다. 골드부르트는 자바의 클래스 이름이기도 하다.

[이미지 = iclickart]


지 난 며칠 동안 윈도우의 원격 데스크톱 프로토콜(RDP)을 통한 연결을 방해하려는 브루트포스 공격이 이어졌다고 보안 업체 모퍼스 랩스(Morphus Labs)의 수석 연구원인 레나토 마리노(Renato Marinho)가 밝혔다. 이 공격은 이미 150만 대의 윈도우 시스템을 침해했으며 아직도 이어지고 있다. 이 브루트포스 공격자들은 인터넷을 스캔해 RDP가 노출된 시스템을 적극 찾고 있으며, 발견한 후에는 디폴트 비밀번호나 자신들이 이미 확보한 비밀번호를 대입하면서 시스템에 접근하고 있다고 한다.

마 리노가 이러한 활동을 발견한 건 지난주부터라고 한다. “최초 발견 이후 6시간이 지났을 무렵, C&C 서버에는 IP 주소가 210만개 저장되어 있었습니다. 이 중 160만 개 정도가 고유한 주소였고, 나머지는 중복되는 것이었습니다. 취약한 RDP에 브루트포스 공격을 감행함으로써 침해된 시스템들은 봇넷에 편입되고 있었고, 이 봇넷은 빠르게 덩치를 불려갔습니다.”

이 현상은 굉장히 위험한 사태로 번질 수 있다고 마리노는 경고했다. RDP는 기술 지원과 IT 관리를 목적으로 널리 사용되는 것이기 때문이다. “원격에서 장비를 다뤄야 할 때는 주로 RDP를 사용하죠. 먼 곳으로 출장 간 직원이나 집에서 근무하는 직원이 사용하기도 하고요. 공격자가 이런 RDP를 통해 접근하는 데 성공한다면, 윈도우 데스크톱에 접근해서 정상 사용자가 할 수 있는 거의 모든 일들을 할 수 있게 됩니다. 회사 네트워크에 접속하고, 멀웨어를 심고, 정보를 훔치고, CPU를 악의적인 목적으로 사용하는 게 전부 가능해진다는 것입니다.”

이렇게 취약한 RDP에 브루트포스 공격을 감행해 봇넷을 늘려가는 공격 - 심지어 지금도 진행 중인 공격 - 에 붙은 이름이 골드브루트다. 이 봇넷의 이름도 골드브루트라고 한다. 이 공격을 통제하는 서버는 하나의 C&C 서버로, IP 주소를 추적해보면 뉴저지에 있는 한 장소가 나온다고 한다.

마리노에 의하면 이 C&C 서버는 봇들과 데이터를 주고받는데, 이 때 AES로 암호화 된 웹소켓(WebSocket) 연결 방식을 사용한다고 한다. 포트 8333이 사용되기도 한다. 감염된 시스템은 제일 먼저 봇 코드(bot code)라는 걸 다운로드 받는다. 봇 코드는 80MB짜리 대형 패키지로 자바 런타임(Java Runtime)을 포함하고 있다고 한다. 봇 코드는 호스트에 설치된 이후 무작위로 IP 주소들을 스캔하기 시작한다. 감염 가능한 호스트를 찾아내고는 C&C에 그 사실을 알린다.

“이런 식으로 C&C 서버에 알린 호스트의 수가 80개가 되면, C&C 서버에서 새로운 명령이 떨어집니다. 브루트포스 공격을 하라는 것이죠. 80개가 될 때마다 새로운 표적들이 정해지기도 합니다. 그러면 모든 봇들이 브루트포스 공격에 참여하는데, 봇 하나당 한 개의 사용자 이름과 비밀번호를 대입합니다. 이렇게 하는 이유는 무작위 대입 시 발생하는 트래픽을 줄임으로써 탐지에 걸리지 않게 하기 위해서입니다.”

그러면서 마리노는 최근 화제가 되고 있는 블루킵 취약점을 언급하기도 했다. “CVE-2019-0708, 혹은 블루킵은 원격 코드 실행을 가능케 해주는 취약점으로, 이미 익스플로잇이 개발된 상태입니다. 다행히 보안 전문가들 편에서 만들고 공개하지 않고 있지요. 이 블루킵은 기업 네트워크를 위협할 차기 1순위 위험 요소로 여겨지고 있습니다. 사용자의 개입 없이도 퍼져갈 수 있다는 게 그 이유입니다.”

하지만 보안 업체 듀오 시큐리티(Duo Security)는 “만약 원격 데스크톱 프로토콜을 통해 시스템에 침투하는 게 목표라면, 블루킵보다 골드브루트가 훨씬 쉽다”고 주장했다. “게다가 현재 인터넷에서 벌어지고 있는 스캐닝 행위들이 대부분 블루킵보다는 골드브루트를 위한 것이기도 합니다.”

그 러면서 듀오 시큐리티 측은 “RDP를 불필요하게 인터넷에 노출시키지 않아야 한다”고 방어법을 설명했다. “RDP를 반드시 사용해야 한다면, VPN과 같이 중간에 방어를 어느 정도 담당해줄 수 있는 뭔가를 삽입시키는 것도 좋습니다. 또한 RDP와 관련한 사용법을 사용자들에게 알려주는 것도 큰 도움이 됩니다.”

물론 골드브루트의 발견으로 블루킵에 대한 위험성이 낮아지는 건 전혀 아니다. 블루킵 취약점은 MS가 윈도우 XP와 윈도우 7에 대한 패치까지 발표했을 정도로 심각한 문제가 맞다. “아직도 수백만 대의 시스템이 블루킵 취약점에 노출되어 있습니다. 반드시 제일 먼저 패치를 해야 하는 것이 맞습니다. 대신 골드브루트를 막기 위해서 RDP 관리도 병행해야 한다는 것이죠.”
번호 제목 닉네임 조회 등록일
8086 어벤저스 엔드게임 토렌트 파일로 위장한 악성코드 유포중…주의
[레벨:30]관리자
2 2019-06-14
8085 심크립트 취약점 발견…단 시간에 윈도우 서버 다운시킬 수 있어 주의
[레벨:30]관리자
1 2019-06-14
8084 메가스터디가 또! 외부 해킹으로 회원정보 유출
[레벨:30]관리자
1 2019-06-14
8083 로우해머 공격의 새로운 변형 ’램블리드’…장치에서 정보 탈취 가능해
[레벨:30]관리자
2 2019-06-13
8082 웹 세션 보호하는 HTTPS 기술과 자물쇠 아이콘, 공격자들도 활용
[레벨:30]관리자
3 2019-06-13
8081 메모리 위협하는 새로운 부채널 공격법, 램블리드 주의
[레벨:30]관리자
2 2019-06-13
8080 리눅스 앱에서 임의 OS 명령 실행하게 해주는 취약점 발견
[레벨:30]관리자
2 2019-06-13
8079 ‘플래티넘’ 사이버 공격 조직, 스테가노그라피 기법 사용해 오랜 시간 은닉...정보탈취
[레벨:30]관리자
3 2019-06-12
8078 입력하는 대로 정보가 샤샤삭, 키 로거 공격
[레벨:30]관리자
3 2019-06-12
8077 '비정상적인 로그인 알림' 위장 메일 주의…악성코드 감염 위험
[레벨:30]관리자
6 2019-06-11
8076 中 “5월 바이러스 감염 컴퓨터 약 80만대...보안사건 2,300건”
[레벨:30]관리자
6 2019-06-11
Selected 어쩌면 블루킵보다 더 심각한 문제? 골드브루트 주의보
[레벨:30]관리자
6 2019-06-11
8074 정체불명의 공격조직 코니, 김수키와의 연관성 밝혀지나
[레벨:30]관리자
5 2019-06-11
8073 월요일을 여는 ‘소디노키비 랜섬웨어’ 공격 3종 세트
[레벨:30]관리자
6 2019-06-10
8072 국세청 사칭 메일 유포...전자세금계산서 받으면 꼭 확인하세요!
[레벨:30]관리자
6 2019-06-10
8071 기업을 표적으로 한 Clop 랜섬웨어 공격 주의
[레벨:30]관리자
9 2019-06-10
8070 새 리눅스용 멀웨어 히든와습, 현존 백신 탐지율 0%
[레벨:30]관리자
7 2019-06-10
8069 2조 3천억 번 갠드크랩 랜섬웨어 제작자, 이젠 먹튀?
[레벨:30]관리자
6 2019-06-10
8068 남아공 라우터 노리는 봇넷 공격, 한 달도 안 돼 5,043% 증가
[레벨:30]관리자
6 2019-06-10
8067 러시아 해커의 파워셸 분석했더니...회피, 맞춤형, 메모리 실행
[레벨:30]관리자
6 2019-06-10
Tag List

서비스 링크

X
Login

브라우저를 닫더라도 로그인이 계속 유지될 수 있습니다. 로그인 유지 기능을 사용할 경우 다음 접속부터는 로그인을 하실 필요가 없습니다. 단, 게임방, 학교 등 공공장소에서 이용 시 개인정보가 유출될 수 있으니 꼭 로그아웃을 해주세요.

아이디가 없으신 분은

회원가입 후 이용하실 수 있습니다.

X