RDP 노출을 완화하는 7가지 요령

Microsoft의 RDP(원격 데스크톱 프로토콜)는 Windows 시스템에 원격으로 연결하는 데 사용됩니다. RDP 공격에서 범죄자는 기업 네트워크를 악용하고 액세스 하기 위해 안전하지 않은 RDP 서비스를 찾습니다. 많은 조직이 RDP 서비스에 대한 부적절한 액세스를 보호하지 못하기 때문에 놀라울 정도로 쉽습니다.

지난 1년 동안 RDP는 랜섬웨어의 첫 번째 공격 벡터가 되었습니다. 공격자들은 인터넷에 노출된 RDP 서비스를 반복적으로 악용하여 여러 주요 조직에 속한 시스템과 네트워크에 랜섬웨어를 설치했습니다. 7월에 SamSam 그룹은 RDP 서버에 대한 무차별 대입 공격을 통해 랜섬웨어를 사용하여 LabCorp에 있는 약 7,000개의 Windows PC와 1,900개의 서버를 감염시켰습니다. 올해 또 다른 사건에서 Hancock Health는 범죄자들이 RDP 서비스를 실행하는 병원 서버를 통해 네트워크에 침입한 후 암호화된 민감한 데이터에 대한 액세스를 복구하기 위해 5만 달러 이상을 지불했습니다. 공격자는 RDP를 사용하여 기업 시스템에 크립토 마이닝 도구, 키로거, 백도어 및 기타 맬웨어를 설치하기도 했습니다. 많은 사람들이 RDP 서비스를 사용하여 기업 네트워크에 침투하여 권한을 높이고, 자격 증명을 수집하고, 해킹된 환경 내에서 로밍하여 속이는 스푸핑 플래그를 심어 왔습니다. 보안 자동화 및 사고 대응 기술 제공업체인 Demisto의 공동 설립자인 Rishi Bhagava는 "성공적인 RDP 공격은 큰 이익을 가져다줍니다."라고 말했습니다. "해를 입힐 수 있는 장치의 범위는 위험할 정도로 큽니다."라고 그는 말했습니다.

 

RDP, 손쉬운 표적

RDP 프로토콜은 사용하기 쉽고 손상된 시스템에 대한 완전한 제어를 제공하기 때문에 RDP를 대상으로 하는 것을 선호합니다. 또한 공격자가 합법적인 목적으로 사용되는 프로토콜을 통해 시스템에 액세스할 수 있기 때문에 방어자가 악의적인 활동을 감지하기가 더 어렵습니다. Microsoft의 RDP는 사용자가 Windows를 실행하는 다른 컴퓨터에서 원격 Windows 시스템에 연결할 수 있는 수단을 제공합니다. 원격 디스플레이 및 입력 기능을 제공하므로 실제로 장치 앞에 앉아 있는 것처럼 원격 창 시스템에 액세스 하고 작업할 수 있습니다. 예를 들어 RDP를 사용하면 집에서 Windows PC를 사용하여 직장 컴퓨터에 액세스하고 직장에서와 동일한 작업을 수행할 수 있습니다. 조직에서는 종종 원격 액세스를 활성화하여 직원이 시스템을 물리적으로 만질 필요 없이 문제를 해결할 수 있는 액세스 권한을 부여합니다. 이 기능이 유용할 수 있지만 많은 조직에서는 강력한 암호를 요구하지 않거나 네트워크 수준 인증을 활성화하지 않거나 원격 데스크톱을 통해 로그인할 수 있는 사람을 제한하는 등 원격 데스크톱에 액세스 할 수 있는 계정을 적절하게 보호하지 않습니다.. 권한 있는 계정 관리 도구 제공업체인 Thycotic의 수석 보안 과학자인 Joseph Carson은 "많은 기업에서 RDP를 기본적으로 활성화한 상태로 두는 경우가 많습니다. "보호하는 유일한 보안 제어는 일반적으로 간단한 암호입니다." 무차별 대입 방법과 레인보우 테이블을 사용하여 공격자는 이러한 암호를 해독하고 시스템에 대한 전체 액세스 권한을 얻어 민감한 데이터 절도, 악성 코드 심기, 데이터 중독 및 기타 악의적인 활동을 할 수 있습니다. Carson은 "RDP 지원 인터넷 연결 장치를 스캔하여 온라인에서 이러한 시스템을 찾는 것은 매우 쉽습니다."라고 말했습니다. 공격자는 이전에 침투한 다른 범죄자로부터 암호를 구입할 수도 있습니다. 최근 해킹된 RDP 서버에 대한 액세스는 여러 다크 웹 시장에서 3달러에 판매되고 있습니다. 보안 제공업체인 McAfee와 Flashpoint는 정부, 의료 및 기타 주요 기관에 속한 서버를 포함하여 전 세계적으로 35,000~40,000개의 RDP 서버에 액세스 하기 위한 암호를 판매하는 Ultimate Anonymity Service(미국)입니다. 매장 소식을 전해드렸습니다. FlashPoint의 수석 분석가인 Luke Rodhefer는 "추세는 여러 서버를 동시에 제어할 수 있도록 개발된 무작위 소프트웨어 및 도구를 통해 RDP 서버 타기팅을 자동화하는 것입니다. 그런 다음 위치 유형별로 검색할 수 있는 전용 서버 및 범죄 시장의 서버에 대한 액세스를 판매합니다. 전문가들은 RDP 공격에 대한 노출을 완화하기 위해 다음 조치를 구현하는 것을 고려할 것을 권장합니다.

 

1. 강력한 비밀번호를 사용하자

RDP 액세스에는 항상 강력한 사용자 이름과 암호를 사용하십시오. Sophos의 수석 연구 과학자인 Chet Wizhniwski는 길고 안전한 암호가 특히 좋습니다. 특히, 관리자 계정에 대해 2단계 인증을 활성화하고 항상 VPN 뒤에 액세스를 숨깁니다. Wizniwski는 "우리는 원격 액세스 도구를 인터넷에 직접 노출하지 않습니다. 그는 "조금 불편하긴 하지만 관리 사용자들이 귀찮아서 새벽 3시에 출근하는 것보다 VPN처럼 약간의 불편을 드려도 과하지 않다. 그렇지 않다"고 말했다. 기본 "admin/administrator"에서 로그인 자격 증명을 변경하는 것만으로도 무차별 대입 공격 속도를 크게 늦출 수 있습니다.

 

2. 역할 기반 액세스 제한을 이행하자

조직은 RDP 콘솔에 대한 관리 액세스 권한이 있는 사용자 수를 제한해야 합니다. 또한 이 액세스 권한이 있는 사용자의 권한을 제한합니다. Demisto의 Bhagava는 "세밀한 역할 기반 액세스 제어는 침입자가 침입한 후 입힐 수 있는 피해를 최소화하는 데 도움이 됩니다.

 

3. RDP에 NLA를 활성화하자

NLA(네트워크 수준 인증)는 추가 보호 계층을 제공합니다. 활성화된 경우 RDP를 통해 원격 시스템에 연결하려는 사용자는 세션을 설정하기 전에 먼저 자신의 ID를 인증해야 합니다. Antz는 "NLA가 추가 수준의 인증을 제공하기 때문에 비활성화하지 맙시다"라고 말했습니다. "활성화되어 있는지 확인합시다."

 

4. RDP 포트를 변경하자

Shodan과 같은 서비스를 사용하면 공격자가 RDP를 실행하는 인터넷에 노출된 시스템을 쉽게 찾을 수 있습니다. Malwarebytes의 CIO인 Peter Antz는 "RDP 포트를 변경하면 개발된 RDP 포트를 찾는 포트 스캐너가 이를 감지하지 못합니다."라고 말했습니다. "기본적으로 서버는 TCP 및 UDP에 대해 포트 3389에서 수신 대기합니다. do"라고 그는 말했습니다. Flashpoint의 Rodhefer는 "동시에 조직은 RDP 서버를 대상으로 하는 소프트웨어가 RDP 포트 3389와 비표준 포트를 대상으로 한다는 사실을 알고 있어야 합니다."라고 경고합니다. 따라서 네트워크 로그의 RDP 포트를 대상으로 하는 무차별 대입 활동을 주시해야 합니다.

 

5. RDP 서버를 추적하자

사용자 환경에서 RDP가 활성화된 시스템을 찾으십시오. 자동화된 위협 관리 제공업체인 Vectra의 수석 제품 관리자인 Jacob Sendowski는 "인터넷에 직접 연결된 네트워크에서 악의적이거나 승인되지 않은 RDP 서버를 확인하십시오."라고 말했습니다. RDP 서버 로그에 로그인하면 누가 액세스하는지 확인하고(Logging) 모니터링이 가능합니다.”라고 그는 말했습니다. RDP 네트워크 트래픽의 비정상적인 액세스, 비정상적인 연결 및 세션 특성을 모니터링하면 RDP 서비스의 오용을 식별하는 데 도움이 될 수 있습니다.

 

6. RDP 게이트웨이를 활용하자

RDP 게이트웨이는 일반적으로 회사 네트워크 내부에 설치됩니다. 게이트웨이의 기능은 원격 클라이언트와 로컬 장치 간에 트래픽을 안전하게 교환하는 것입니다. 조직은 승인된 사용자만 RDP를 사용하고 액세스하는 장치를 제어할 수 있습니다. Bhagava는 "RDP 게이트웨이를 사용하면 원격 사용자 액세스를 방지하거나 최소화할 수 있으며 조직에서 사용자 역할, 액세스 권한 및 인증 요구 사항에 대한 제어를 강화할 수 있습니다."라고 말했습니다. Antz는 "이러한 시스템의 RDP 세션 로그는 무슨 일이 일어나고 있는지, 배후에서 무슨 일이 일어나고 있는지 파악하려고 할 때 특히 유용할 수 있습니다."라고 덧붙입니다. "로그는 손상된 장치에 있지 않으므로 공격자가 쉽게 수정할 수 없습니다."

 

7. 초기 증상에 대응할 수 있도록 대비하자

RDP 공격을 찾아 신속하게 차단하기 위한 메커니즘이 필요합니다. 예를 들어, RDP 시스템에 대한 반복적인 로그인 시도를 감지할 수 있는 보안 도구 구현을 고려하십시오. Bhagava는 "로그인을 시도하는 사용자와 해당 IP 위치를 신속하게 인증할 수 있는 자동화된 시나리오와 악의적인 의도가 감지될 경우 액세스를 차단하는 메커니즘을 마련하십시오"라고 지적합니다. Sendowski는 "조직은 공격자가 랜섬웨어 및 크립토 마이너 설치와 같은 기회주의적 공격뿐만 아니라 표적 공격의 일부로 RDP 인프라를 표적으로 삼을 것임을 알고 있어야 합니다."라고 말했습니다. "모든 사이버 공격자를 위한 원격 액세스를 위한 훌륭한 도구입니다."