NEWS

HOME

SECURITY NEWS

[보안뉴스] 어쩌면 블루킵보다 더 심각한 문제? 골드브루트 주의보
  • 관리자
  • |
  • 2686
  • |
  • 2019-06-14 14:27:30

블루킵과 마찬가지로 RDP와 관련된 공격...공격 난이도는 훨씬 낮아

현재도 진행 중인 골드브루트 공격...봇넷의 규모는 시시각각 커지는 중

[보안뉴스 문가용 기자] 최근 발견된 취약점인 블루킵(BlueKeep)이 ‘메가웜(mega worm)’이라는 별명을 얻을 정도로 화제가 되고 있다. 그런데 최근 해커들의 웹 공격 활동을 분석해보면, 정말 경계해야 할 것은 블루킵이 아니라 골드브루트(GoldBrute)라고 한 보안 전문가가 경고했다. 골드부르트는 자바의 클래스 이름이기도 하다.

[이미지 = iclickart]


지난 며칠 동안 윈도우의 원격 데스크톱 프로토콜(RDP)을 통한 연결을 방해하려는 브루트포스 공격이 이어졌다고 보안 업체 모퍼스 랩스(Morphus Labs)의 수석 연구원인 레나토 마리노(Renato Marinho)가 밝혔다. 이 공격은 이미 150만 대의 윈도우 시스템을 침해했으며 아직도 이어지고 있다. 이 브루트포스 공격자들은 인터넷을 스캔해 RDP가 노출된 시스템을 적극 찾고 있으며, 발견한 후에는 디폴트 비밀번호나 자신들이 이미 확보한 비밀번호를 대입하면서 시스템에 접근하고 있다고 한다.

마리노가 이러한 활동을 발견한 건 지난주부터라고 한다. “최초 발견 이후 6시간이 지났을 무렵, C&C 서버에는 IP 주소가 210만개 저장되어 있었습니다. 이 중 160만 개 정도가 고유한 주소였고, 나머지는 중복되는 것이었습니다. 취약한 RDP에 브루트포스 공격을 감행함으로써 침해된 시스템들은 봇넷에 편입되고 있었고, 이 봇넷은 빠르게 덩치를 불려갔습니다.”

이 현상은 굉장히 위험한 사태로 번질 수 있다고 마리노는 경고했다. RDP는 기술 지원과 IT 관리를 목적으로 널리 사용되는 것이기 때문이다. “원격에서 장비를 다뤄야 할 때는 주로 RDP를 사용하죠. 먼 곳으로 출장 간 직원이나 집에서 근무하는 직원이 사용하기도 하고요. 공격자가 이런 RDP를 통해 접근하는 데 성공한다면, 윈도우 데스크톱에 접근해서 정상 사용자가 할 수 있는 거의 모든 일들을 할 수 있게 됩니다. 회사 네트워크에 접속하고, 멀웨어를 심고, 정보를 훔치고, CPU를 악의적인 목적으로 사용하는 게 전부 가능해진다는 것입니다.”

이렇게 취약한 RDP에 브루트포스 공격을 감행해 봇넷을 늘려가는 공격 - 심지어 지금도 진행 중인 공격 - 에 붙은 이름이 골드브루트다. 이 봇넷의 이름도 골드브루트라고 한다. 이 공격을 통제하는 서버는 하나의 C&C 서버로, IP 주소를 추적해보면 뉴저지에 있는 한 장소가 나온다고 한다. 

마리노에 의하면 이 C&C 서버는 봇들과 데이터를 주고받는데, 이 때 AES로 암호화 된 웹소켓(WebSocket) 연결 방식을 사용한다고 한다. 포트 8333이 사용되기도 한다. 감염된 시스템은 제일 먼저 봇 코드(bot code)라는 걸 다운로드 받는다. 봇 코드는 80MB짜리 대형 패키지로 자바 런타임(Java Runtime)을 포함하고 있다고 한다. 봇 코드는 호스트에 설치된 이후 무작위로 IP 주소들을 스캔하기 시작한다. 감염 가능한 호스트를 찾아내고는 C&C에 그 사실을 알린다.

“이런 식으로 C&C 서버에 알린 호스트의 수가 80개가 되면, C&C 서버에서 새로운 명령이 떨어집니다. 브루트포스 공격을 하라는 것이죠. 80개가 될 때마다 새로운 표적들이 정해지기도 합니다. 그러면 모든 봇들이 브루트포스 공격에 참여하는데, 봇 하나당 한 개의 사용자 이름과 비밀번호를 대입합니다. 이렇게 하는 이유는 무작위 대입 시 발생하는 트래픽을 줄임으로써 탐지에 걸리지 않게 하기 위해서입니다.”

그러면서 마리노는 최근 화제가 되고 있는 블루킵 취약점을 언급하기도 했다. “CVE-2019-0708, 혹은 블루킵은 원격 코드 실행을 가능케 해주는 취약점으로, 이미 익스플로잇이 개발된 상태입니다. 다행히 보안 전문가들 편에서 만들고 공개하지 않고 있지요. 이 블루킵은 기업 네트워크를 위협할 차기 1순위 위험 요소로 여겨지고 있습니다. 사용자의 개입 없이도 퍼져갈 수 있다는 게 그 이유입니다.”

하지만 보안 업체 듀오 시큐리티(Duo Security)는 “만약 원격 데스크톱 프로토콜을 통해 시스템에 침투하는 게 목표라면, 블루킵보다 골드브루트가 훨씬 쉽다”고 주장했다. “게다가 현재 인터넷에서 벌어지고 있는 스캐닝 행위들이 대부분 블루킵보다는 골드브루트를 위한 것이기도 합니다.”

그러면서 듀오 시큐리티 측은 “RDP를 불필요하게 인터넷에 노출시키지 않아야 한다”고 방어법을 설명했다. “RDP를 반드시 사용해야 한다면, VPN과 같이 중간에 방어를 어느 정도 담당해줄 수 있는 뭔가를 삽입시키는 것도 좋습니다. 또한 RDP와 관련한 사용법을 사용자들에게 알려주는 것도 큰 도움이 됩니다.”

물론 골드브루트의 발견으로 블루킵에 대한 위험성이 낮아지는 건 전혀 아니다. 블루킵 취약점은 MS가 윈도우 XP와 윈도우 7에 대한 패치까지 발표했을 정도로 심각한 문제가 맞다. “아직도 수백만 대의 시스템이 블루킵 취약점에 노출되어 있습니다. 반드시 제일 먼저 패치를 해야 하는 것이 맞습니다. 대신 골드브루트를 막기 위해서 RDP 관리도 병행해야 한다는 것이죠.”

3줄 요약
1. 블루킵 공격에 버금갈 정도로 위험한 새로운 공격, 골드브루트.
2. 취약한 RDP 검색해 쉬운 크리덴셜 대입해 시스템 장악하는 공격. 블루킵 익스플로잇 보다 훨씬 쉬움.
3. 현재도 골드브루트는 진행되고 있는 중. RDP를 인터넷에 불필요하게 노출시키지 말고, VPN 사용하면 방어 가능.

[국제부 문가용 기자(globoan@boannews.com)] 

 

[출처: 보안뉴스(https://www.boannews.com), https://www.boannews.com/media/view.asp?idx=80248

이전글 [보안뉴스] IT 분야 종사자들이 지금부터 공부해야 하는 것들
다음글 [보안뉴스] 수상하도록 작은 ISO 파일 통해 퍼지고 있는 로키봇 멀웨어
비밀번호 입력
비밀번호
확인
비밀번호 입력
비밀번호
확인
TOP