RDP를 이용하는 공격 기법 및 사례 분석
Contents
개요
이전 블로그 “다양한 원격 제어 도구들을 악용하는 공격자들”[1] 에서는 공격자들이 감염 시스템에 대한 제어를 획득하기 위해 시스템 관리 목적으로 사용되는 다양한 원격 제어 도구들을 악용하는 사례들을 다루었다. 여기에서는 윈도우 운영체제에서 기본적으로 제공하는 RDP(Remote Desktop Protocol)을 이용하는 사례들을 다룬다. 실제 대부분의 공격에서는 RDP가 자주 사용되는데 이는 추가적인 설치 과정이 필요한 원격 제어 도구들에 비해 초기 침투 과정이나 측면 이동에 유용하기 때문이다.
윈도우 운영체제는 원격 데스크탑 서비스(Remote Desktop Services)라고 하는 서비스를 지원하기 때문에 추가적인 원격 제어 도구들을 설치하는 과정 없이 이를 사용할 수 있다. 물론 원격 데스크탑 서비스가 활성화되어 있다는 가정 하에 가능하며 만약 그렇지 않은 경우에는 추가적인 작업을 통해 활성화가 가능하다.
초기 침투 관점에서 보자면 공격자들은 공격 대상 시스템에 대한 자격 증명 정보를 획득한 경우 RDP를 이용해 접속하여 제어를 획득할 수 있으며, 측면 이동 과정에서도 동일하기 때문에 수집한 내부 네트워크 시스템의 자격 증명 정보를 이용해 내부 전파하는 목적에서도 사용 가능하다. 물론 이러한 방식 외에도 지속성 유지를 위해 감염 시스템에 공격자가 사용할 계정을 추가하는 …
이전 블로그 “다양한 원격 제어 도구들을 악용하는 공격자들”[1] 에서는 공격자들이 감염 시스템에 대한 제어를 획득하기 위해 시스템 관리 목적으로 사용되는 다양한 원격 제어 도구들을 악용하는 사례들을 다루었다. 여기에서는 윈도우 운영체제에서 기본적으로 제공하는 RDP(Remote Desktop Protocol)을 이용하는 사례들을 다룬다. 실제 대부분의 공격에서는 RDP가 자주 사용되는데 이는 추가적인 설치 과정이 필요한 원격 제어 도구들에 비해 초기 침투 과정이나 측면 이동에 유용하기 때문이다.
윈도우 운영체제는 원격 데스크탑 서비스(Remote Desktop Services)라고 하는 서비스를 지원하기 때문에 추가적인 원격 제어 도구들을 설치하는 과정 없이 이를 사용할 수 있다. 물론 원격 데스크탑 서비스가 활성화되어 있다는 가정 하에 가능하며 만약 그렇지 않은 경우에는 추가적인 작업을 통해 활성화가 가능하다.
초기 침투 관점에서 보자면 공격자들은 공격 대상 시스템에 대한 자격 증명 정보를 획득한 경우 RDP를 이용해 접속하여 제어를 획득할 수 있으며, 측면 이동 과정에서도 동일하기 때문에 수집한 내부 네트워크 시스템의 자격 증명 정보를 이용해 내부 전파하는 목적에서도 사용 가능하다. 물론 이러한 방식 외에도 지속성 유지를 위해 감염 시스템에 공격자가 사용할 계정을 추가하는 …
IoC
185bc3037314ec2dbd6591ad72cf08b4
81ee91290a78d2d38b47a7ae25ec717f
b500a8ffd4907a1dfda985683f1de1df
http://80.66.76.22/servicem.exe
81ee91290a78d2d38b47a7ae25ec717f
b500a8ffd4907a1dfda985683f1de1df
http://80.66.76.22/servicem.exe