원격 데스크톱 서비스(Remote Desktop Services)는 다른 PC를 원격으로 제어할 수 있는 기능을 뜻하며 윈도우 운영체제에서는 RDP(Remote Desktop Protocol)를 이용해 이러한 서비스를 기본적으로 제공한다. 이에 따라 제어 대상 시스템이 윈도우를 사용한다면 추가적인 원격 제어 도구들을 설치하는 과정 없이 RDP를 이용해 원격 대상에 대한 제어가 가능하다.
원격 제어를 위해서는 대상 시스템에 대한 자격 증명 정보를 알아야 하며 이를 이용해 로그온 하는 과정이 필요하다. 이에 따라 RDP가 활성화되어 있는 시스템이 외부에 공개되어 있을 경우 공격자들은 브루트 포싱 공격(또는 사전 공격)을 수행해 자격 증명 정보를 알아낼 수 있다. 만약 사용자가 부적절한 계정 정보를 사용하고 있다면 공격자는 브루트 포싱 공격을 통해 시스템의 자격 증명 정보를 획득할 수 있다.
RDP 서비스를 대상으로 하는 공격은 과거부터 현재까지 지속적으로 이루어지고 있다. 해당 공격으로 획득한 자격 증명 정보를 이용해 직접 공격을 수행하는 공격자도 있지만 획득한 다수의 자격 증명 정보들을 다크웹에 판매하는 사례도 존재한다. 이렇게 판매되는 취약한 RDP 시스템의 자격 증명 정보는 다양한 공격자들이 구매할 수 있다. 이를 구매한 공격자는 획득한 자격 증명 정보로 공격 대상 시스템에 로그온하여 정보를 탈취하거나 랜섬웨어를 설치해 금전적으로 수익을 얻고 있다.
RDP는 초기 침투 관점에서도 중요한 수단 중 하나이지만 측면 이동 과정에서도 사용 가능하다. 특정 네트워크의 시스템을 장악한 이후 저장된 여러 정보들을 수집하고 이 과정에서 찾아낸 자격 증명 정보를 내부 네트워크에 존재하는 다른 시스템을 장악하는 데 사용할 수 있다.
이러한 점들 때문에 RDP는 다양한 공격들에서 활용되고 있으며 여기에서는 랜섬웨어 공격자들의 공격 사례들을 정리한다.
1. 랜섬웨어 공격 사례
랜섬웨어 공격자들은 직접 획득하거나 다크웹에서 구매한 자격 증명 정보를 이용해 감염 시스템에 로그인한다. 로그인 이후에는 미미카츠 같은 도구들을 이용해 감염 시스템 및 내부 네트워크 관리자의 자격 증명 정보를 획득하며, NirSoft 사의 WebBrowserPassView, MailPassView 등 애플리케이션에 저장된 계정 정보를 획득할 수도 있다.
또한 내부 네트워크에 다른 시스템이 존재할 경우 측면 이동 공격으로 해당 시스템을 장악하는 과정에서 포트 스캐너를 사용하는 경우도 많다. 공격자는 이외에도 DefenderControl, Process Hacker와 같은 도구들을 이용해 감염 시스템에 설치된 AntiVirus를 비활성화하는 경향이 있다.
이러한 과정이 끝나면 최종적으로 랜섬웨어를 설치한다. 만약 내부 네트워크로 측면 이동이 성공한다면 공격 대상 시스템 외에 네트워크의 다른 시스템들도 모두 암호화 대상이 된다. 이러한 방식으로 공격을 통해 설치되는 랜섬웨어들로는 GlobeImposter, MedusaLocker [1], Hakuna matata [2], Venus, Crysis [3], Lockis [4] 등이 있다.
AntiVirus만 설치된 시스템에서 이러한 공격을 막는 것은 여러 가지 한계가 존재한다. 예를 들어 공격자는 처음부터 AntiVirus를 삭제하거나 DefenderControl, Process Hacker와 같은 도구들을 이용해 비활성화할 수 있다. 만약 이러한 시도가 실패하더라도 일반적인 사용자들이 정상적인 목적으로 사용 가능한 도구들을 사용하기 때문에 이러한 도구들을 AntiVirus 제품으로 탐지하고 차단하는 데는 한계가 있다.
AhnLab EDR (Endpoint Detection and Reponse)은 국내 유일의 행위 기반 분석 엔진을 기반으로 엔드포인트 영역에 대해 강력한 위협 모니터링과 분석, 대응 역량을 제공하는 차세대 엔드포인트 위협 탐지 및 대응 솔루션이다. AhnLab EDR은 의심스러운 행위에 관한 유형별 정보를 상시 수집해 탐지 및 분석, 대응 관점에서 사용자가 위협을 정확하게 인식할 수 있는 기능을 제공하며 이를 통해 종합적인 분석을 통해 원인 파악과 적절한 대응, 재발 방지 프로세스를 수립할 수 있다.
AhnLab EDR은 최초 침투 단계인 RDP 브루트 포싱 공격부터 정보 수집 등 다양한 도구들을 이용한 공격 과정을 탐지하고 분석하여 조직의 관리자가 위협을 대응할 수 있도록 지원한다. 여기에서는 AhnLab EDR을 이용해 각각의 공격 과정을 분석한다.
2. RDP 브루트 포싱 및 사전 공격 단계
윈도우 운영체제는 정책을 통해 로그인 실패 이벤트를 모니터링할 수 있다. 이에 따라 RDP 브루트 포싱 공격이 이루어질 경우 다수의 실패 이벤트(윈도우 보안 이벤트 ID : 4625)를 시스템에서 확인할 수 있다. 다음 사례는 실제로 Hakuna matata 랜섬웨어에 감염된 시스템이 랜섬웨어 공격이 이루어진 이후에도 지속적으로 Brute Forcing 공격을 받았던 로그이다.
AhnLab EDR에서는 다수의 로그인 실패 이벤트가 발생할 경우 이를 위협으로 탐지하여 관리자가 이를 인지할 수 있도록 도와준다.
관리자는 해당 로그가 정상적인 인증 과정에서 발생한 것인지를 인증 로그를 통해 확인할 수 있다. 예를 들어 발생한 다수의 로그인 실패 로그들을 확인해 보면 동일한 사용자 계정이 아닌 흔한 사용자 계정들이다. 일반적으로 공격자는 자주 사용되는 사용자 계정 및 비밀번호를 이용해 사전 공격을 수행한다.
3. 다양한 도구들을 이용한 공격 단계
자격 증명 정보를 획득한 공격자는 RDP를 통해 공격 대상 시스템에 로그인한다. 로그인 이후에는 포트 스캐닝, 정보 수집 및 보안 제품 비활성화 등 다양한 목적으로 여러 도구들을 설치한다. 여기에서는 이러한 도구들을 설치하는 로그와 Ahnlab EDR 제품을 통해 이를 탐지하는 사례를 정리한다.
3.1. 계정 정보 탈취
감염 시스템에 저장된 계정 정보를 수집하는 과정에서는 NirSoft 사의 도구들이 자주 사용된다. WebBrowserPassView는 크롬, 파이어폭스, IE 등의 웹 브라우저에 저장된 계정 정보를 추출해 보여주는 도구이며 Mail PassView는 아웃룩, 썬더버드와 같은 이메일 클라이언트에 저장된 계정 정보를 추출해 보여준다. 이외에도 VNCPassView, WirelessKeyView 등 감염 시스템에 저장되어 있는 다양한 계정 정보들을 추출해 보여줄 수 있다.
3.2. ProcDump, 미미카츠
미미카츠는 윈도우 시스템에 저장된 자격 증명 정보를 추출하는 기능을 갖는 도구이다. 자격 증명 정보는 다양한 형태로 남아있을 수 있으며 이에 따라 미미카츠도 자격 증명 정보를 추출하기 위한 다양한 형태들을 지원한다. 물론 가장 대표적인 방식은 LSASS 프로세스의 메모리에 저장된 자격 증명 정보를 추출하여 이를 복호화 하는 방식이다.
하지만 이러한 방식은 보안 제품들을 통해 탐지 및 차단될 가능성이 높으며 이를 우회하기 위한 목적으로 공격자들은 다양한 방식을 고안해 내고 있다. 대표적인 예로 미미카츠 대신 Sysinternals 사의 ProcDump 도구를 이용해 LSASS 프로세스의 메모리를 덤프하고 이러한 과정을 통해 생성된 메모리 덤프에서 자격 증명 정보를 추출하고 복호화 하는 방식이 있다.
ProcDump는 정상적인 목적으로 사용 가능한 도구이기 때문에 AntiVirus를 이용해 이러한 행위를 탐지하는 것에는 한계가 존재한다. AhnLab EDR은 공격자가 ProcDump 도구를 이용하여 LSASS 프로세스의 메모리를 덤프하는 행위에 대해서도 탐지가 가능하다.
공격자는 이후 미미카츠(Mimikatz)를 이용해 LSASS 프로세스의 메모리 덤프를 분석하여 시스템에 저장된 자격 증명 정보를 탈취할 수 있다. 일반적으로 미미카츠는 도구보다는 악성코드에 가깝지만 공격자가 탐지를 우회하기 위해 패킹 또는 난독화하여 AntiVirus의 파일 기반 진단으로는 탐지할 수 없도록 제작하는 경우가 있다. AhnLab EDR은 이러한 경우라고 하더라도 미미카츠 만의 특징을 기반으로 탐지가 가능하다.
3.3. 보안 제품 비활성화
이러한 도구들을 악용하는 공격들을 AntiVirus 같은 보안 제품으로 모두 탐지하는 데는 한계가 있을 것이다. 또한 이러한 공격들을 성공했다고 하더라도 공격자의 최종적인 목적은 랜섬웨어의 설치인데 랜섬웨어의 특성상 AntiVirus 제품으로 쉽게 탐지 및 차단이 가능하다. 공격자들은 이러한 이유 때문에 공격 과정에서 AntiVirus 같은 보안 제품들을 제거하거나 비활성화하기도 한다.
지금까지 다룬 랜섬웨어 공격자들은 디펜더 컨트롤이라는 도구를 자주 사용하는 경향이 있다. 디펜더 컨트롤은 윈도우 디펜더를 비활성화하는 도구이다. 윈도우 디펜더는 최신 윈도우 운영체제에 기본적으로 설치되어 있으며 다른 AntiVirus가 설치된 환경이라고 하더라도 해당 AntiVirus를 삭제할 경우에는 다시 활성화된다.
이러한 점들 때문에 다양한 공격자들이 윈도우 디펜더를 무력화시키려고 시도하며 이를 위해 주로 디펜더 컨트롤이 사용된다. AhnLab EDR은 디펜더 컨트롤을 이용한 윈도우 디펜더 AntiVirus 무력화 행위를 탐지하여 관리자가 이를 인지할 수 있도록 도와준다.
4. 결론
많은 랜섬웨어 공격자들은 RDP를 공격 벡터로서 사용하고 있다. 대표적으로 GlobeImposter, MedusaLocker, Hakuna matata, Venus, Crysis, Lockis 등 다양한 랜섬웨어 공격자들이 존재하며 이미 수년간 지속적으로 동일한 형태의 공격 방식을 사용하고 있다. 이러한 공격은 주로 부적절한 계정 정보를 가지고 있는 시스템들에 대한 무차별 대입 공격 및 사전 공격으로 시작된다.
사용자들은 RDP를 사용하지 않을 경우 비활성화하여 공격 시도를 줄일 수 있다. RDP 서비스를 사용하는 시스템에서는 계정의 비밀번호를 복잡한 형태로 사용하고 주기적으로 변경하여 무차별 대입 공격 및 사전 공격을 방지해야 한다. 또한 VPN 및 다단계 인증을 적용하여 보안을 강화해야 한다.
이러한 공격들은 AntiVirus 제품 단독으로는 탐지 및 차단하는데 한계가 존재한다. AhnLab EDR은 RDP 대상 브루트 포싱 공격 단계부터 다양한 도구들을 이용한 자격 증명 정보 탈취 과정 등 공격자가 랜섬웨어를 설치하기 전 각각의 공격 단계들을 탐지하여 관리자가 원인을 파악하고 적절한 대응 및 재발 방지 프로세스를 수립할 수 있도록 도와준다.
행위 진단
– InitialAccess/EDR.Event.M11071
– Execution/EDR.Event.M10819
– CredentialAccess/EDR.WirelessKeyView.M11215
– Execution/EDR.Event.M10817
– Execution/EDR.Event.M10815
– Execution/EDR.Behavior.M10741
– Execution/EDR.Behavior.M10484
– CredentialAccess/EDR.Mimikatz.M11469
– SystemManipulation/DETECT.T1562.M4022
행위 정보 탐지 및 분석을 통한 엔드포인트 가시성을 제공하고 위협을 능동적으로 추적하는 AhnLab EDR에 대한 자세한 정보는 안랩닷컴에서 확인이 가능하다.
Categories:안랩 탐지