잘못 구성된 원격 액세스 서비스는 계속해서 악의적인 사용자에게 회사 네트워크에 대한 쉬운 액세스 경로를 제공합니다. 원격 데스크톱 프로토콜을 오용하는 공격에 대한 노출을 최소화할 수 있는 방법은 다음과 같습니다.
COVID-19 전염병이 전 세계적으로 확산되면서 저를 포함하여 많은 사람들이 재택근무로 전환했습니다. ESET 직원 중 상당수는 이미 일부 시간 원격 근무에 익숙했으며, 랩톱 몇 대와 VPN 라이선스를 추가로 구매하는 등 새로운 원격 근무자의 유입을 처리하기 위해 기존 리소스를 확장하는 것이 주로 문제였습니다.
그러나 원격 인력에 대한 액세스를 처음부터 설정하거나 RDP(원격 데스크톱 프로토콜) 서버를 크게 확장하여 많은 사람들이 원격 액세스를 사용할 수 있도록 해야 하는 전 세계 많은 조직의 경우에는 동일하지 않습니다. 동시 사용자.
IT 부서, 특히 원격 근무자가 새로운 부서를 지원하기 위해 저는 콘텐츠 부서와 협력하여 ESET에서 특히 RDP를 대상으로 하는 공격 유형과 공격에 대한 보안을 위한 몇 가지 기본 단계에 대해 논의하는 문서를 작성했습니다. . 그 종이를 찾을 수 있습니다 여기 ESET 기업 블로그에서, 궁금한 경우.
이 변경 사항이 발생하는 거의 동시에 ESET은 글로벌 위협 보고서, 그리고 우리가 주목한 것 중 하나는 RDP 공격이 계속해서 증가하고 있다는 것입니다. 우리에 따르면 2022년 첫 XNUMX개월 동안의 위협 보고서100 이상 십억 이러한 공격이 시도되었으며 그 중 절반 이상이 러시아 IP 주소 블록으로 추적되었습니다.
분명히 ESET이 위협 인텔리전스와 원격 측정을 통해 보고 있는 것을 보고하기 위해 지난 몇 년 동안 개발된 RDP 익스플로잇과 이를 가능하게 한 공격을 다시 살펴볼 필요가 있었습니다. 그래서 우리는 그것을 해냈습니다: 2020년 논문의 새 버전, 이제 제목이 원격 데스크톱 프로토콜: 보안 인력을 위한 원격 액세스 구성, 해당 정보를 공유하기 위해 게시되었습니다.
RDP에 무슨 일이?
이 수정된 백서의 첫 번째 부분에서는 지난 몇 년 동안 공격이 어떻게 발전해 왔는지 살펴봅니다. 내가 공유하고 싶은 한 가지는 모든 공격이 증가하는 것은 아니라는 것입니다. 한 가지 유형의 취약점에 대해 ESET은 악용 시도가 현저히 감소했습니다.
- BlueKeep(CVE-2019-0708) 원격 데스크톱 서비스의 웜 가능 익스플로잇은 44년 최고치에서 2020% 감소했습니다. 우리는 이러한 감소가 영향을 받는 Windows 버전에 대한 패치 관행과 네트워크 경계에서의 익스플로잇 보호의 조합으로 인한 것입니다.
컴퓨터 보안 회사에 대해 자주 듣는 불만 중 하나는 보안이 항상 악화되고 개선되지 않으며 좋은 소식은 드물고 일시적이라는 이야기에 너무 많은 시간을 할애한다는 것입니다. 이러한 비판 중 일부는 타당하지만 보안은 항상 진행 중인 프로세스입니다. 새로운 위협은 항상 등장합니다. 이 경우 BlueKeep과 같은 취약점을 악용하려는 시도가 시간이 지남에 따라 감소하는 것을 보면 좋은 소식인 것 같습니다. RDP는 여전히 널리 사용되며 이는 공격자가 악용할 수 있는 취약점에 대한 연구를 계속 수행할 것임을 의미합니다.
익스플로잇 클래스가 사라지려면 취약한 것은 무엇이든 사용을 중단해야 합니다. 이러한 광범위한 변화를 마지막으로 본 것은 7년 Microsoft에서 Windows 2009을 출시했을 때였습니다. Windows 7은 AutoRun(AUTORUN.INF) 지원이 비활성화된 상태로 출시되었습니다. Microsoft는 완벽하지는 않지만 이 변경 사항을 모든 이전 버전의 Windows로 백포팅했습니다. 처음. 95년 Windows 1995가 출시된 이후의 기능인 AutoRun은 다음과 같은 웜을 전파하기 위해 심하게 남용되었습니다. 컨 피커. 한 시점에서 AUTORUN.INF 기반 웜은 ESET 소프트웨어에서 발생하는 위협의 거의 XNUMX분의 XNUMX을 차지했습니다. 오늘날 그들은 다음을 차지합니다. 퍼센트의 XNUMX분의 XNUMX 탐지.
AutoPlay와 달리 RDP는 Windows의 정기적으로 사용되는 기능으로 남아 있으며 단일 익스플로잇 사용이 감소했다고 해서 전체적으로 이에 대한 공격이 감소하는 것은 아닙니다. 사실, 취약점에 대한 공격이 크게 증가하여 BlueKeep 탐지가 감소할 수 있는 또 다른 가능성이 나타납니다. 다른 RDP 익스플로잇이 훨씬 더 효과적이어서 공격자가 해당 익스플로잇으로 전환했을 수 있습니다.
2020년 초부터 2021년 말까지 2020년간의 데이터를 보면 이 평가에 동의하는 것으로 보입니다. 이 기간 동안 ESET 원격 분석에서는 악성 RDP 연결 시도가 크게 증가한 것으로 나타났습니다. 점프가 얼마나 컸습니까? 1.97년 2021분기에 166.37억 8,400천만 건의 연결 시도가 있었습니다. XNUMX년 XNUMX분기까지 연결 시도 횟수는 XNUMX억 XNUMX만 번으로 XNUMX% 이상 증가했습니다!
그림 2. 전 세계적으로 감지된 악성 RDP 연결 시도(출처: ESET 원격 측정). 절대 숫자는 반올림됩니다.
분명히 공격자는 간첩 행위, 랜섬웨어 설치 또는 기타 범죄 행위를 수행하기 위해 조직의 컴퓨터에 연결하는 데 가치를 찾고 있습니다. 그러나 이러한 공격으로부터 방어하는 것도 가능합니다.
수정된 문서의 두 번째 부분에서는 RDP에 대한 공격에 대한 방어에 대한 최신 지침을 제공합니다. 이 조언은 네트워크 강화에 익숙하지 않은 IT 전문가를 위한 것이지만 경험이 많은 직원에게도 도움이 될 수 있는 정보가 포함되어 있습니다.
SMB 공격에 대한 새로운 데이터
RDP 공격에 대한 데이터 세트와 함께 시도된 SMB(서버 메시지 블록) 공격에서 원격 분석이 예기치 않게 추가되었습니다. 이 추가 보너스를 감안할 때 나는 데이터를 보지 않을 수 없었고, SMB 공격 및 이에 대한 방어에 대한 새로운 섹션을 논문에 추가할 수 있을 만큼 충분히 완전하고 흥미롭다고 느꼈습니다.
SMB는 RDP 세션 중에 파일, 프린터 및 기타 네트워크 리소스에 원격으로 액세스할 수 있다는 점에서 RDP의 동반 프로토콜로 생각할 수 있습니다. 2017년에는 EternalBlue(CVE-2017-0144) 웜 가능한 익스플로잇. 익스플로잇의 사용은 다음을 통해 계속 증가했습니다. 2018, 2019, 그리고 안으로 2020, ESET 원격 측정에 따르면.
그림 3. 전 세계적으로 CVE -2017-0144 "EternalBlue" 탐지(출처: ESET 원격 측정)
EternalBlue가 악용한 취약점은 1년대로 거슬러 올라가는 프로토콜 버전인 SMBv1990에만 존재합니다. 그러나 SMBv1은 수십 년 동안 운영 체제 및 네트워크 장치에 널리 구현되었으며 2017년이 되어서야 Microsoft에서 SMBv1이 기본적으로 비활성화된 Windows 버전을 출시하기 시작했습니다.
2020년 말에서 2021년까지 ESET은 EternalBlue 취약점을 악용하려는 시도가 현저히 감소했습니다. BlueKeep과 마찬가지로 ESET은 이러한 탐지 감소를 패치 적용 사례, 네트워크 경계에서 향상된 보호 기능, SMBv1 사용 감소로 인한 것입니다.
마무리
이 수정된 백서에 제공된 이 정보는 ESET의 원격 측정에서 수집되었다는 점에 유의하는 것이 중요합니다. 위협 원격 측정 데이터로 작업할 때마다 이를 해석하는 데 적용해야 하는 특정 조건이 있습니다.
- 위협 원격 분석을 ESET과 공유하는 것은 선택 사항입니다. 고객이 ESET의 LiveGrid® 시스템에 연결하지 않거나 익명의 통계 데이터를 ESET과 공유하지 않는 경우 ESET 소프트웨어 설치에 대한 데이터가 없습니다.
- 악성 RDP 및 SMB 활동의 탐지는 ESET의 여러 보호 계층을 통해 수행됩니다. 기술를 포함한 봇넷 보호, 무차별 대입 공격 보호, 네트워크 공격 보호, 기타 등등. 모든 ESET 프로그램에 이러한 보호 계층이 있는 것은 아닙니다. 예를 들어 ESET NOD32 Antivirus는 가정 사용자를 위한 맬웨어에 대한 기본 수준의 보호를 제공하지만 이러한 보호 계층은 없습니다. ESET Internet Security 및 ESET Smart Security Premium은 물론 비즈니스 사용자를 위한 ESET의 엔드포인트 보호 프로그램에도 있습니다.
- 이 문서를 준비하는 데 사용되지는 않았지만 ESET 위협 보고서는 지역 또는 국가 수준까지 지리 데이터를 제공합니다. GeoIP 탐지는 과학과 예술이 혼합되어 있으며 VPN 사용 및 IPv4 블록의 빠르게 변화하는 소유권과 같은 요소는 위치 정확도에 영향을 미칠 수 있습니다.
- 마찬가지로 ESET은 이 분야의 많은 방어자 중 하나입니다. 원격 측정은 ESET 소프트웨어 설치가 방해하는 항목을 알려 주지만 ESET은 다른 보안 제품의 고객이 겪고 있는 문제에 대한 통찰력이 없습니다.
이러한 요인으로 인해 공격의 절대 횟수는 ESET의 원격 분석에서 배울 수 있는 것보다 더 많을 것입니다. 즉, 우리는 원격 측정이 전체 상황을 정확하게 표현한다고 믿습니다. 다양한 공격 탐지의 전반적인 증가 및 감소(백분율 기준)와 ESET이 지적한 공격 추세는 보안 업계 전반에 걸쳐 유사할 가능성이 높습니다.
이 문서의 개정에 도움을 준 동료 Bruce P. Burrell, Jakub Filip, Tomáš Foltýn, Rene Holt, Előd Kironský, Ondrej Kubovič, Gabrielle Ladouceur-Despins, Zuzana Pardubská, Linda Skrúcaná 및 Peter Stančík에게 특별히 감사드립니다.
아리에 고레츠키, ZCSE, rMVP
ESET 저명 연구원
