사이버 공격자들이 DDoS(분산 서비스 거부) 공격을 확대하기 위해 윈도우 RDP(원격 데스크톱 프로토콜) 서버를 악용하고 있는 것으로 나타났다.
마이크로소프트 RDP는 윈도우 기반 워크 스테이션 및 서버에 대한 인증 된 원격 VDI (가상 데스크톱 인프라) 액세스를 제공하는 윈도우 운영 체제에서 기본 제공 서비스다.
RDP 서비스는 TCP/3389 및 UDP/3389에서 실행되도록 구성 할 수 있다.
시큐리티어페어스 보도에 따르면, 넷스카우트 연구원은 공격자가 UDP/3389에서 활성화 될 경우 85.9:1의 증폭 비율로 UDP 반사/증폭 공격을 시작하도록 악용 될 수 있다고 보고했다.
증폭 된 공격 트래픽은 UDP/3389에서 공급되고 공격자가 선택한 대상 IP 주소 및 UDP 포트로 향하는 조각화되지 않은 UDP 패킷으로 구성된다. 공격자는 크기가 증폭 된 후 대상에 반사될 RDP 서버의 UDP 포트로 특수 제작 된 UDP 패킷을 보낼 수 있다.
이런 종류의 공격으로 전송 된 패킷의 길이는 1천260 바이트이고 0 문자열로 채워진다.
전문가들은 이 DDoS 증폭 기술이 20G~750G 범위의 트래픽 크기로 공격을 증가시킬 수 있다고 전했다. 또 이미 악용 될 수 있는 약 1만4천개의 윈도우 RDP 서버를 확인했다.
증폭 공격에서 RDP 서버의 남용을 방지하려면 관리자는 UDP 기반 서비스를 비활성화하거나 VPN 집중 장치 뒤에 윈도우 RDP 서버를 배포해야 한다.
RDP 서버 남용으로부터 보호하기 위해 VPN 서비스를 통해서만 액세스 할 수 있어야 한다는 것이다.
전문가들은 또, UDP를 통한 원격 액세스를 제공하는 RDP 서버를 VPN 집중 장치 뒤에서 즉시 이동할 수 없는 경우 임시 조치로 UDP / 3389를 통한 RDP를 비활성화하는 것이 좋다고 조언하고 있다.
★정보보안 대표 미디어 데일리시큐!★