Security trend
We will deliver the up-to-date security information timely.
[해외동향] 다크웹 시장에서 수집한 RDP 자격증명을 이용한 RDPwned 서비스 개시
2021-04-22다크웹 마켓의 한 종류인 UAS(Ultimate Anonymity Services)에서 Windows 원격 데스크탑(RDP) 유출계정 약 130만개가 거래되고 있습니다. 유출된 계정은 현재 Advanced Intel이라는 사이버 보안 회사에서 제작한 ‘RDPwned’ 사이트에서 확인할 수 있습니다.(링크: https://rdpwned.adv-gate.com)
RDP(Remote Desktop Protocol)란 원격 데스크탑 프로토콜로, 사용자가 연결하고자 하는 대상 컴퓨터에 원격으로 연결하여 엑세스할 수 있는 Microsoft 원격 엑세스 솔루션입니다. 특히 기업에서 PC 환경을 RDP를 이용해 구성해 놓는 경우가 많기 때문에 RDP 계정 유출은 위험합니다. 만일 공격자가 RDP 유출 계정을 통해 기업 내부 네트워크 엑세스에 성공하게 되면, lateral movement(내부망 이동), 기업 내부 데이터 유출, POS(Point-of-Sale) 악성코드 설치를 통한 신용카드 정보 유출, 백도어 설치, 랜섬웨어 배포 등의 행위가 가능해집니다. FBI는 ‘RDP가 랜섬웨어 공격을 위한 수단으로 이용되는 경우는 전체 침해사고 비율 중 70~80%를 담당한다’고 밝힌 바 있습니다.
UAS는 앞서 설명한 바와 같이 RDP 유출 계정 및 SOCKS 프록시 서버에 대한 엑세스를 판매하는 다크웹 마켓 플레이스입니다. 본 마켓은 ebay와 같은 시스템으로 갖추어져 있고, 해커들이 해킹을 한 정보를 저장하는 별도의 저장공간 또한 구비되어 있습니다. 또한 판매 항목, 환불 항목 등에 대한 실시간 통계를 제공하고, 만일 구매자가 구매한 RDP 크리덴셜이 정상 로그인이 되지 않을 경우에도 추가 지원을 제공합니다. 구매자는 UAS 마켓 플레이스에서 구하고자 하는 국가, 주, 도시, 우편번호, ISP 또는 운영체제를 검색하여 손쉽게 RDP 계정을 구매할 수 있습니다.
[그림 1] UAS 마켓에서 판매되고 있는 RDP 계정(출처: Bleeping Computer)
[그림 2] RDP 계정과 관련된 서버의 사양 정보(출처: Bleeping Computer)
2018년 12월부터 특정 보안 연구원 그룹이 UAS 마켓 플레이스의 RDP 유출 계정 데이터를 수집 및 분석하였습니다. 이 기간동안 연구원들은 UAS에서 판매된 총 1,37,609개의 RDP 계정에 대한 IP 주소, 사용자 이름 및 암호를 수집하였습니다. 본 데이터베이스에는 브라질, 인도 및 미국이 포함된 63개국의 데이터가 포함되어 있었고, 의료산업 및 유명 기업의 정보 또한 포함되어 있었습니다.
또한 Bleeping Computer 측은 지난 2년동안 랜섬웨어 공격을 받은 것으로 알려진 조직의 RDP 계정을 다수 발견하였습니다. 본 데이터베이스를 분석하여 몇가지 유용한 내용을 확인할 수 있었습니다.
- 판매가 가장 많이 된 상위 5개의 계정은 ‘Administrator’, ‘Admin’, ‘User’, ‘test’, ‘scanner’ 입니다.
- RDP 서버에서 가장 많이 사용하고 있는 비밀번호 상위 5개는 ‘123456’, ‘123’, ‘P@ssw0rd’, ‘1234’, ‘Password1’입니다.
- 데이터베이스가 가장 많은 국가는 미국, 중국, 브라질, 독일, 인도, 영국 순입니다.
보안전문가 Vitali Kremez는 RDP 계정이 유출되었는지 확인할 수 있는 서비스인 PDPwned 사이트를 개설하였습니다. 그는 “본 마켓은 전 세계의 수많은 침해사고 및 랜섬웨어 사고와 연관이 있습니다. 많은 랜섬웨어 그룹이 UAS 마켓을 통해 초기 진입을 위한 계정 정보를 구매하는 것으로 알려져 있습니다.”라고 말하며 “RDPwned는 침해사고에서 초기 진입 원인을 파악하지 못하는 경우에도 유용한 수단으로 이용될 것입니다. 다른 한편으로는 침해 사고가 일어나기 전에 미리 점검할 수 있는 수단으로도 이용될 것입니다.”라고 말했습니다. 본 서비스는 이용하기 전 Advanced Intel에 회사의 임원 또는 관리자의 연락처 정보를 전달해야하고, 이후 Advanced Intel측에서 유출된 RDP 계정이 있는지 확인하게됩니다.
다음은 UAS가 마켓에 등록한 약 130만개의 RDP 서버에서 찾은 상위 20개 계정, 상위 20개 암호 및 상위 10개 국가를 정리한 표입니다.
Top 20 login names
|
Used login name |
Total accounts |
|
Administrator |
303,702 |
|
Admin |
59,034 |
|
User |
45,096 |
|
test |
30,702 |
|
scanner |
20,876 |
|
scan |
16,087 |
|
Guest |
12,923 |
|
IME_ADMIN |
9,955 |
|
user1 |
8,631 |
|
Administrador |
8,612 |
|
Trader |
8,608 |
|
postgres |
5,853 |
|
IME_USER |
5,667 |
|
Usuario |
5,236 |
|
user2 |
4,055 |
|
Passv |
3,989 |
|
testuser |
3,969 |
|
test1 |
3,888 |
|
server |
3,754 |
|
student |
3,592 |
|
reception |
3,482 |
|
backup |
3,356 |
|
openpgsvc |
3,339 |
|
info |
3,156 |
|
VPN |
3,139 |
Top 20 passwords
|
Used password |
Total accounts |
|
123456 |
71,639 |
|
123 |
50,449 |
|
P@ssw0rd |
47,139 |
|
1234 |
34,825 |
|
Password1 |
27,007 |
|
1 |
24,955 |
|
password |
19,148 |
|
12345 |
16,522 |
|
admin |
15,587 |
|
ffff-ffc0M456x (see note) |
15,114 |
|
Admin@123 |
13,572 |
|
User |
13,437 |
|
scanner |
13,193 |
|
scan |
10,409 |
|
test |
10,169 |
|
Aa123456 |
9,399 |
|
Password123 |
8,756 |
|
12345678 |
8,647 |
|
Admin123 |
8,214 |
|
Passw0rd |
7,817 |
|
admin,.123!@#$%^ |
7,027 |
|
1qaz@WSX |
6,248 |
|
Welcome1 |
5,962 |
|
P@ssword64 |
5,522 |
|
abc@123 |
4,958 |
Top 10 countries
|
Country |
Total Accounts |
|
United States |
299,529 |
|
China |
201,847 |
|
Brazil |
119,959 |
|
Germany |
56,225 |
|
India |
41,588 |
|
United Kingdom |
37,810 |
|
France |
32,738 |
|
Spain |
30,312 |
|
Canada |
27,347 |
|
Hong Kong |
24,804 |
(출처: https://www.bleepingcomputer.com/news/security/logins-for-13-million-windows-rdp-servers-collected-from-hacker-market/)
보안관제센터 Team MIR