[2019.06.10] BlueKeep에 이은 GoldBrute RDP 서버 무차별 대입공격 성행

요약

- GoldBrute 별칭의 취약하거나 재사용 하는 패스워드를 이용한 RDP 서버 무차별 대입 공격 성행 중.

- 공격 내용 : 단일 C&C[104.156.249.231]를 이용해 인터넷에 노출된 150만의 RDP 서버에 대해 무차별 대입 공격 중.

  (전체 노출 RDP 서버 중 약 62.5%에 달하는 서버를 공격 중. Shondan 검색 결과, 현재 인터넷에 노출된 RDP 서버의 수는 240만대)

- 공격 코드를 이용한 시뮬레이션 결과, 6시간 동안 1,596,571 유니크한 IP를 포함한 210만개의 IP가 C2 서버로 전송 되는 것을 확인

   (해당 IP들에 대한 무차별 대입 공격은 실시하지 않음)

   [시뮬레이션 결과: 취약 IP 지역별 분포]  출처 참고

관련 CVE정보

 - CVE Code : 현재 (2019.06.10 10:00) 없음

 - PoC : https://morphuslabs.com/goldbrute-botnet-brute-forcing-1-5-million-rdp-servers-371f219ec37d

   ■ Console.java : GoldBrute의 C2 정보와 파라미터가 지정된 것을 확일 할 수 있음.

   ■ Config.java  : AES 암호화 C2 트래픽 파라미터와 목표 스캔 IP 대역을 확인 할 수 있음. 

시작 대역 : 210.200.0.0 :3389

종료 대역 : 210.211.255.0 :3389

   ■ 대부분의 초기 파라미터는 C2에 의해 변경 되었을 것을 추정.

- C&C IP : 104.156.249.231

- ZIP 파일 다운로드 IP : 104.248.167.144

- 사용 포트 : Bot 들은 데이터를 AES 암호화된 WebSocket을 8333 포트를 이용해 전송

- 감염 양상 :

      (1) RDP 스캔 공격

- 감염된 시스템은 bot 코드를 다운받도록 지시 받음. 

           → Bot 코드는 80MB 크기이며, Java Runtime 완성 본을 포함하고 있음

- bot은 "GoldBrute"라는 Java 클래스에 구현 되고. RDP 서버를 노출시키고 있는 호스트를 찾기 위해 임의의 IP들을 스캔

- bot이 80개의 RDP 서버 노출 IP를 찾으면, C&C 서버는 bot 에게 다수의 노출 RDP 서버에 무차별 대입 공격을 실시하게 함.

→ 이는 보안장비의 탐지를 피하기 위해 Bot은 특정 사용자 계정과 패스워드를 이용해 오직 한 번의 공격만 실시 함

(2) RDP 계정 무차별 대입 성공 후

- GoldBrute Java 코드와 Java runtime을 포함하고 있는 zip 압축 파일을 다운 받음

- zip 파일 압축 해제 후, jar파일 'bitcoin.dll'을 실행.

→ dll 확장자는 의심을 피하기 위해 위장한 것으로 볼 수 있음. 

- 새로운 bot 이 인터넷 노출 RDP 서버를 스캔 공격을 하면 위의 공격 패턴 반복

(3) 최종적으로 무차별 대입에 성공한 host 정보, 사용자 계정, 패스워드 정보를 C&C에서 갖게 됨

영향성

① 해당 취약점 관련 무차별대입공격이 예상 되므로 C&C IP에 대한 긴급차단 실시

② RDP서비스 외부 오픈에 대한 정책검토필요

 - RDP 서비스 기본포트 사용금지 (포트 변경사용 권장)

 - RDP 서비스 사용 필요 시 WhiteList 기반의 사용 권장

참고자료

출처 : https://morphuslabs.com/goldbrute-botnet-brute-forcing-1-5-million-rdp-servers-371f219ec37d

   https://www.shodan.io/search?query=Remote+desktop

   https://threatpost.com/forget-bluekeep-beware-goldbrute/145482/