RDP 이용한 최초의 웜...다량의 아웃바운드 RDP 트래픽 발생시켜


 

[보안뉴스 호애진] 최근 RDP(원격 데스크톱 프로토콜)를 통해 윈도우 PC를 감염시키는 모르토(Morto)라는 새로운 웜이 인터넷에 퍼지고 있다. 이는 RDP를 감염 매개체로 이용하는 최초의 웜이다.
 
이 웜으로 인해 네트워크상의 감염 머신은 다량의 아웃바운드 RDP 트래픽을 발생시킨다. 모르토는 윈도우로 구동되는 서버와 워크스테이션을 모두 감염시킬 수 있다.

모르토의 감염 사례를 겪은 사용자들은 윈도우 헬프(Help) 포럼에 이 웜이 클린 인스톨(clean install)하고 완벽히 패치를 적용한 윈도우 서버 2003을 감염시키고 있다는 글을 올리고 있다. 클린 인스톨이란 기존에 사용하던 데이터를 백업받고 새로운 운영체제를 설치해 기존 소프트웨어를 밀어내는 것을 말한다.
  
SANS 인터넷 스톰 센터(SANS Internet Storm Center)는 감염 시스템들이 네트워크를 스캐닝해 RDP 서비스가 열린 원격 머신을 찾고 있기 때문에 지난 며칠 동안 RDP 트래픽이 크게 증가했다고 28일 발표했다. 새로운 기기에 침투한 모르토가 하는 행동 중 하나는 감염시킬 다른 PC와 서버를 찾아 로컬 네트워크를 스캐닝하는 일이다.

SANS의 케빈 쇼트(Kevin Shortt)는 블로그를 통해 “몇 주전 3389 포트의 트래픽이 급증했다고 지적된 바 있는데 지금은 그 트래픽이 10배 증가했다”며 “즉 네트워크를 스캐닝하며 RDP 서비스를 찾는 감염 시스템이 늘었다는 의미”라고 밝혔다.

모르토가 일단 한 머신을 감염시킨 후 감염시킬 또 다른 PC를 성공적으로 찾아내면 RDP 서비스의 패스워드를 찾으려고 끈질기게 시도한다. 이 웜이 시도하는 비밀번호들은 아래와 같이 아주 간단하다. 따라서 비밀번호를 복잡하게 설정하는 것이 중요하다.

 
  admin   password   server   test   user   pass   letmein   1234qwer   1q2w3e   1qaz2wsx   aaa   abc123   abcd1234   admin123   111   123   369   1111   12345   111111   123123   123321   123456   654321   666666   888888   1234567   12345678   123456789   1234567890


F-시큐어의 미코 히포넌(Mikko Hypponene) CRO는 “머신이 감염되고 나면 모르토는 원격 데스크톱 연결 서비스가 활성화된 기기를 찾아 로컬 네트워크를 스캐닝하게 된다”며 “따라서 RDP 포트인 3389/TCP 포트에 다량의 트래픽이 발생하게 된다”고 설명했다.

일단 원격 시스템에 연결되면 공유 기능을 통해 예컨대 C:, D:(각각 \tsclient\c, \\tsclient\d)와 같은 서버의 드라이브에 액세스할 수 있다. 모르토는 이 공유 기능을 이용해 표적 머신에 자신을 복사한다.

다시 말해 문자 A:로 된 임시 드라이브를 생성하고 이 드라이브에 a.dll이라는 파일을 복사하는 것이다. 시스템이 감염되면 \windows\system32\sens32.dll,  \windows\offline web pages\cache.txt.와 같은 몇 가지 파일이 새로 생성된다.

모르토는 원격으로 조정할 수 있으며 이는 jaifr.com, qfsl.net 등의 대체 서버를 통해 이뤄진다.
[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>