팁이라고는 뭐하지만 바쁜분들을 위한 3줄 요약

 1. 원격데스크톱(RDP) 사용하시면 윈도우로그 > 보안탭에서 불필요한 로그인 시도가 있는지 확인해보세요.

 2. 윈도우 ID,패스워드는 어렵게 설정해주세요.

 3. 기본 원격데스크톱(RDP)의 포트를 변경해주세요.

------------------------------------------------------------------------------

외부에서 원격으로 작업할 일이 있어서 VM에 윈도우를 설치했는데, 3번에 걸쳐 랜섬웨어에 걸려버리는 사태가 발생했습니다.

중요한 자료는 없는데,  윈도우만 4번이나 설치했다는 거죠. ㅜㅜ (3번이나 VM백업을 안해놓음)

우선 사용하는 환경은 윈도우10(최신 업데이트) + 윈도우 기본 디펜더 + 각종프로그램

상황 

1 = 테스트용 프로그램 설치로 인한 백도어 공격으로 당했구나 생각

2 = 재설치 후 디펜더 및 Appcheck 설치, 특정프로그램 인바운드/아웃바운드 차단 = 2달 뒤 Devos 랜섬웨어가 걸려있는 것을 확인

3 = OS만 설치 = 2주 후 Devos 랜섬웨어

4 = 현재

원격데스크톱(RDP)을 열어둔 PC와 VM 둘다 시스템 로그-보안 탬에  감사 실패가 떠있는 것을 발견했습니다.

1초에 2~10회에 대한 패스워드 대입공격입니다.

잘못된 형식의 이미지 링크입니다.

로그를 보니, 원본 네트워크의 주소를 보고 공격자의 IP대역만 차단하면 될 것 같습니다.

잘못된 형식의 이미지 링크입니다.

음... 윈도우 재설치한지 하루도 안됐는데,  중복을 제거하고 450라인이 나옵니다. (중복 제거전 34550라인)

대역도 다틀려서 IP대역 차단은 포기합니다.

생각해보니, 계정명과 패스워드를 간단하게 설정해 둔 것이 기억납니다.

VM말고 사용하는 PC도 한번 점검해봅니다.

네.... 동일하게 공격받고 있네요, 하지만 ID와 패스워드를 복잡하게 사용해서 아직 뚫리진 않았습니다.

하지만 언젠가는 뚫릴테니 기본PC는 원격접속할 일이 없어서 RDP를 중지시킵니다.

VM은 패스워드는 일단 변경하겠지만, 패스워드만 변경한다고 해도 공격은 끊임없이 들어올테니, RDP 포트도 변경해주도록 합니다.

작업순서는 아래와 같습니다.

1. 우선 패스워드를 변경합니다 (영문 대/소문자+숫자+특수문자 추천)

2. RDP의 포트를 변경합니다. 기본 3389에서 원하는 포트로 변경하고 재부팅

 > 참고 : https://docs.microsoft.com/ko-kr/windows-server/remote/remote-desktop-services/clients/change-listening-port 

3. 방화벽 인바운드 설정에서 변경한 RDP포트 활성화

 > A. '설정 - 업데이트 및 보안 - Windows 보안 - 방화벽 및 네트워크 보안 - 고급설정'으로 들어갑니다.

         또는 간편하게 시작 - 실행(Win+R) 에서 wf.msc 입력

    B. 인바운드 규칙 = 새 규칙 - 포트 - TCP - 특정로컬포트에 바꾼포트 입력 - 연결허용

변경 후 다시 윈도우로그의 보안탭을 확인합니다.

잘못된 형식의 이미지 링크입니다.

보는것 처럼 RDP로 접속한 내역만 남아있습니다

감사 실패는 없고 감사 성공만 나오는 것에  감사하빈다

참고로 윈도우 업데이트시 디펜더 관련해서 설치가 되지않은 경우 이미 공격받아, 서비스나 정책에서 중지되어 있을 확률이 큽니다.

랜섬웨어 방지까지 해봤지만, 로그인이 성공하게 되면, RDP를 통해 미리 디펜더와 랜섬웨어 감지/방지 소프트웨어를 중지 시키고 공격하기 때문에 윈도우 최신업데이트와는 관련이 없습니다.

별거 아닌 내용이지만, 참고하시어 저처럼 안일한 패스워드로 인해 랜섬웨어 걸리지 않길 바라며, 데이터 백업은 생활화 하시길 바랍니다.

저는 참고로 랜섬웨어 걸리기 전에 아이디/패스워드를 user에 qwer1234를 사용했습니다. :)

여기까지 읽어주셔서 감사합니다.

* 공격자 IP노출이 있어서 가린 이미지로 대체합니다.