팁이라고는 뭐하지만 바쁜분들을 위한 3줄 요약
1. 원격데스크톱(RDP) 사용하시면 윈도우로그 > 보안탭에서 불필요한 로그인 시도가 있는지 확인해보세요.
2. 윈도우 ID,패스워드는 어렵게 설정해주세요.
3. 기본 원격데스크톱(RDP)의 포트를 변경해주세요.
------------------------------------------------------------------------------
외부에서 원격으로 작업할 일이 있어서 VM에 윈도우를 설치했는데, 3번에 걸쳐 랜섬웨어에 걸려버리는 사태가 발생했습니다.
중요한 자료는 없는데, 윈도우만 4번이나 설치했다는 거죠. ㅜㅜ (3번이나 VM백업을 안해놓음)
우선 사용하는 환경은 윈도우10(최신 업데이트) + 윈도우 기본 디펜더 + 각종프로그램
상황
1 = 테스트용 프로그램 설치로 인한 백도어 공격으로 당했구나 생각
2 = 재설치 후 디펜더 및 Appcheck 설치, 특정프로그램 인바운드/아웃바운드 차단 = 2달 뒤 Devos 랜섬웨어가 걸려있는 것을 확인
3 = OS만 설치 = 2주 후 Devos 랜섬웨어
4 = 현재
원격데스크톱(RDP)을 열어둔 PC와 VM 둘다 시스템 로그-보안 탬에 감사 실패가 떠있는 것을 발견했습니다.
1초에 2~10회에 대한 패스워드 대입공격입니다.
로그를 보니, 원본 네트워크의 주소를 보고 공격자의 IP대역만 차단하면 될 것 같습니다.
음... 윈도우 재설치한지 하루도 안됐는데, 중복을 제거하고 450라인이 나옵니다. (중복 제거전 34550라인)
대역도 다틀려서 IP대역 차단은 포기합니다.
생각해보니, 계정명과 패스워드를 간단하게 설정해 둔 것이 기억납니다.
VM말고 사용하는 PC도 한번 점검해봅니다.
네.... 동일하게 공격받고 있네요, 하지만 ID와 패스워드를 복잡하게 사용해서 아직 뚫리진 않았습니다.
하지만 언젠가는 뚫릴테니 기본PC는 원격접속할 일이 없어서 RDP를 중지시킵니다.
VM은 패스워드는 일단 변경하겠지만, 패스워드만 변경한다고 해도 공격은 끊임없이 들어올테니, RDP 포트도 변경해주도록 합니다.
작업순서는 아래와 같습니다.
1. 우선 패스워드를 변경합니다 (영문 대/소문자+숫자+특수문자 추천)
2. RDP의 포트를 변경합니다. 기본 3389에서 원하는 포트로 변경하고 재부팅
> 참고 : https://docs.microsoft.com/ko-kr/windows-server/remote/remote-desktop-services/clients/change-listening-port
3. 방화벽 인바운드 설정에서 변경한 RDP포트 활성화
> A. '설정 - 업데이트 및 보안 - Windows 보안 - 방화벽 및 네트워크 보안 - 고급설정'으로 들어갑니다.
또는 간편하게 시작 - 실행(Win+R) 에서 wf.msc 입력
B. 인바운드 규칙 = 새 규칙 - 포트 - TCP - 특정로컬포트에 바꾼포트 입력 - 연결허용
변경 후 다시 윈도우로그의 보안탭을 확인합니다.
보는것 처럼 RDP로 접속한 내역만 남아있습니다
감사 실패는 없고 감사 성공만 나오는 것에 감사하빈다
참고로 윈도우 업데이트시 디펜더 관련해서 설치가 되지않은 경우 이미 공격받아, 서비스나 정책에서 중지되어 있을 확률이 큽니다.
랜섬웨어 방지까지 해봤지만, 로그인이 성공하게 되면, RDP를 통해 미리 디펜더와 랜섬웨어 감지/방지 소프트웨어를 중지 시키고 공격하기 때문에 윈도우 최신업데이트와는 관련이 없습니다.
별거 아닌 내용이지만, 참고하시어 저처럼 안일한 패스워드로 인해 랜섬웨어 걸리지 않길 바라며, 데이터 백업은 생활화 하시길 바랍니다.
저는 참고로 랜섬웨어 걸리기 전에 아이디/패스워드를 user에 qwer1234를 사용했습니다. :)
여기까지 읽어주셔서 감사합니다.
* 공격자 IP노출이 있어서 가린 이미지로 대체합니다.
저는 wail2ban 을 이용해 무차별 대입 5회실패시 차단 5분
이후 또 5회 실패시 30분차단 이런식으로 보호하는 스크립트를 이용중입니다. 검색 해 보시고 참고 해 보세요
수중신님 답글처럼 포트 변경해도 공격 들어오는 경우가 있으니, wail2ban 사용하시면 되겠습니다.
wail2ban 스크립트는 여기서 받으시면 됩니다. https://github.com/glasnt/wail2ban
설치방법에 대해 잘 정리되어 있는 페이지가 있어 추가로 남깁니다.
https://developer.ibm.com/kr/cloud/softlayer-bluemix-infra/security/2017/08/31/rdp-security-script/
그 중에서도 성공 사례가 몇 있는거 보고 소름이 ㄷㄷ
시간이랑 보셔서 적절한 원격접속인지 아닌지 확인해보셔야 할 것같습니다.
RDP가 편하고 참 좋은데...
wail2ban은 거의 필수라고 봐야져,
방화벽으로 IP를 제한 해두고 VPN 등으로 접근하거나, SSH나 키발급으로 추가적인 보안이 꼭 필요 합니다. ㅠ.ㅠ
다만 편의성만 추구하다 이런일이 생겼네요ㅎㅎ
그러면 VPN공격 들어옵니다. ㅎ
보안은 복잡할 좋습니다. ㅎㅎ
생각난김에 포트변경부터 wailban 까지 모두 적용했습니다...
부끄럽지만 솔직히 말하자면 몇몇 프로그램 사용이 제가 깨끗하진 않은터라...ㅜ
저같은 분들은 보안 몇번씩 더 신경 쓰셔야 할거 같습니다.
감사합니다.
https://www.rohos.com/support/rohos-logon-key-support/access-your-remote-desktop-in-a-secure-way-by-usb-stick-2/
https://www.rohos.com/products/rohos-logon-free/
https://idchowto.com/?p=52506
확인하는 순간에도 계속 로그가 올라옵니다ㄷㄷ
제가 고쳐서 fork해 놓은 주소입니다. https://github.com/chanhwahong/wail2ban
다행히? 저는 랜섬웨어 감염중 발견하여 일부만 감염되고 나머지 데이터는 살아있네여 ㅜㅜ
"An attacker who successfully exploited this vulnerability could execute arbitrary code on the target system."
라는 내용이 있습니다. (https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708)
RDP 포트를 바꾸어 주었는데도 avast 최근 로그를 보니 간간히 공격 시도가 있네요. (윈도우 새로 설치할때 RDP 활성화 이전에 백신을 반드시 설치해야할듯..)
원격 제어에 RDP 만한게 없어서 (편의성이나 속도등) 어쩔수 없이 쓰고 있는데, 불안한 마음은 어쩔수가 없네요.
비번을 쉽게 만들어 놓은거 반성합니다.
어디에서 뚤려도 이상하지 않죠.
이렇게 나오면서 안되네요 ㅠㅠ
작업 만들기 하셔서 그대로 추가하시고,
사용자 또는 그룹 메뉴에서 사용자를 SYSTEM으로 추가하시면 잘 됩니다.
알려주신대로 수동으로 추가했더니 잘 되네요^^
감사합니다~
공유기에서 포트포워딩해서 쓰고 있는데 다른 포트로 예전부터 변경해서 쓰고 있는데도
항상 로그 보면 새벽 시간에 상당한 횟수의 시도가 있어서 고민중 이었는데
정보 감사합니다.
당분간 잘 지켜보면서 써보겠습니다.
로그 보기란건 뭘 클릭해야 로그를 볼 수 있나요?
/Vollago
[bannedIPLog.ini 파일은 다른프로세스에서 사용 중이므로 프로세스에서 엑세스할 수 없습니다] 라는 에러 메시지가 뜨네요. 오류 위치는 [wail2ban.ps1:214 문자:56] 입니다.
동일증상이신분 없나요?
wail2ban.ps1 파일 73번째 줄에 아래 코드 추가하니 됩니다.
if ($OSVersion -match "Windows 10") { $BLOCK_TYPE = "NETSH" }
평소 잘 사용하지도 않는데 이 기회에 비활성화 시켰습니다.
이 정도 일거라고는 생각도 안하고 있었는데...진짜 엄청나네요..
본문대로 바꾸고 나니 이제서야 전부 감사 성공으로 바꼈습니다. 정말 감사합니다!!
수차례 접속시도가 있네요.ㄷㄷㄷ
포트를 바꿔놨는데도 어떻게 알았는지 접속시도가 있음.
IP바꿔가면서 수차례 접속시도가 있음.
접속시도 ip 조회 해보면 전부 중국.
Preventing Brute Force Attacks
https://wiki.dd-wrt.com/wiki/index.php/Preventing_Brute_Force_Attacks