none
RDP를 통한 무차별 공격 대응 방안? RRS feed

  • 질문

  • 안녕하세요.

    RDP를 이용한 무차별적 공격이 계속해서 들어와 질의 드립니다.

    참고로 관리자 계정 비활성화 및 이름변경 해놓았습니다.

    현재는 NTLM 프로토콜을 이용한 공격이 지속적으로 들어와 모든 NTLM 접근을 거부해 놓은 상태입니다.

    하지만 이렇게 설정하고 NLA를 체크하면 Credssp 및 오라클 설정 오류가 뜨면서 원격연결이 몇번 가능하다가 오류가 발생합니다.

    그리고 NLA 옵션을 체크 해제하면 접속이 가능하고 공격은 더이상 들어오지 않지만 도메인명이 원격을 시도하는 컴퓨터에 나타나게 됩니다.

    혹시 이를 방지할 수 있는 설정값은 어떻게 설정해야 하나요?

    감사합니다.


    요점

    1. RDP에 NTLM 방식을 이용한 무차별 공격

    2. NTLM 거부시 NLA 옵션 체크하면 원격 접속 불가

    3. NLA 옵션 체크 해제시 컴퓨터 도메인명 노출
    • 이동됨 Neul Ha 2019년 10월 10일 목요일 오전 6:54 이동
    2019년 10월 10일 목요일 오전 2:54

모든 응답

  • 안녕하세요,

    제가 이해한 바가 맞다면, NLA 를 사용하지 않는 정책을 구성하셨고, 바로 원격 대상 서버에 대화형 로그온창으로 연결되기 때문에 로그온 시 도메인 이름이 노출된다는 게 맞는지요?

    만약 그렇다면 딱히 방지할 수 있는 설정값이 있을 것으로 생각되지는 않습니다. NLA 설정으로 인해 CredSSP 를 이용하지 않고 바로 원격 대상 서버로 연결되기 때문에 기존에 NLA 설정 시 Client 단에서 진행되던 인증 과정이 없어 바로 연결이 되는 것은 예상되는 동작입니다. 아울러, NLA로 원격 연결 시에도 연결 후 원격 대상 서버의 도메인은 확인이 가능한데, 정확히 노출된다는 것이 어떤 것을 말씀하시는 것인지도 조금 설명이 필요합니다.

    아울러 NLA 사용 시 원격 연결이 가능하다가 오류가 발생한다고 하신 부분에 대해서도 어떤 오류인지 알려주시면 안내에 도움이 될 것 같습니다.

    조금 더 상세한 지원의 경우, 환경 파악을 위해 기술 지원부의 도움도 고려해보시기 바랍니다.

    감사합니다.


    ※ 응답이 문제 해결에 도움이 되었다면 [답변으로 표시] 버튼을 눌러 주시기 바랍니다. 이는 유사한 증상을 겪는 다른 사용자들에게 도움이 될 수 있습니다. 만약 TechNet 구독자 지원에 대한 의견이 있다면, tnsf@microsoft.com 으로 문의할 수 있습니다.

    2019년 10월 10일 목요일 오전 7:23
    중재자
  • 안녕하세요.

    우선 말씀드린 내용이 조금 혼란을 드릴 수 있는 것 같아 다시 말씀드리겠습니다.

    1. NTLM 프로토콜을 이용하여 다수 ip를 통해 RDP Brute-force 공격 (NLA 옵션 사용상태)

    2. 보안정책 변경을 통해 NTLM을 통해 들어오는 트래픽 차단

    3. 공격은 차단. 원격 접속가능

    4. 특정시간이 지난 이후에 "CredSSP 암호화 Oracle 수정 때문일 수 있습니다" 팝업 메세지뜨며 원격 오류 발생

    5. 로컬 그룹 정책 변경을 통해 Oracle 수정 암호화 사용 설정 및 취약으로 변경

    6. NLA 활성화, NTLM 프로토콜 차단, Oracle 옵션 사용설정하여도 원격 불가

    7. NLA 비활성화 후 원격 데스크톱 연결 가능

    8. 원격컴퓨터와 인증서에 있는 이름이 일치하지 않는다고 뜨며 컴퓨터명등 정보 노출

    https://1drv.ms/u/s!AlXUzqhoQkNbc32AUKNnBVHIo88?e=YKh3YH

    - NTLM 설정 내용

    https://1drv.ms/u/s!AlXUzqhoQkNbcWiK3k_GtK6063Q?e=WxYXMk

    - NLA 사용시 정보 노출

    https://1drv.ms/u/s!AlXUzqhoQkNbckq3sZBnJgFOi7U?e=r79a0Q

    - 이벤트 뷰어를 통한 공격 노출 내용

    사진 공유 오류로 인해 링크 붙여넣습니다.

    2019년 10월 10일 목요일 오전 9:36
  • 안녕하세요,

    상세한 설명 감사합니다. 우선 발생한 오류에 대해서는 CredSSP의 취약점에 대한 보안 업데이트가 작년 5월쯤 있었습니다. 이와 관련해 클라이언트와 서버의 업데이트 설치 상황에 따라 해당 오류가 발생한 사례가 있었습니다. 혹시 서버 및 클라이언트의 업데이트 버전은 어떤지, 둘의 업데이트는 최신 상태인지 확인해보시기 바랍니다.

    https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-0886

    3번째 스크린샷의 경우 서버의 이벤트 로그 내용인가요? 만약 해당 로그온 실패 이벤트를 통해서 도메인 이름이 노출될 것을 걱정하시는 것이라면, 클라이언트단에서는 해당 이벤트가 생성되지 않는 것으로 보입니다.

    아울러, 연결 시도 시에 노출될 수 있는 정보들에 대해서 불안이 있으시다면 포트를 변경하는 방법도 먼저 생각해볼 수 있을 것 같습니다. 아래에 RD 에 관련해 보안을 강화할 수 있는 방법들이 정리되어 있으니 이를 참고해보시는 것도 좋을 것 같습니다.

    https://security.berkeley.edu/education-awareness/best-practices-how-tos/system-application-security/securing-remote-desktop-rdp

    감사합니다.


    ※ 응답이 문제 해결에 도움이 되었다면 [답변으로 표시] 버튼을 눌러 주시기 바랍니다. 이는 유사한 증상을 겪는 다른 사용자들에게 도움이 될 수 있습니다. 만약 TechNet 구독자 지원에 대한 의견이 있다면, tnsf@microsoft.com 으로 문의할 수 있습니다.

    2019년 10월 11일 금요일 오전 1:24
    중재자