원격 데스크톱 통해 윈도우 PC 감염시키는 신종 웜 발견

RDP 이용한 최초의 웜...다량의 아웃바운드 RDP 트래픽 발생시켜

[보안뉴스 호애진] 최근 RDP(원격 데스크톱 프로토콜)를 통해 윈도우 PC를 감염시키는 모르토(Morto)라는 새로운 웜이 인터넷에 퍼지고 있다. 이는 RDP를 감염 매개체로 이용하는 최초의 웜이다.

이 웜으로 인해 네트워크상의 감염 머신은 다량의 아웃바운드 RDP 트래픽을 발생시킨다. 모르토는 윈도우로 구동되는 서버와 워크스테이션을 모두 감염시킬 수 있다.

모르토의 감염 사례를 겪은 사용자들은 윈도우 헬프(Help) 포럼에 이 웜이 클린 인스톨(clean install)하고 완벽히 패치를 적용한 윈도우 서버 2003을 감염시키고 있다는 글을 올리고 있다. 클린 인스톨이란 기존에 사용하던 데이터를 백업받고 새로운 운영체제를 설치해 기존 소프트웨어를 밀어내는 것을 말한다.

SANS 인터넷 스톰 센터(SANS Internet Storm Center)는 감염 시스템들이 네트워크를 스캐닝해 RDP 서비스가 열린 원격 머신을 찾고 있기 때문에 지난 며칠 동안 RDP 트래픽이 크게 증가했다고 28일 발표했다. 새로운 기기에 침투한 모르토가 하는 행동 중 하나는 감염시킬 다른 PC와 서버를 찾아 로컬 네트워크를 스캐닝하는 일이다.

SANS의 케빈 쇼트(Kevin Shortt)는 블로그를 통해 “몇 주전 3389 포트의 트래픽이 급증했다고 지적된 바 있는데 지금은 그 트래픽이 10배 증가했다”며 “즉 네트워크를 스캐닝하며 RDP 서비스를 찾는 감염 시스템이 늘었다는 의미”라고 밝혔다.

모르토가 일단 한 머신을 감염시킨 후 감염시킬 또 다른 PC를 성공적으로 찾아내면 RDP 서비스의 패스워드를 찾으려고 끈질기게 시도한다. 이 웜이 시도하는 비밀번호들은 아래와 같이 아주 간단하다. 따라서 비밀번호를 복잡하게 설정하는 것이 중요하다.

admin

password

server

test

user

pass

letmein

1234qwer

1q2w3e

1qaz2wsx

aaa

abc123

abcd1234

admin123

111

123

369

1111

12345

111111

123123

123321

123456

654321

666666

888888

1234567

12345678

123456789

1234567890

F-시큐어의 미코 히포넌(Mikko Hypponene) CRO는 “머신이 감염되고 나면 모르토는 원격 데스크톱 연결 서비스가 활성화된 기기를 찾아 로컬 네트워크를 스캐닝하게 된다”며 “따라서 RDP 포트인 3389/TCP 포트에 다량의 트래픽이 발생하게 된다”고 설명했다.

일단 원격 시스템에 연결되면 공유 기능을 통해 예컨대 C:, D:(각각 \tsclient\c, \\tsclient\d)와 같은 서버의 드라이브에 액세스할 수 있다. 모르토는 이 공유 기능을 이용해 표적 머신에 자신을 복사한다.

다시 말해 문자 A:로 된 임시 드라이브를 생성하고 이 드라이브에 a.dll이라는 파일을 복사하는 것이다. 시스템이 감염되면 \windows\system32\sens32.dll, \windows\offline web pages\cache.txt.와 같은 몇 가지 파일이 새로 생성된다.

모르토는 원격으로 조정할 수 있으며 이는 jaifr.com, qfsl.net 등의 대체 서버를 통해 이뤄진다.

[호애진 기자(boan5@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)