1. 개요
VNC, Dameware, Radmin, Terminal Service 등 상용 원격제어프로그램은 외부에서 프로그램이 설치된 컴퓨터에 대해 파일전송, 원격종료, 프로그램 실행 등 전반적인 제어권한을 손쉽게 제어할 수 있는 프로그램으로서 사용자들로부터 큰 인기를 끌고 있다. 하지만 편리성 뒷면에 가려진 보안취약점은 항상 존재하는 법. 원격에서 제어가 가능하므로 해킹 지식이 없어도 이 도구를 악용하여 타인의 컴퓨터에 몰래 설치하면 이는 더할 나위 없는 완벽한 해킹도구가 된다는데 문제가 있다.
지난해 국가기관을 해킹하여 온 나라를 떠들썩하게 했던 ‘Peep 해킹 사건’에 사용된 도구 ‘Peep’프로그램 역시 최초에는 상용 원격제어프로그램이었다. 아직까지 구체적인 통계는 없으나 이와 같은 상용 원격제어프로그램을 이용한 해킹방법의 피해 및 파급효과는 심각한 수준에 이른 것으로 추정된다.
<그림1. 원격제어프로그램인 Peep을 통한 해킹화면>
2. 원격제어 프로그램 종류
원격제어프로그램은 상용프로그램, 윈도우 자체 내장프로그램을 비롯하여 해킹툴까지 여러 종류가 있다. 상용프로그램으로는 Radmin, Dameware, VNC,PC Anywhere 등이 출시되어 시판되고 있으며 무료 프로그램인 MSN 메신저의 ‘원격지원’이나, Windows 자체 내장된 ‘Terminal Service’ 등을 이용해도 기본적인 원격제어를 할 수 있다.
<그림2. MSN 메신저를 이용한 원격지원>
<그림3. 윈도우 원격데스크톱 서비스를 이용한 원격제어화면>
3. 상용 원격제어프로그램을 악용한 웜 주요 사례
최근 나온 웜•바이러스를 분석해보면 상용 원격제어프로그램 취약점을 이용한 악성코드 출현이 증가되고 있다는 것을 알 수 있다.
올해 1 월에 발견된 ‘Rahack’웜은 자체 산출된 일정대역 IP 에 대해 Radmin 이 사용하는 포트인 4899 을 대상으로 스캐닝한다. 만일 4899포트가 열려있다면 이 IP 를 파일에 저장하고 몇몇 취약한 패스워드
(123456789 , 11111111, 12345678, password, qwertyui, 00000000,12341234 )를 대상으로 브루트 포스(Brute Force) 공격을 시도, Radmin접속을 시도한다.
<그림4. Rahack 웜 전파 개념도>
2003년 3월에 발견된 ‘Deloder’웜은 ‘Rahack’웜과 유사하나 이용하는 원격제어프로그램이 Radmin이 아니라 VNC라는 점이 다르다. 이 웜은 Administrator 패스워드가 취약한 PC를 검색하고 이후 취약한 시스템을 발견하면 파일공유폴더를 이용해 VNC파일을 복사하고 시작레지스트리키를 조작하여 피해시스템에 VNC 서버가 실행되도록 한다.
<그림5. Deloader 웜 전파 개념도>
출처: Monthly 사이버시큐리티 3월호
VNC, Dameware, Radmin, Terminal Service 등 상용 원격제어프로그램은 외부에서 프로그램이 설치된 컴퓨터에 대해 파일전송, 원격종료, 프로그램 실행 등 전반적인 제어권한을 손쉽게 제어할 수 있는 프로그램으로서 사용자들로부터 큰 인기를 끌고 있다. 하지만 편리성 뒷면에 가려진 보안취약점은 항상 존재하는 법. 원격에서 제어가 가능하므로 해킹 지식이 없어도 이 도구를 악용하여 타인의 컴퓨터에 몰래 설치하면 이는 더할 나위 없는 완벽한 해킹도구가 된다는데 문제가 있다.
지난해 국가기관을 해킹하여 온 나라를 떠들썩하게 했던 ‘Peep 해킹 사건’에 사용된 도구 ‘Peep’프로그램 역시 최초에는 상용 원격제어프로그램이었다. 아직까지 구체적인 통계는 없으나 이와 같은 상용 원격제어프로그램을 이용한 해킹방법의 피해 및 파급효과는 심각한 수준에 이른 것으로 추정된다.
<그림1. 원격제어프로그램인 Peep을 통한 해킹화면>
2. 원격제어 프로그램 종류
원격제어프로그램은 상용프로그램, 윈도우 자체 내장프로그램을 비롯하여 해킹툴까지 여러 종류가 있다. 상용프로그램으로는 Radmin, Dameware, VNC,PC Anywhere 등이 출시되어 시판되고 있으며 무료 프로그램인 MSN 메신저의 ‘원격지원’이나, Windows 자체 내장된 ‘Terminal Service’ 등을 이용해도 기본적인 원격제어를 할 수 있다.
<그림2. MSN 메신저를 이용한 원격지원>
<그림3. 윈도우 원격데스크톱 서비스를 이용한 원격제어화면>
3. 상용 원격제어프로그램을 악용한 웜 주요 사례
최근 나온 웜•바이러스를 분석해보면 상용 원격제어프로그램 취약점을 이용한 악성코드 출현이 증가되고 있다는 것을 알 수 있다.
올해 1 월에 발견된 ‘Rahack’웜은 자체 산출된 일정대역 IP 에 대해 Radmin 이 사용하는 포트인 4899 을 대상으로 스캐닝한다. 만일 4899포트가 열려있다면 이 IP 를 파일에 저장하고 몇몇 취약한 패스워드
(123456789 , 11111111, 12345678, password, qwertyui, 00000000,12341234 )를 대상으로 브루트 포스(Brute Force) 공격을 시도, Radmin접속을 시도한다.
<그림4. Rahack 웜 전파 개념도>
2003년 3월에 발견된 ‘Deloder’웜은 ‘Rahack’웜과 유사하나 이용하는 원격제어프로그램이 Radmin이 아니라 VNC라는 점이 다르다. 이 웜은 Administrator 패스워드가 취약한 PC를 검색하고 이후 취약한 시스템을 발견하면 파일공유폴더를 이용해 VNC파일을 복사하고 시작레지스트리키를 조작하여 피해시스템에 VNC 서버가 실행되도록 한다.
<그림5. Deloader 웜 전파 개념도>
출처: Monthly 사이버시큐리티 3월호
다음검색