[Tool]rdprobe 를 사용한 Dictionary-attack 공격

1. 개요

bruteForce 공격이란.. 사전대입공격방법이라고 해서 Dictionary attack 이라고도 하는데요. 

(아닙니다. BruteForce 공격과 Dictionary attack은 차이점이 있습니다.)

특정 계정에 대한 패스워드를 무차별적으로 입력하여, 패스워드를 알아내는 공격기법입니다. 무식한 공격기법이죠.. ㅋ

--> 이게 Dictionary-Attack 입니다. ^^;;

170606 추가내용) - Been94님의 댓글로 인해 글을 수정하였습니다. 댓글 감사합니다. ^^

BruteForce - 패스워드 리스트를 사용하지 않고, 패스워드 입력공간에 가능한 모든 기법을 동원하여 공격하는 기법

Dictionary-attack -  공격자가 패스워드로 주로 사용되는 리스트 파일을 가지고 하나씩 대입해 보는 기법

이번 포스팅에서는 mstsc 원격 취약점이 있는 PC에 대한 bruteForce Dictionary-attack 공격을 수행하는 실습을 해보겠습니다.

mstsc 란 3389 포트를 사용하는 서비스로서 원격터미널 서비스라고도 합니다. 윈도우에서 사용되는 서비스인데요.. 아시는 분은 다 아실거라고 생각합니다.

예를 들어, 시작->실행 혹은 cmd 명령프롬프트 창에

mstsc /v:[IP Address] /console 이라고 입력을 하면 원격으로 해당 IP Address에 대한 PC에 접근을 할 수 있습니다.

bruteForce Dictionary-attack공격은 rdprobe 란 프로그램을 이용하여 해보겠습니다.

2. 설명

먼저 원격서비스가 열려있는 취약한 곳을 찾습니다. 해당 서비스를 찾기 위해서는 먼저 3389포트가 열려있는 곳을 찾으면 될겁니다. 포트스캐닝으로 3389포트가 열려있는 곳을 찾으면 쉽겠죠.. ?!

타겟을 찾았다면, 직접 한번 mstsc 명령을 입력하여, 접속이 되는지 확인합니다.

위의 그림처럼 mstsc 명령어와 옵션을 입력하신 뒤 접속이 성공되면 아래와 같은 화면이 짠! 하고 뜹니다.

접속이 되는것을 확인 하였으면, 계정명과 패스워드 입력 후 접속을 하면 되지만, 접속을 못할 겁니다.

왜냐면, ...... 우리는 패스워드를 모르기 때문이죠. 보통 윈도우에서 사용하는 기본 계정이 administrator와 guest라고 생각하면 두 계정에 대한 계정명을 변경을 하지 않았다면, 해당 계정에 대한 패스워드만 알면, 접속이 가능할 것입니다.

하지만 모.르.기 때문에.. 여기서 이제 bruteForce Dictionary-attack 공격기법을 사용하는 것입니다.

bruteForce Dictionary-attack 공격은 앞서 설명한 것처럼 rdprobe 프로그램을 통해 수행해보겠습니다.

rdprobe.zip

위의 첨부파일을 다운받으시고 실습을 한번 따라해 보세요.

먼저 파일을 다운받고 압축을 풀면 3개의 exe 파일이 있습니다. 각 각의 파일에 대한 설명은 read.txt 파일을 참조해주세요. 따로 설명해 드리지는 않겠습니다.

여기서 저희가 사용할 exe파일은 1개인데, 그것은 바로 rdprobe.exe 파일입니다.

사용방법은 명령프롬프트창에서 rdprobe.exe 가 있는 경로에서 rdprobe.exe --help 를 입력하시면 다음과 같이 나옵니다.

rdprobe -u [계정명] -d [패스워드들이 입력된 파일명].txt [IP Addr]

입니다.

이제 마지막으로 rdprobe.exe 실행 화면으로 설명을 마치겠습니다.

위 사진은 rdprobe 프로그램 명령을 입력한 창입니다. 뒤에 dict.txt는 rdprobe 프로그램에 위치한 폴더에 있는 dict.txt 파일입니다. 해당 파일 안에는 여러 종류의 패스워드가 나열되어 있습니다.

rdprobe는 txt 파일 안에 있는 패스워드를 하나씩 대입하면서 패스워드를 찾을겁니다. 헤헤

마지막으로 결과 화면입니다.

Failed! 라고 뜬 것은 올바르지 않은 패스워드란 의미이고.. 만약 올바른 패스워드라면 뭐라고 뜰까요?

그건 여러분의 상상에 맡기겠습니다. ;; 

3. 결론

mstsc 명령을 이용한 윈도우 원격접속터미널을 rdprobe를 사용하여 bruteForce Dictionary-attack 공격을 해보았습니다.

해당 bruteForce Dictionary-attack 공격은 로그인 관련 로그들을 보면 쉽게 탐지할 수 있는 공격입니다.

그리고 필요한 서비스에 대해서만 정책을 열고 닫는 타이트한 방화벽 정책을 수립하면 해당 공격은 쉽게 막을 수 있을 것입니다.

본 포스팅은 보안에 대한 공부를 목적으로 포스팅된 내용이므로, 악용은 하지 말아주시기 바랍니다.

감사합니다.

Been94