2011년 8월 31일
새로운 인터넷 웜이 Microsoft의 RDP(원격 데스크 프로토콜)을 통해 확산된다는 보고를 받았습니다. 이 웜은 감염된 호스트의 서브넷에 RDP를 실행하는 다른 호스트가 있는지 스캔하여 사전 구성된 사용자 이름("관리자" 포함) 및 암호 세트를 사용하여 이러한 호스트에 액세스를 시도합니다. Microsoft에 따르면, 이 웜은 원격으로 제어 및 업데이트 가능하므로, 서비스 거부 공격이나 기타 기능을 수행하도록 감염된 호스트를 조정할 수 있습니다. 이 때문에 웜의 동작은 시간에 따라 바뀔 수 있습니다.
탐지 및 처리를 포함하여 웜에 대한 자세한 내용은 http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Worm:Win32/Morto.A에서 제공합니다.
이 위협은 다음과 같은 몇 가지 기본 보안 모범 사례를 따르면 완화할 수 있습니다. 먼저, 사용자 계정에서 강력한 암호 선택을 시행하는지 확인합니다. AWS가 시작 시 인스턴스에 자동으로 지정하는 고유한 '관리자' 계정이 이 권장 사항을 준수하며, brute force 공격에서 암호를 추측할 수 없을 만큼 충분히 강력한 암호여야 합니다. EC2 Windows 구성 서비스를 사용하여 자동으로 지정된 이 암호를 재정의하는 경우 선택한 암호가 강력한 암호인지 확인하십시오. 강력한 암호 생성에 대한 Microsoft 지침은 http://technet.microsoft.com/en-us/library/cc736605%28WS.10%29.aspx, Windows 구성 서비스 사용에 대한 지침은 http://docs.amazonwebservices.com/AWSEC2/latest/UserGuide/index.html?appendix-windows-config.html에서 제공합니다.
두 번째로, 인바운드 RDP(TCP 3389)를 합법적 RDP 세션이 시작되어야 하는 소스 IP 주소로만 제한하는지 확인합니다. 이러한 액세스 제한은 EC2 보안 그룹을 적절히 구성하여 적용할 수 있습니다. 보안 그룹을 적절히 구성하고 적용하는 방법에 대한 자세한 내용 및 예는 설명서(http://docs.amazonwebservices.com/AWSEC2/latest/UserGuide/index.html?adding-security-group-rules.html)를 참조하십시오.