ㅁ 설명
- 2016.05 기준 전세계 70,624개 이상의 해킹된 원격 데스크톱 프로토콜(RDP. Remote Desktop Protocol) 서버를 최소 약 6 USD에 암거래하는 플랫폼- 주소 : https://Xdedic.biz (현재 오프라인 상태임)
ㅁ 방법
- Hacktool.Win32.Bruteforce로 탐지되는 XPC와 DUBrute와 같은 무차별 공격(brute-force attacks)을 함.
- 고객은 "SysScan"이라는 프로그램으로 C&C(Command & Control) 서버에 접속하여 서버 정보를 볼 수 있음.
ㅁ 해킹을 의심할 수 있는 상황
1) %SystemRoot%\System32\scclient.exe 이 있음.
서비스(services.msc)에 시작유형 "자동"으로 등록되어 시작됨.
2) C&C(Command & Control) 서버와 8189 포트로 통신함.
2) 비트코인 채굴 소프트웨어 설치됨.
(참조 : xDedic – the shady world of hacked servers for sale. URL : https://securelist.com/blog/research/75027/xdedic-the-shady-world-of-hacked-servers-for-sale/)
(참조 : THE XDEDIC MARKETPLACE. URL : https://securelist.com/files/2016/06/xDedic_marketplace_ENG.pdf)
끝.