信息來(lái)源:soword
作為DDoS攻擊的一部分,網(wǎng)絡(luò)犯罪團(tuán)伙正在濫用Windows遠(yuǎn)程桌面協(xié)議(RDP)系統(tǒng)來(lái)反彈和放大垃圾流量,安全公司Netscout在周二的一次警告中說(shuō)。
不是所有的RDP服務(wù)器都可以被濫用,但只有在上面的UDP端口3389上也啟用了RDP身份驗(yàn)證的系統(tǒng)才能被濫用標(biāo)準(zhǔn)TCP端口3389。
Netscout說(shuō),攻擊者可以向RDP服務(wù)器的UDP端口發(fā)送格式錯(cuò)誤的UDP數(shù)據(jù)包,這些數(shù)據(jù)包將被反射到DDoS攻擊的目標(biāo),在大小上被放大,導(dǎo)致垃圾流量擊中目標(biāo)系統(tǒng)。
這就是安全研究人員所說(shuō)的DDoS放大因子,它還允許訪問(wèn)有限資源的攻擊者借助暴露于互聯(lián)網(wǎng)的系統(tǒng)放大垃圾流量,從而發(fā)動(dòng)大規(guī)模DDoS攻擊。
在RDP的情況下,Netscout說(shuō)放大系數(shù)為85.9,攻擊者發(fā)送幾個(gè)字節(jié),并生成“一致為1,260字節(jié)長(zhǎng)。”
一個(gè)85.9的因子將RDP置于DDoS放大向量的最高層,像Jenkins服務(wù)器(~100)、DNS(最多179)、WS-Discovery(300-500)、NTP(~550)和Memcached(~50000)。
RDP服務(wù)器已經(jīng)被濫用,用于現(xiàn)實(shí)世界的攻擊
但壞消息不會(huì)以放大因子結(jié)束。Netscout說(shuō),威脅行為體也了解到了這種新的載體,這種載體現(xiàn)在正被嚴(yán)重濫用。
“與較新的DDoS攻擊載體一樣,在高級(jí)攻擊者使用定制的DDoS攻擊基礎(chǔ)設(shè)施的初始階段后,RDP反射/放大似乎已經(jīng)被武器化并研究人員說(shuō):“除了所謂的booter/stresser-DDoS-for-hire服務(wù)之外,Netscout還要求那些在互聯(lián)網(wǎng)上運(yùn)行RDP服務(wù)器的系統(tǒng)管理員讓系統(tǒng)離線,將它們切換到等效的TCP端口,或者將RDP服務(wù)器放在后面?!睘榱讼拗普l(shuí)可以與易受攻擊的系統(tǒng)進(jìn)行交互,vpn目前,Netscout表示,它正在檢測(cè)14000多個(gè)RDP服務(wù)器,這些服務(wù)器暴露在網(wǎng)上,運(yùn)行在UDP端口3389上。
自2018年12月以來(lái),五個(gè)新的DDoS放大源曝光。其中包括https://www.zdnet.com/article/the-coap-protocol-is-the-next-big-thing-for-ddos-attacks攻擊/“target=”\u blank“>受限應(yīng)用協(xié)議(CoAP),Citrix網(wǎng)關(guān)
根據(jù)FBI的說(shuō)法,前四個(gè)在現(xiàn)實(shí)世界的攻擊中被濫用。
黑客泄露了數(shù)百萬(wàn)Teespring用戶的數(shù)據(jù)
NSA敦促系統(tǒng)管理員通過(guò)注冊(cè)來(lái)替換過(guò)時(shí)的TLS協(xié)議,您同意https://redventures.com/CMG-terms-of-use.html“target=”\u blank“rel=”noopener noreferrer nof