Różności i nowinki technologia

DDoSerzy nadużywają protokołu RDP firmy Microsoft, aby zwiększyć siłę ataków

Stylizowana ilustracja postaci z kapturem na laptopie.
Powiększać / Haker atakujący serwer lub bazę danych. Bezpieczeństwo sieci, bezpieczeństwo baz danych i ochrona danych osobowych

Usługi DDoS do wynajęcia nadużywają protokołu Microsoft Remote Desktop Protocol, aby zwiększyć siłę rażenia rozproszonych ataków typu „odmowa usługi”, które paraliżują witryny internetowe i inne usługi online, poinformowała w tym tygodniu firma zajmująca się bezpieczeństwem.

Protokół zdalnego pulpitu, zwykle nazywany w skrócie RDP, stanowi podstawę funkcji systemu Microsoft Windows, która umożliwia jednemu urządzeniu logowanie się do innego urządzenia przez Internet. Protokół RDP jest najczęściej używany przez firmy w celu zaoszczędzenia pracownikom kosztów lub kłopotów związanych z koniecznością fizycznej obecności podczas uzyskiwania dostępu do komputera.

Jak to jest typowe w przypadku wielu uwierzytelnionych systemów, protokół RDP odpowiada na żądania logowania znacznie dłuższą sekwencją bitów, które nawiązują połączenie między dwiema stronami. Tak zwane usługi booter / streser, które za opłatą będą bombardować adresy internetowe wystarczającą ilością danych, aby przenieść je w tryb offline, niedawno przyjęły RDP jako środek do wzmocnienia swoich ataków, powiedziała firma bezpieczeństwa Netscout.

Wzmocnienie pozwala napastnikom dysponującym jedynie skromnymi zasobami zwiększyć rozmiar danych, które kierują do celów. Technika ta działa na zasadzie odbijania stosunkowo niewielkiej ilości danych w usłudze wzmacniania, co z kolei odzwierciedla znacznie większą ilość danych w miejscu docelowym. Przy współczynniku wzmocnienia od 85,9 do 1, 10 gigabajtów na sekundę żądań kierowanych do serwera RDP dostarczy około 860 Gb / s do celu.

„Zaobserwowane rozmiary ataków wahają się od ~ 20 Gb / s do ~ 750 Gb / s” – napisali naukowcy z Netscout. „Jak to zwykle bywa w przypadku nowszych wektorów ataków DDoS, wydaje się, że po początkowym okresie zatrudnienia przez zaawansowanych atakujących z dostępem do infrastruktury ataków DDoS na zamówienie odbicie / wzmocnienie RDP zostało uzbrojone i dodane do arsenałów tzw. stresujące usługi DDoS do wynajęcia, umieszczając je w zasięgu ogólnej populacji atakujących ”.

Ataki typu amplifikacja DDoS sięgają dekad. Ponieważ uprawnieni użytkownicy Internetu wspólnie blokują jeden wektor, napastnicy znajdują nowych, którzy zajmują ich miejsce. Wzmacniacze DDoS obejmują otwarte resolwery DNS, protokół WS-Discovery używany przez urządzenia IoT oraz internetowy protokół czasu sieciowego. Jednym z najpotężniejszych wektorów amplifikacji we współczesnej pamięci jest tak zwany protokół memcached, który ma współczynnik od 51 000 do 1.

Ataki typu amplifikacja DDoS działają przy użyciu pakietów sieciowych UDP, które można łatwo sfałszować w wielu sieciach. Atakujący wysyła do wektora żądanie i fałszuje nagłówki, aby wyglądało, że żądanie pochodzi od celu. Wektor amplifikacji wysyła następnie odpowiedź do celu, którego adres pojawia się w sfałszowanych pakietach.

W Internecie jest około 33 000 serwerów RDP, które mogą zostać wykorzystane w atakach typu amplifikacja, powiedział Netscout. Oprócz używania pakietów UDP, RDP może również polegać na pakietach TCP.

Netscout zalecił, aby serwery RDP były dostępne tylko za pośrednictwem wirtualnych usług sieci prywatnej. W przypadku, gdy serwery RDP oferujące zdalny dostęp przez UDP nie mogą być natychmiast przeniesione za koncentratory VPN, administratorzy powinni tymczasowo wyłączyć RDP przez UDP.

Oprócz szkodzenia całemu internetowi niezabezpieczony PROW może stanowić zagrożenie dla organizacji, które narażają je na dostęp do Internetu.

„Uboczny wpływ ataków na odbicie / wzmocnienie RDP jest potencjalnie dość duży dla organizacji, których serwery Windows RDP są wykorzystywane jako reflektory / wzmacniacze” – wyjaśnił Netscout. „Może to obejmować częściowe lub całkowite przerwanie usług dostępu zdalnego o znaczeniu krytycznym, a także dodatkowe zakłócenia usług spowodowane zużyciem przepustowości tranzytu, wyczerpaniem stanowych zapór ogniowych, systemów równoważenia obciążenia itp.”

Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook