Стилизованная иллюстрация фигуры с капюшоном на ноутбуке.
Увеличить / Хакер атакует сервер или базу данных. Сетевая безопасность, безопасность базы данных и защита личных данных

Службы DDoS-наемного использования злоупотребляют протоколом удаленного рабочего стола Microsoft, чтобы увеличить огневую мощь распределенных атак типа «отказ в обслуживании», которые парализуют веб-сайты и другие онлайн-сервисы, сообщила на этой неделе компания по безопасности.

Протокол удаленного рабочего стола, обычно сокращенно называемый RDP, является основой для функции Microsoft Windows, которая позволяет одному устройству подключаться к другому устройству через Интернет. RDP в основном используется на предприятиях, чтобы избавить сотрудников от затрат или хлопот, связанных с физическим присутствием при доступе к компьютеру.

Как типично для многих аутентифицированных систем, RDP отвечает на запросы входа в систему гораздо более длинной последовательностью битов, которые устанавливают соединение между двумя сторонами. Так называемые сервисы загрузки / стрессера, которые за определенную плату будут бомбардировать интернет-адреса достаточным объемом данных, чтобы отключить их, недавно использовали RDP как средство усиления своих атак, — компания по безопасности Netscout. сказал.

Усиление позволяет злоумышленникам с ограниченными ресурсами увеличить объем данных, которые они направляют на цели. Этот метод работает, передавая относительно небольшой объем данных в службу усиления, которая, в свою очередь, отражает гораздо больший объем данных в конечной цели. При коэффициенте усиления от 85,9 до 1, запросы со скоростью 10 гигабайт в секунду, направленные на сервер RDP, доставляют к цели примерно 860 Гбит / с.

Читайте также:
Xiaomi издевается над Apple после анонса iPhone 12

«Наблюдаемые размеры атак варьируются от ~ 20 Гбит / с до ~ 750 Гбит / с», — пишут исследователи Netscout. «Как это обычно бывает с новыми векторами DDoS-атак, похоже, что после начального периода использования продвинутыми злоумышленниками с доступом к индивидуализированной инфраструктуре DDoS-атак отражение / усиление RDP было превращено в оружие и добавлено в арсеналы так называемых загрузочных / stresser DDoS-наемные услуги, делая их доступными для большинства злоумышленников ».

Атаки DDoS-усиления существуют уже несколько десятилетий. Поскольку законные пользователи Интернета коллективно блокируют один вектор, злоумышленники находят новые, чтобы занять их место. Усилители DDoS включают открытые преобразователи DNS, протокол WS-Discovery, используемый устройствами IoT, и протокол сетевого времени Интернета. Одним из самых мощных векторов усиления в новейшей памяти является так называемый протокол memcached, который имеет коэффициент 51000: 1.

Атаки с усилением DDoS работают с использованием сетевых пакетов UDP, которые во многих сетях легко подделать. Злоумышленник отправляет вектору запрос и подделывает заголовки, чтобы создать впечатление, что запрос пришел от цели. Затем вектор амплификации отправляет ответ цели, адрес которой появляется в поддельных пакетах.

По словам Netscout, в Интернете имеется около 33 000 серверов RDP, которые могут быть использованы для атак с усилением. Помимо использования пакетов UDP, RDP также может полагаться на пакеты TCP.

Netscout рекомендовал, чтобы серверы RDP были доступны только через службы виртуальной частной сети. В случае, если серверы RDP, предлагающие удаленный доступ через UDP, не могут быть немедленно перемещены за концентраторами VPN, администраторы должны отключить RDP через UDP в качестве временной меры.

Читайте также:
Больше источников подтверждают отслеживание сна и поддержку датчика кислорода в новых Apple Watch

Помимо вреда для Интернета в целом, незащищенный протокол RDP может представлять опасность для организаций, которые открывают для них доступ в Интернет.

«Побочное воздействие атак с отражением / усилением RDP потенциально довольно велико для организаций, чьи серверы Windows RDP используются в качестве отражателей / усилителей», — поясняет Netscout. «Это может включать частичное или полное прерывание критически важных сервисов удаленного доступа, а также дополнительное прерывание сервиса из-за потребления пропускной способности, исчерпания таблиц состояний межсетевых экранов с отслеживанием состояния, балансировщиков нагрузки и т. Д.»