RDP服務器被用于DDoS放大攻擊
研究人員發現有Windows RDP 服務器被DDoS for hire服務濫用用于放大DDoS 攻擊活動中。微軟RDP服務是Windows系統的內置服務,運行了TCP 3389或 UDP 3389端口上,經過認證的遠程虛擬桌面接觸設施來訪問Windows服務器和工作站。
Netscout研究人員發現有約14萬臺有漏洞的Windows RDP服務器可以通過互聯網訪問,而且有攻擊者利用這些RDP 服務器來進行UDP 反射/放大DDOS攻擊。研究人員稱攻擊者可以發送惡意偽造的UDP包到RDP 服務器的UDP端口,RDP 服務器就會反射到DDOS攻擊的目標,導致大量的垃圾流量沖擊到目標系統,放大比率達到了85.9,攻擊峰值約750 Gbps。
RDP 服務器已經成為一種新的DDOS 攻擊向量,在經過一段初步的使用后,黑客就會大規模地部署,RDP反射/放大已經被吳啟華了,加入到了DDoS-for-hire 服務中,使得大量攻擊者都可以接觸使用。
Netscout目前也在要求運行暴露在互聯網上的RDP 服務器的系統管理員將這些服務器下線,轉到其他的TCP 端口或將RDP 服務器置于虛擬網絡后來限制用戶對有漏洞的系統的訪問。
自2018年12約起,一共出現過5次大的DDOS放大攻擊源,包括Constrained Application Protocol (CoAP)、Web Services Dynamic Discovery (WS-DD)協議、Apple Remote Management Service (ARMS)、Jenkins服務器和Citrix網關。據FBI 消息,前4個攻擊源已經在現實的攻擊中被濫用了。
2019年,Netscout也發現了在macOS 服務器上濫用Apple Remote Management Service (ARMS) 作為反射/放大攻擊向量的DDOS攻擊。目前,濫用ARMS進行DDOS 攻擊的在野攻擊峰值達到了70 gbps、放大率達到35.5。
更多細節參見:https://www.netscout.com/blog/asert/microsoft-remote-desktop-protocol-rdp-reflectionamplification
本文翻譯自:https://www.zdnet.com/article/windows-rdp-servers-are-being-abused-to-amplify-ddos-attacks/如若轉載,請注明原文地址。
