信息来源:soword
作为DDoS攻击的一部分,网络犯罪团伙正在滥用Windows远程桌面协议(RDP)系统来反弹和放大垃圾流量,安全公司Netscout在周二的一次警告中说。
不是所有的RDP服务器都可以被滥用,但只有在上面的UDP端口3389上也启用了RDP身份验证的系统才能被滥用标准TCP端口3389。
Netscout说,攻击者可以向RDP服务器的UDP端口发送格式错误的UDP数据包,这些数据包将被反射到DDoS攻击的目标,在大小上被放大,导致垃圾流量击中目标系统。
这就是安全研究人员所说的DDoS放大因子,它还允许访问有限资源的攻击者借助暴露于互联网的系统放大垃圾流量,从而发动大规模DDoS攻击。
在RDP的情况下,Netscout说放大系数为85.9,攻击者发送几个字节,并生成“一致为1,260字节长。”
一个85.9的因子将RDP置于DDoS放大向量的最高层,像Jenkins服务器(~100)、DNS(最多179)、WS-Discovery(300-500)、NTP(~550)和Memcached(~50000)。
RDP服务器已经被滥用,用于现实世界的攻击
但坏消息不会以放大因子结束。Netscout说,威胁行为体也了解到了这种新的载体,这种载体现在正被严重滥用。
“与较新的DDoS攻击载体一样,在高级攻击者使用定制的DDoS攻击基础设施的初始阶段后,RDP反射/放大似乎已经被武器化并研究人员说:“除了所谓的booter/stresser-DDoS-for-hire服务之外,Netscout还要求那些在互联网上运行RDP服务器的系统管理员让系统离线,将它们切换到等效的TCP端口,或者将RDP服务器放在后面。”为了限制谁可以与易受攻击的系统进行交互,vpn目前,Netscout表示,它正在检测14000多个RDP服务器,这些服务器暴露在网上,运行在UDP端口3389上。
自2018年12月以来,五个新的DDoS放大源曝光。其中包括https://www.zdnet.com/article/the-coap-protocol-is-the-next-big-thing-for-ddos-attacks攻击/“target=”\u blank“>受限应用协议(CoAP),Citrix网关
根据FBI的说法,前四个在现实世界的攻击中被滥用。
黑客泄露了数百万Teespring用户的数据
NSA敦促系统管理员通过注册来替换过时的TLS协议,您同意https://redventures.com/CMG-terms-of-use.html“target=”\u blank“rel=”noopener noreferrer nof