تقویت حملات DDoS توسط مهاجمان، با بهرهگیری از سرویس RDP در سرورهای ویندوزی
محققان Netscout بیش از ۱۴۰۰۰ سرور را شناسایی کردهاند که میتوانند توسط مجموعهای از حملات عمومی مورد سوءاستفاده قرار گرفته و شبکهی سازمانها را با سیل ترافیک مواجه کنند.
یافتههای اخیر در این تحقیقات نشان میدهد که مجرمان سایبری میتوانند از پروتکل RDP مایکروسافت به عنوان یک تقویتکنندهی قوی برای حملات DDoS استفاده کنند. بدین صورت که مهاجمان میتوانند از RDP برای انجام حملات UDP reflection/amplification سوءاستفاده کرده و با نسبت ۸۵.۹:۱ حملات DDoS را تقویت نمایند.
RDP بخشی از سیستمعامل ویندوز است که یک دسترسی مطمئن را به زیرساخت دسکتاپ مجازی از راه دور (VDI) برای ایستگاههای کاری و سرورهای مبتنی بر ویندوز فراهم میکند. مدیران سیستم میتوانند RDP را برای اجرا بر روی TCP port 3389 و یا UDP port 3389 پیکربندی کنند.
با این وجود، تمام سروهای RDP تحت تأثیر این حملات قرار نمیگیرند و به گفتهی محققان، این امر تنها زمانی امکانپذیر است که سرویسRDP بر روی UDP port 3389 فعال شده باشد.
محققان Netscout بیش از ۱۴۰۰۰ سرور RDP قابل سوءاستفاده شناسایی کردهاند که میتوانند توسط حملات DDoS مورد سوءاستفاده قرار گیرند. خبر نگرانکننده این است که به دلیل شیوع ویروس کرونا، در این مدت استفاده از سرویس RDP جهت مدیریت سرورها به طور چشمگیری افزایش یافته و به تبع آن، این نوع حملات نیز با رشد قابل توجهی روبرو بوده است.
این خطر در اوایل هفتهی گذشته برجستهتر شد، زمانی که محققان یک نوع بدافزار جدید به نام Freakout را شناسایی کردند. این بدافزار endpointها را به یک باتنت اضافه میکند تا سیستمهای لینوکسی را برای اجرای حملات DDoS مورد هدف قرار دهد.
در حالی که، در ابتدا تنها مهاجمانی که به زیرساختهای حملهی DDoS دسترسی داشتند از این روش تقویت استفاده میکردند، اما محققان طی تحقیقات خود مشاهده کردند که از سرورهای RDP نیز در سرویسهای DDoS-for-hire که به اصطلاح "booters" نامیده میشود استفاده میشود. این بدان معناست که مهاجم میتواند از این حالتِ تقویت، برای افزایش شدت حملات DDoS خود استفاده کند.
مهاجمان میتوانند ترافیک حملهی تقویتشده را که از پکتهای UDP قطعهقطعهنشده تشکیل شده است و از UDP port 3389 نشئت میگیرد برای یک آدرس IP خاص و پورت UDP انتخابی ارسال کنند و آن را هدف حمله قرار دهند. پکتهای تقویتشده در مقایسه با ترافیک معمولی RDP، 1260 بایت طول دارند و عمدهی بایتهای آنها را رشتههای طولانی صفر تشکیل میدهد.
به گفتهی محققان، استفاده از سرورهای RDP بدین شیوه، پیامدهای قابل توجهی برای سازمانهای قربانی در پی دارد، به عنوان مثال، قطع جزیی یا کلی سرویسهای حیاتی که از راه دور در دسترس هستند، همچنین ایجاد اختلال در سایر سرویسها به دلیل مصرف ظرفیت انتقال و سایر اثرات مرتبط با آن در زیرساخت شبکه.
محققان خاطرنشان کردند: "فیلتر کردن تمام ترافیک UDP/3389-sourced به صورت یکجا توسط اپراتورهای شبکه، ممکن است موجب مسدودسازی بیش از حد ترافیک مجاز اینترنت مانند پاسخهای RDP sessionهای از راه دور شود."
به منظور کاهش استفاده از RDP برای تقویت حملات DDoS و سایر پیامدهای مربوط به آن، توصیههای زیر پیشنهاد میگردد:
- قبل از هر چیز، ابتدا باید سرورهای ویندوزی پشت VPN قرار گیرند، به گونهای که سرویس RDP در آنها تنها از طریق VPN قابل دسترسی باشد.
- اپراتورهای شبکه میبایست سرورهای RDP قابل سوءاستفاده را در شبکههای خود و یا درشبکههای مشتریان زیردست خود شناسایی کنند.
- اگر انجام موارد فوق امکانپذیر نیست، حداقل اقدام ممکن این است که مدیران سرور دسترسی به RDP را از طریق UDP port 3389 غیرفعال نمایند.
- ترافیک اینترنت پرسنل سازمانی را از ترافیک اینترنت عمومی تفکیک شود.
- برای دسترسی به زیرساخت شبکه در سازمان، سیاستهای خاص در نظر گرفته شود. به عنوان مثال، تنها ترافیکهای دریافتی از IPها و پورتهای مورد نیاز پذیرش شوند.
منبع خبر:
https://threatpost.com/threat-actors-can-exploit-windows-rdp-servers-to-amplify-ddos-attacks/163248