研究人员发现有Windows RDP 服务器被DDoS for hire服务滥用用于放大DDoS 攻击活动中。微软RDP服务是Windows系统的内置服务,运行了TCP 3389或 UDP 3389端口上,经过认证的远程虚拟桌面接触设施来访问Windows服务器和工作站。
Netscout研究人员发现有约14万台有漏洞的Windows RDP服务器可以通过互联网访问,而且有攻击者利用这些RDP 服务器来进行UDP 反射/放大DDOS攻击。研究人员称攻击者可以发送恶意伪造的UDP包到RDP 服务器的UDP端口,RDP 服务器就会反射到DDOS攻击的目标,导致大量的垃圾流量冲击到目标系统,放大比率达到了85.9,攻击峰值约750 Gbps。
RDP 服务器已经成为一种新的DDOS 攻击向量,在经过一段初步的使用后,黑客就会大规模地部署,RDP反射/放大已经被吴启华了,加入到了DDoS-for-hire 服务中,使得大量攻击者都可以接触使用。
Netscout目前也在要求运行暴露在互联网上的RDP 服务器的系统管理员将这些服务器下线,转到其他的TCP 端口或将RDP 服务器置于虚拟网络后来限制用户对有漏洞的系统的访问。
自2018年12约起,一共出现过5次大的DDOS放大攻击源,包括Constrained Application Protocol (CoAP)、Web Services Dynamic Discovery (WS-DD)协议、Apple Remote Management Service (ARMS)、Jenkins服务器和Citrix网关。据FBI 消息,前4个攻击源已经在现实的攻击中被滥用了。
2019年,Netscout也发现了在macOS 服务器上滥用Apple Remote Management Service (ARMS) 作为反射/放大攻击向量的DDOS攻击。目前,滥用ARMS进行DDOS 攻击的在野攻击峰值达到了70 gbps、放大率达到35.5。
更多细节参见:https://www.netscout.com/blog/asert/microsoft-remote-desktop-protocol-rdp-reflectionamplification
本文翻译自:https://www.zdnet.com/article/windows-rdp-servers-are-being-abused-to-amplify-ddos-attacks/如若转载,请注明原文地址。
