網絡犯罪團伙正在濫用 Windows RDP 服務器來放大 DDoS 攻擊 - 網安

安全公司Netscout在周二的警報中表示，網絡犯罪團伙正在濫用Windows遠程桌面協議（RDP）系統來反彈和放大垃圾流量，這是DDoS攻擊的一部分。

并非所有RDP服務器都可以被濫用，只有在標準TCP端口3389之上的UDP端口3389上還啟用了RDP身份驗證的系統才可以被濫用。

Netscout表示，攻擊者可以將格式錯誤的UDP數據包發送到RDP服務器的UDP端口，這將反映給DDoS攻擊目標，并將其放大，從而導致垃圾流量攻擊目標系統。

這就是安全研究人員所說的DDoS放大因子，它允許訪問受限資源的攻擊者借助暴露于Internet的系統來放大垃圾流量，從而發起大規模DDoS攻擊。

Netscout說，在RDP的情況下，放大倍數是85.9，攻擊者發送幾個字節并生成“攻擊數據包”，這些“攻擊數據包”的長度始終為1,260個字節。

85.9的因素使RDP成為DDoS放大向量的頂級梯隊，例如Jenkins服務器（?100），DNS（最多179），WS-Discovery（300-500），NTP（?550）和Memcached（ ?50,000）。

但是，壞消息并沒有以放大倍數結束。Netscout表示，威脅行為者還了解到了這種新媒介，該媒介現在正被嚴重濫用。

“像通常使用更新的DDoS攻擊媒介的情況一樣，在高級攻擊者開始使用定制的DDoS攻擊基礎結構后，似乎已經對RDP反射/放大進行了武器化，并添加到所謂的booter /強調DDoS租用服務，使普通攻擊者無法承受。”研究人員說。

Netscout現在要求運行在Internet上運行RDP服務器的系統管理員使系統脫機，將它們切換到等效的TCP端口，或將RDP服務器置于VPN后面，以限制誰可以與易受攻擊的系統進行交互。

Netscout目前表示，它正在檢測超過14,000臺RDP服務器，這些服務器在線暴露并運行在UDP端口3389上。

自2018年12月以來，已經出現了五個新的DDoS放大源。其中包括約束應用程序協議（CoAP），Web服務動態發現（WS-DD）協議，Apple遠程管理服務（ARMS）， Jenkins服務器和Citrix網關。