信息化觀察網(wǎng)

研究人員發(fā)現(xiàn)有Windows RDP服務(wù)器被DDoS for hire服務(wù)濫用用于放大DDoS攻擊活動(dòng)中。微軟RDP服務(wù)是Windows系統(tǒng)的內(nèi)置服務(wù)，運(yùn)行了TCP 3389或UDP 3389端口上，經(jīng)過認(rèn)證的遠(yuǎn)程虛擬桌面接觸設(shè)施來訪問Windows服務(wù)器和工作站。

Netscout研究人員發(fā)現(xiàn)有約14萬臺(tái)有漏洞的Windows RDP服務(wù)器可以通過互聯(lián)網(wǎng)訪問，而且有攻擊者利用這些RDP服務(wù)器來進(jìn)行UDP反射/放大DDOS攻擊。研究人員稱攻擊者可以發(fā)送惡意偽造的UDP包到RDP服務(wù)器的UDP端口，RDP服務(wù)器就會(huì)反射到DDOS攻擊的目標(biāo)，導(dǎo)致大量的垃圾流量沖擊到目標(biāo)系統(tǒng)，放大比率達(dá)到了85.9，攻擊峰值約750 Gbps。

RDP服務(wù)器已經(jīng)成為一種新的DDOS攻擊向量，在經(jīng)過一段初步的使用后，黑客就會(huì)大規(guī)模地部署，RDP反射/放大已經(jīng)被吳啟華了，加入到了DDoS-for-hire服務(wù)中，使得大量攻擊者都可以接觸使用。

Netscout目前也在要求運(yùn)行暴露在互聯(lián)網(wǎng)上的RDP服務(wù)器的系統(tǒng)管理員將這些服務(wù)器下線，轉(zhuǎn)到其他的TCP端口或?qū)DP服務(wù)器置于VPN后來限制用戶對(duì)有漏洞的系統(tǒng)的訪問。

自2018年12約起，一共出現(xiàn)過5次大的DDOS放大攻擊源，包括Constrained Application Protocol(CoAP)、Web Services Dynamic Discovery(WS-DD)協(xié)議、Apple Remote Management Service(ARMS)、Jenkins服務(wù)器和Citrix網(wǎng)關(guān)。據(jù)FBI消息，前4個(gè)攻擊源已經(jīng)在現(xiàn)實(shí)的攻擊中被濫用了。

2019年，Netscout也發(fā)現(xiàn)了在macOS服務(wù)器上濫用Apple Remote Management Service(ARMS)作為反射/放大攻擊向量的DDOS攻擊。目前，濫用ARMS進(jìn)行DDOS攻擊的在野攻擊峰值達(dá)到了70 gbps、放大率達(dá)到35.5。

更多細(xì)節(jié)參見：https://www.netscout.com/blog/asert/microsoft-remote-desktop-protocol-rdp-reflectionamplification

本文翻譯自：https://www.zdnet.com/article/windows-rdp-servers-are-being-abused-to-amplify-ddos-attacks/