研究人员发现有Windows RDP服务器被DDoS for hire服务滥用用于放大DDoS攻击活动中。微软RDP服务是Windows系统的内置服务,运行了TCP 3389或UDP 3389端口上,经过认证的远程虚拟桌面接触设施来访问Windows服务器和工作站。
Netscout研究人员发现有约14万台有漏洞的Windows RDP服务器可以通过互联网访问,而且有攻击者利用这些RDP服务器来进行UDP反射/放大DDOS攻击。研究人员称攻击者可以发送恶意伪造的UDP包到RDP服务器的UDP端口,RDP服务器就会反射到DDOS攻击的目标,导致大量的垃圾流量冲击到目标系统,放大比率达到了85.9,攻击峰值约750 Gbps。
RDP服务器已经成为一种新的DDOS攻击向量,在经过一段初步的使用后,黑客就会大规模地部署,RDP反射/放大已经被吴启华了,加入到了DDoS-for-hire服务中,使得大量攻击者都可以接触使用。
Netscout目前也在要求运行暴露在互联网上的RDP服务器的系统管理员将这些服务器下线,转到其他的TCP端口或将RDP服务器置于VPN后来限制用户对有漏洞的系统的访问。
自2018年12约起,一共出现过5次大的DDOS放大攻击源,包括Constrained Application Protocol(CoAP)、Web Services Dynamic Discovery(WS-DD)协议、Apple Remote Management Service(ARMS)、Jenkins服务器和Citrix网关。据FBI消息,前4个攻击源已经在现实的攻击中被滥用了。
2019年,Netscout也发现了在macOS服务器上滥用Apple Remote Management Service(ARMS)作为反射/放大攻击向量的DDOS攻击。目前,滥用ARMS进行DDOS攻击的在野攻击峰值达到了70 gbps、放大率达到35.5。
更多细节参见:https://www.netscout.com/blog/asert/microsoft-remote-desktop-protocol-rdp-reflectionamplification
本文翻译自:https://www.zdnet.com/article/windows-rdp-servers-are-being-abused-to-amplify-ddos-attacks/
