Эти серверы Microsoft помогают разжигать массовые DDoS-атаки

31 октября 2022 г.

Было обнаружено, что более 12 000 плохо сконфигурированных серверов Microsoft используются для осуществления чрезвычайно мощного распределенного отказа в обслуживании (DDoS).

Исследователи кибербезопасности из Black Lotus Labs обнаружили в общей сложности 12 142 сервера с контроллерами домена Microsoft, на которых размещены службы Active Directory компании, которые использовались несколькими вариантами вредоносных программ для увеличения размер DDoS-атак.

Серверы принадлежат самым разным организациям, от религиозных в Северной Америке до коммерческих структур в Северной Африке.

Оскорбляли месяцами

Некоторые из самых мощных из них превышали 10 Гбит/с по мусорному трафику и достигали 17 Гбит/с, говорят исследователи. В беседе с Ars Technica по электронной почте исследователь Black Lotus Lab Чед Дэвис сказал, что трафик был достаточно сильным, чтобы «сам по себе» атаковать некоторые менее подготовленные серверы. «Теоретически сотня таких серверов, работающих в унисон, может генерировать терабит атакующего трафика в секунду», — сказал он.

Как выяснили исследователи, некоторые из этих серверов использовались в течение нескольких месяцев. Один из них, обнаруженный в Северной Америке, в течение 18 месяцев рассылал гигабайты нежелательного трафика с максимальной скоростью 2 Гбит/с.

Как им удалось добиться такой высокой производительности? Служа усилителями или отражателями. Вместо использования скомпрометированного сервера конечных точек для прямой отправки нежелательного трафика на цели , и, таким образом, рискуя быть обнаруженными, злоумышленники будут отправлять сетевые запросы в первую очередь третьим сторонам. Если бы эти третьи стороны были неправильно настроены в своих сетях, как эти серверы, запросы могли быть подделаны, как если бы они исходили от самих третьих сторон. Мало того, серверы могут отражать данные на цели в размерах, в тысячи раз превышающих исходную полезную нагрузку.

Согласно Ars Technica, некоторые из наиболее популярных рефлекторов — это неправильно настроенные серверы, на которых запущены открытые преобразователи DNS, протокол сетевого времени, Memcached для кэширования базы данных и протокол WS-Discovery, который обычно используется в устройствах Интернета вещей. .

Совсем недавно злоумышленники начали использовать протокол облегченного доступа к каталогам без установления соединения (CLDAP) в качестве источника отражения атак. В качестве варианта Microsoft облегченного протокола доступа к каталогам CLDAP использует пакеты протокола пользовательских дейтаграмм, чтобы клиенты Windows могли обнаруживать службы для аутентификации пользователей, поясняется в публикации. Судя по всему, злоумышленники используют этот протокол уже пять лет, увеличивая потоки данных до 70 раз.

Полный отчет можно найти на странице эта ссылка.

• Вот наш взгляд на лучшие брандмауэры на сегодняшний день

Через: Арс Техника

---

Оригинал