Серверы Microsoft помогают вести массовые DDoS-атаки
Серверы Microsoft помогают вести массовые DDoS-атаки. Фото: Иван Анатольев
Исследователи кибербезопасности из Black Lotus Labs обнаружили в общей сложности 12 142 сервера с контроллерами домена Microsoft, на которых размещены службы Active Directory компании, которые использовались несколькими вариантами вредоносных программ для увеличения масштабов DDoS-атак.
Серверы принадлежат всевозможным организациям, от религиозных в Северной Америке до коммерческих организаций в Северной Африке.
По словам исследователей, некоторые из самых мощных атак превышали 10 Гбит/с по мусорному трафику и достигали 17 Гбит/с. В беседе с Ars Technica исследователь Black Lotus Lab Чад Дэвис сказал, что трафик был достаточно сильным, чтобы «сам по себе» атаковать некоторые менее подготовленные серверы.
Из сообщения Чада Дэвиса:
«Теоретически сотня из них, работающих в унисон, может генерировать терабит трафика в секунду для атаки».
Исследователи обнаружили, что некоторые из этих серверов использовались в течение нескольких месяцев. Один из них, обнаруженный в Северной Америке, в течение 18 месяцев рассылал гигабайты нежелательного трафика с максимальной скоростью 2 Гбит/с.
Серверы служили усилителями или отражателями. Вместо использования скомпрометированных конечных точек сервера чтобы отправлять нежелательный трафик напрямую к целям и, таким образом, рисковать быть обнаруженными, злоумышленники должны сначала отправлять сетевые запросы третьим сторонам. Если бы эти третьи стороны были неправильно настроены в своих сетях, как эти серверы, запросы могли быть подделаны, как если бы они исходили от самих третьих сторон. Мало того, серверы могут отражать данные на цели в размерах, в тысячи раз превышающих исходную полезную нагрузку.
Некоторые из наиболее популярных рефлекторов — это неправильно сконфигурированные серверы, на которых работают открытые преобразователи DNS, протокол сетевого времени, Memcached для кэширования базы данных и протокол WS-Discovery, обычно используемый в устройствах IoT.
Совсем недавно злоумышленники начали использовать протокол облегченного доступа к каталогам без установления соединения (CLDAP) в качестве источника отражения атак. Как вариант Microsoft Lightweight Directory Access Protocol, CLDAP использует пакеты протокола пользовательских дейтаграмм, чтобы клиенты Windows могли обнаруживать службы для аутентификации пользователей, поясняется в публикации. Судя по всему, злоумышленники используют этот протокол уже пять лет, увеличивая потоки данных до 70 раз.
Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.
Статьи по теме
Комментариев пока не было