Серверы Microsoft помогают вести массовые DDoS-атаки

Было обнаружено, что более 12 тыс. плохо сконфигурированных серверов Microsoft используются для мощной атаки распределенного отказа в обслуживании (DDoS).

Серверы Microsoft помогают вести массовые DDoS-атаки. Фото: Иван Анатольев

Исследователи кибербезопасности из Black Lotus Labs обнаружили в общей сложности 12 142 сервера с контроллерами домена Microsoft, на которых размещены службы Active Directory компании, которые использовались несколькими вариантами вредоносных программ для увеличения масштабов DDoS-атак.

Серверы принадлежат всевозможным организациям, от религиозных в Северной Америке до коммерческих организаций в Северной Африке.

По словам исследователей, некоторые из самых мощных атак превышали 10 Гбит/с по мусорному трафику и достигали 17 Гбит/с. В беседе с Ars Technica исследователь Black Lotus Lab Чад Дэвис сказал, что трафик был достаточно сильным, чтобы «сам по себе» атаковать некоторые менее подготовленные серверы.

Из сообщения Чада Дэвиса:

«Теоретически сотня из них, работающих в унисон, может генерировать терабит трафика в секунду для атаки».

Исследователи обнаружили, что некоторые из этих серверов использовались в течение нескольких месяцев. Один из них, обнаруженный в Северной Америке, в течение 18 месяцев рассылал гигабайты нежелательного трафика с максимальной скоростью 2 Гбит/с.

Серверы служили усилителями или отражателями. Вместо использования скомпрометированных конечных точек сервера чтобы отправлять нежелательный трафик напрямую к целям и, таким образом, рисковать быть обнаруженными, злоумышленники должны сначала отправлять сетевые запросы третьим сторонам. Если бы эти третьи стороны были неправильно настроены в своих сетях, как эти серверы, запросы могли быть подделаны, как если бы они исходили от самих третьих сторон. Мало того, серверы могут отражать данные на цели в размерах, в тысячи раз превышающих исходную полезную нагрузку.

Некоторые из наиболее популярных рефлекторов — это неправильно сконфигурированные серверы, на которых работают открытые преобразователи DNS, протокол сетевого времени, Memcached для кэширования базы данных и протокол WS-Discovery, обычно используемый в устройствах IoT.

Совсем недавно злоумышленники начали использовать протокол облегченного доступа к каталогам без установления соединения (CLDAP) в качестве источника отражения атак. Как вариант Microsoft Lightweight Directory Access Protocol, CLDAP использует пакеты протокола пользовательских дейтаграмм, чтобы клиенты Windows могли обнаруживать службы для аутентификации пользователей, поясняется в публикации. Судя по всему, злоумышленники используют этот протокол уже пять лет, увеличивая потоки данных до 70 раз.

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме