网络犯罪团伙正在滥用 Windows RDP 服务器来放大 DDoS 攻击 - 网安

安全公司Netscout在周二的警报中表示，网络犯罪团伙正在滥用Windows远程桌面协议（RDP）系统来反弹和放大垃圾流量，这是DDoS攻击的一部分。

并非所有RDP服务器都可以被滥用，只有在标准TCP端口3389之上的UDP端口3389上还启用了RDP身份验证的系统才可以被滥用。

Netscout表示，攻击者可以将格式错误的UDP数据包发送到RDP服务器的UDP端口，这将反映给DDoS攻击目标，并将其放大，从而导致垃圾流量攻击目标系统。

这就是安全研究人员所说的DDoS放大因子，它允许访问受限资源的攻击者借助暴露于Internet的系统来放大垃圾流量，从而发起大规模DDoS攻击。

Netscout说，在RDP的情况下，放大倍数是85.9，攻击者发送几个字节并生成“攻击数据包”，这些“攻击数据包”的长度始终为1,260个字节。

85.9的因素使RDP成为DDoS放大向量的顶级梯队，例如Jenkins服务器（〜100），DNS（最多179），WS-Discovery（300-500），NTP（〜550）和Memcached（〜50,000）。

但是，坏消息并没有以放大倍数结束。Netscout表示，威胁行为者还了解到了这种新媒介，该媒介现在正被严重滥用。

“像通常使用更新的DDoS攻击媒介的情况一样，在高级攻击者开始使用定制的DDoS攻击基础结构后，似乎已经对RDP反射/放大进行了武器化，并添加到所谓的booter /强调DDoS租用服务，使普通攻击者无法承受。”研究人员说。

Netscout现在要求运行在Internet上运行RDP服务器的系统管理员使系统脱机，将它们切换到等效的TCP端口，或将RDP服务器置于VPN后面，以限制谁可以与易受攻击的系统进行交互。

Netscout目前表示，它正在检测超过14,000台RDP服务器，这些服务器在线暴露并运行在UDP端口3389上。

自2018年12月以来，已经出现了五个新的DDoS放大源。其中包括约束应用程序协议（CoAP），Web服务动态发现（WS-DD）协议，Apple远程管理服务（ARMS）， Jenkins服务器和Citrix网关。