Recentemente,
pesquisadores de segurança descobriram que o protocolo WS-Discovery pode
ser extrapolado para lançar ataques DDoS. De acordo com o website ZeroBS,
um dos responsáveis pela descoberta, nos últimos meses cibercriminosos têm
abusado do protocolo WS-Discovery em diferentes campanhas de ataque DDoS.
WS-Discovery é um protocolo de descoberta multicast usado para
localizar serviços ou dispositivos próximos em uma rede local. Para oferecer
suporte a comunicação entre os dispositivos, ele usa mensagens SOAP (Simple
Object Access Protocol) sobre o protocolo de transporte UDP (User Datagram
Protocol). Por esse protocolo ser baseado em UDP, pode permitir que invasores
realizem ataques de flood UDP e alterem o destino do pacote.
Um dos primeiros alertas de uma campanha DDoS utilizando o
protocolo mencionado acima, foi descoberto em maio pelo pesquisador de
segurança Tucker Presto, no qual observou 130 ataques DDoS
que chegaram a um tamanho maior que 350 Gbps. Houve uma diminuição de
ataques utilizando o protocolo nos meses seguintes, até que uma segunda onda de
ataques que chegou a atingir 40 Gbps. As botnets envolvidas nesta
segunda campanha utilizou ao menos 5.000 (cinco mil) dispositivos, onde a
maioria deles eram IPs de impressoras e câmeras.
Ainda segundo o site ZeroBS, o primeiro ataque foi
observado atingindo um grau de amplificação de 300 e até mesmo 500. Já os
últimos ataques apresentaram um baixo grau de amplificação, não atingindo mais
que 10.
Um dado bastante preocupante é o grande número de dispositivos
atualmente expostos que utilizam o WS-Discovery na porta
(3702), que segundo o ZeroBS ultrapassa 630.000 (seiscentos e
trinta mil) dispositivos, o que seria bastante grave se utilizados em grandes
ataques DDoS. O amplo uso do protocolo, combinado com várias outras
características técnicas, fazem dele uma ferramenta ideal em campanhas de DDoS.
Abaixo transcrevemos alguns dados extraídos dos ataques relatados
na publicação do ZeroBS:
IPs : 4871
Redes : 2125
ASNs : 789
Países : 89
https://zero.bs/new-ddos-attack-vector-via-ws-discoverysoapoverudp-port-3702.html
Nas últimas semanas identificamos que em
nossos Honeypot's 8 endereços IP fizeram 2,254 requisições para a
porta 3702. Apesar da maioria destes endereços já estarem classificados como
"Internet Scanner" no Shodan, não descartamos a possibilidade de ser
uma espécie de identificação de dispositivos com este serviço disponível para
serem utilizados como vetor de futuros ataques.
A lista dos endereços pode ser vista abaixo:
185.176.27.182
81.22.45.215
185.143.221.210
185.209.0.18
185.176.27.250
89.248.162.247
146.88.240.128
66.228.37.43
https://www.us-cert.gov/ncas/alerts/TA14-017A
https://blog.cloudflare.com/reflections-on-reflections
https://www.akamai.com/kr/ko/multimedia/documents/state-of-the-internet/cldap-threat-advisory.pdf
http://www.theregister.co.uk/2016/03/09/trivial_ddos_amplification_method
Comentários
Postar um comentário