Pular para o conteúdo principal

WS-Discovery sendo utilizado como vetor de ataque de DDoS amplificado


Recentemente, pesquisadores de segurança descobriram que o protocolo WS-Discovery pode ser extrapolado para lançar ataques DDoS. De acordo com o website ZeroBS, um dos responsáveis pela descoberta, nos últimos meses cibercriminosos têm abusado do protocolo WS-Discovery em diferentes campanhas de ataque DDoS.
WS-Discovery é um protocolo de descoberta multicast usado para localizar serviços ou dispositivos próximos em uma rede local. Para oferecer suporte a comunicação entre os dispositivos, ele usa mensagens SOAP (Simple Object Access Protocol) sobre o protocolo de transporte UDP (User Datagram Protocol). Por esse protocolo ser baseado em UDP, pode permitir que invasores realizem ataques de flood UDP e alterem o destino do pacote.
Um dos primeiros alertas de uma campanha DDoS utilizando o protocolo mencionado acima, foi descoberto em maio pelo pesquisador de segurança Tucker Presto, no qual observou 130 ataques DDoS que chegaram a um tamanho maior que 350 Gbps. Houve uma diminuição de ataques utilizando o protocolo nos meses seguintes, até que uma segunda onda de ataques que chegou a atingir 40 Gbps. As botnets envolvidas nesta segunda campanha utilizou ao menos 5.000 (cinco mil) dispositivos, onde a maioria deles eram IPs de impressoras e câmeras.
Ainda segundo o site ZeroBS, o primeiro ataque foi observado atingindo um grau de amplificação de 300 e até mesmo 500. Já os últimos ataques apresentaram um baixo grau de amplificação, não atingindo mais que 10.
Um dado bastante preocupante é o grande número de dispositivos atualmente expostos que utilizam o WS-Discovery na porta (3702), que segundo o ZeroBS ultrapassa 630.000 (seiscentos e trinta mil) dispositivos, o que seria bastante grave se utilizados em grandes ataques DDoS. O amplo uso do protocolo, combinado com várias outras características técnicas, fazem dele uma ferramenta ideal em campanhas de DDoS.
Abaixo transcrevemos alguns dados extraídos dos ataques relatados na publicação do ZeroBS:
IPs     : 4871
Redes   : 2125
ASNs    : 789
Países  : 89
Referência:
https://zero.bs/new-ddos-attack-vector-via-ws-discoverysoapoverudp-port-3702.html
 Nas últimas semanas identificamos que em nossos Honeypot's 8 endereços IP fizeram 2,254 requisições para a porta 3702. Apesar da maioria destes endereços já estarem classificados como "Internet Scanner" no Shodan, não descartamos a possibilidade de ser uma espécie de identificação de dispositivos com este serviço disponível para serem utilizados como vetor de futuros ataques.
A lista dos endereços pode ser vista abaixo:
185.176.27.182
81.22.45.215
185.143.221.210
185.209.0.18
185.176.27.250
89.248.162.247
146.88.240.128
66.228.37.43
Mais informações sobre ataques DDoS amplificados
https://www.us-cert.gov/ncas/alerts/TA14-017A
https://blog.cloudflare.com/reflections-on-reflections
https://www.akamai.com/kr/ko/multimedia/documents/state-of-the-internet/cldap-threat-advisory.pdf
http://www.theregister.co.uk/2016/03/09/trivial_ddos_amplification_method 

Comentários

Postar um comentário

Postagens mais visitadas deste blog

Tutorial: Consultas LDAP no Active Directory

Hoje será mostrado como fazer Consultas Salvas (Saved queries) e alguns exemplos: 1. No Active Directory Users and Computers, click com o botão direito no item Saved Queries e selecione New e depois Query. 2. Digite o nome para a Query, por exemplo: “Usuários Ativos” e coloque uma descrição e depois clic em Define Query. 3. Na drop-down box Find selecione Custom Search e então click em Advanced tab. 4. Digite uma das Queries e execute. Consultas de Usuarios Usuarios sem grupo (apenas domain users): (&(objectCategory=user)(objectClass=user)(!memberOf=*)) Usuarios sem e-mail (objectcategory=person)(!mail=*) Usuarios com e-mail (objectcategory=person)(mail=*) Usuarios que nunca fizeram logon no dominio (&(&(objectCategory=person)(objectClass=user))(|(lastLogon=0)(!(lastLogon=*)))) Usuários Criados depois de 09/10/2011 (objectCategory=user)(whenCreated>=20111009000000.0Z) Obs: troque o data por uma data da sua necessidade Usuários que precisam mudar a sen
Postar um comentário
Leia mais

Expandindo o disco no CentOS 7

Início: Neste tutorial, vamos expandir o disco do sistema CENTOS 7 , através do LVM ( Logical Volume Manager ), via SSH. Procedimentos de expansão:  1 ) Dentro do sistema, confira se o disco realmente foi adicionado com o comando fdisk -l , conforme imagem abaixo : O valor padrão é de 40GB, como mostrado acima o disco esta com 85GB, comprovando que o upgrade foi feito. 2 ) Após verificar que a partição está com o valor desejado, vamos reparar o sistema de blocos, para posteriormente seguir com a expansão, para isto, utilize o comando parted -l , e digite Fix nas perguntas seguintes de acordo com a tela abaixo: 3) Após ele finalizar as correções do sistema, vamos iniciar o assistência de extensão do disco, utilizando o comando fdisk /dev/sda 4) Dentro da tela de configuração, digite os endereços conforme passado abaixo: Command ( m for help ): n (Letra N * Minuscula) Partition Number (1-4, default 1): 4 (Se por acidente digitar um endereço diferente, e
Postar um comentário
Leia mais

Instalação de Servidor TFTP em Ambiente CentOS

INTRODUÇÃO Um servidor TFTP é útil em pelo menos duas situações: Manipulação de arquivos em ativos de rede, como por exemplo, atualização de firmware, backup e restore de configuração; Manter um backup de seus ativos de rede centralizados em um único diretório, que posteriormente vai para a unidade de fita, claro. A primeira situação é bem comum, mas poucos se preocupam com a segunda situação, então fique com ela na mente, pense sobre isso enquanto toma banho (já resolvi tantos problemas pensando durante o banho),  eu voltarei nesse ponto em outro post. PONTO DE PARTIDA Eu parto do princípio que você já possui um Servidor CentOS 7 Básico. INSTALAÇÃO DOS PACOTES # yum  -y install  tftp-server xinetd ATIVAR O SERVIÇO # systemctl enable tftp.socket CONFIGURAÇÃO DAS PERMISSÕES # chown -R nobody:nobody /var/lib/tftpboot/ # chmod 777 /var/lib/tftpboot/ PERSONALIZAÇÃO DO ARQUIVO DE CONFIGURAÇÃO # vi /etc/xinetd.d/tftp service tftp {         disable                 =
Postar um comentário
Leia mais