Pular para o conteúdo principal

WS-Discovery sendo utilizado como vetor de ataque de DDoS amplificado


Recentemente, pesquisadores de segurança descobriram que o protocolo WS-Discovery pode ser extrapolado para lançar ataques DDoS. De acordo com o website ZeroBS, um dos responsáveis pela descoberta, nos últimos meses cibercriminosos têm abusado do protocolo WS-Discovery em diferentes campanhas de ataque DDoS.
WS-Discovery é um protocolo de descoberta multicast usado para localizar serviços ou dispositivos próximos em uma rede local. Para oferecer suporte a comunicação entre os dispositivos, ele usa mensagens SOAP (Simple Object Access Protocol) sobre o protocolo de transporte UDP (User Datagram Protocol). Por esse protocolo ser baseado em UDP, pode permitir que invasores realizem ataques de flood UDP e alterem o destino do pacote.
Um dos primeiros alertas de uma campanha DDoS utilizando o protocolo mencionado acima, foi descoberto em maio pelo pesquisador de segurança Tucker Presto, no qual observou 130 ataques DDoS que chegaram a um tamanho maior que 350 Gbps. Houve uma diminuição de ataques utilizando o protocolo nos meses seguintes, até que uma segunda onda de ataques que chegou a atingir 40 Gbps. As botnets envolvidas nesta segunda campanha utilizou ao menos 5.000 (cinco mil) dispositivos, onde a maioria deles eram IPs de impressoras e câmeras.
Ainda segundo o site ZeroBS, o primeiro ataque foi observado atingindo um grau de amplificação de 300 e até mesmo 500. Já os últimos ataques apresentaram um baixo grau de amplificação, não atingindo mais que 10.
Um dado bastante preocupante é o grande número de dispositivos atualmente expostos que utilizam o WS-Discovery na porta (3702), que segundo o ZeroBS ultrapassa 630.000 (seiscentos e trinta mil) dispositivos, o que seria bastante grave se utilizados em grandes ataques DDoS. O amplo uso do protocolo, combinado com várias outras características técnicas, fazem dele uma ferramenta ideal em campanhas de DDoS.
Abaixo transcrevemos alguns dados extraídos dos ataques relatados na publicação do ZeroBS:
IPs     : 4871
Redes   : 2125
ASNs    : 789
Países  : 89
Referência:
https://zero.bs/new-ddos-attack-vector-via-ws-discoverysoapoverudp-port-3702.html
 Nas últimas semanas identificamos que em nossos Honeypot's 8 endereços IP fizeram 2,254 requisições para a porta 3702. Apesar da maioria destes endereços já estarem classificados como "Internet Scanner" no Shodan, não descartamos a possibilidade de ser uma espécie de identificação de dispositivos com este serviço disponível para serem utilizados como vetor de futuros ataques.
A lista dos endereços pode ser vista abaixo:
185.176.27.182
81.22.45.215
185.143.221.210
185.209.0.18
185.176.27.250
89.248.162.247
146.88.240.128
66.228.37.43
Mais informações sobre ataques DDoS amplificados
https://www.us-cert.gov/ncas/alerts/TA14-017A
https://blog.cloudflare.com/reflections-on-reflections
https://www.akamai.com/kr/ko/multimedia/documents/state-of-the-internet/cldap-threat-advisory.pdf
http://www.theregister.co.uk/2016/03/09/trivial_ddos_amplification_method 

Comentários

Postar um comentário

Postagens mais visitadas deste blog

Tutorial: Consultas LDAP no Active Directory

Hoje será mostrado como fazer Consultas Salvas (Saved queries) e alguns exemplos: 1. No Active Directory Users and Computers, click com o botão direito no item Saved Queries e selecione New e depois Query. 2. Digite o nome para a Query, por exemplo: “Usuários Ativos” e coloque uma descrição e depois clic em Define Query. 3. Na drop-down box Find selecione Custom Search e então click em Advanced tab. 4. Digite uma das Queries e execute. Consultas de Usuarios Usuarios sem grupo (apenas domain users): (&(objectCategory=user)(objectClass=user)(!memberOf=*)) Usuarios sem e-mail (objectcategory=person)(!mail=*) Usuarios com e-mail (objectcategory=person)(mail=*) Usuarios que nunca fizeram logon no dominio (&(&(objectCategory=person)(objectClass=user))(|(lastLogon=0)(!(lastLogon=*)))) Usuários Criados depois de 09/10/2011 (objectCategory=user)(whenCreated>=20111009000000.0Z) Obs: troque o data por uma data da sua necessidade Usuários que precisam mudar a sen...
Postar um comentário
Leia mais

Usando o CIFS para mapear diretórios Windows no Linux

Usando o CIFS para mapear diretórios Windows no Linux Se você utiliza o samba e está tendo problemas com mapeamentos, não possui Samba no seu servidor Linux ou precisa acessar de forma rápida um diretório Windows pelo Linux, passe a usar o CIFS. Com ele, caso o servidor mapeado sofra um shutdown (Linux mapeando Windows), automaticamente ao se re-estabelecer a conexão com o Servidor, o mapeamento sobe. Neste post estarei tratando a situação onde temos um servidor Linux e desejamos através dele efetuar leituras ou gravações em diretórios no Windows. No Windows Estou adotando como exemplo o servidor com IP 192.168.0.1, dominio TESTE, usuário Administrador e senha 123!456. O objetivo é mapear o diretório D:\Teste no Linux. Então, pelo windows, compartilhe este diretório. No Linux# cd /mnt # mkdir teste # mount –t cifs //192.168.0.1/teste /mnt/teste –o user=Administrador,password=’123!456’,domain=TESTE Pronto!!! Agora você pode compartilhar seus arquivos entre o...
Postar um comentário
Leia mais

Overlay RAT Malware (Chile)

Novo malware bancário sendo disseminado através de phishing em nome da  TGR - Tesorería General de la República  do Chile. O Malware trata-se de um  overlay RAT  com direcionamento aos clientes de Bancos do Chile. ·          Banks of List : §   Itau §   Santander §   BCI §   BCI (Empresas) §   BBVA §   Banco de Chile §   Scotiabank §   BCP §   Banco Internacional §   Banco BICE §   Banco Estado §   Interbank §   Banco Security Campaing Overview Spam/Phishing A porta de entrada do ataque consiste no envio de um e-mail malicioso contendo uma  URLs  para o download de um arquivo  .msi . Esse arquivo tem como função baixar todos arquivos utilizados para infectar a máquina da vítima como também criar uma persistência para executar automaticamente na inicialização do sistema operacional. Técnicas MITRE atualmente obse...
Leia mais