Windows Remote Desktop servers now used to amplify DDoS attacks
يتم الآن إساءة استخدام خوادم بروتوكول سطح المكتب عن بعد لـ Windows (Remote Desktop Protocol RDP) بواسطة خدمات DDoS للتأجير لتضخيم هجمات الرفض الموزع للخدمة (Distributed Denial of Service DDoS).
خدمة Microsoft RDP هي خدمة Windows مضمنة تعمل على TCP/3389 و/ أو UDP/3389 والتي تتيح الوصول إلى البنية التحتية لسطح المكتب الظاهري البعيد (Virtual Desktop Infrastructure VDI) لخوادم ومحطات عمل Windows.
تستفيد الهجمات من ناقل هجوم انعكاس/ تضخيم UDP الجديد من خلال استهداف خوادم Windows مع تمكين RDP على UDP/3389 بنسبة تضخيم تبلغ 85.9:1 وذروة تبلغ 750 جيجابت في الثانية.
يمكن الوصول إلى حوالي 14000 خادم Windows RDP ضعيف عبر الإنترنت وفقًا لإرشادات Netscout التي تم نشرها في وقت سابق اليوم.
بينما تم استخدامه في البداية فقط من قبل الجهات الفاعلة في مجال التهديد المتقدم، يتم الآن استخدام ناقل تضخيم DDoS المكتشف حديثًا بواسطة مشغلات DDoS.
قالت Netscout: "كما هو الحال بشكل روتيني مع موجهات هجوم DDoS الأحدث، يبدو أنه بعد فترة أولية من التوظيف من قبل مهاجمين متقدمين مع إمكانية الوصول إلى بنية تحتية مخصصة لهجوم DDoS، تم تسليح انعكاس/ تضخيم RDP وإضافته إلى ترسانات ما يسمى booter/stresser خدمات DDoS-for-rent، مما يجعلها في متناول عامة المهاجمين".
يتم استخدام هذه المنصات من قبل الجهات الفاعلة في مجال التهديد أو الناشطين في القرصنة أو المخادعين دون المهارات أو الوقت للاستثمار في بناء البنية التحتية الخاصة بهم على DDoS.
يستأجرون خدمات الإقلاع لإطلاق هجمات DDoS واسعة النطاق تستهدف الخوادم أو المواقع لأسباب مختلفة، مما يؤدي إلى رفض الخدمة الذي يؤدي عادةً إلى تعطيلها أو التسبب في تعطيلها.
خدمة Microsoft RDP هي خدمة Windows مضمنة تعمل على TCP/3389 و/ أو UDP/3389 والتي تتيح الوصول إلى البنية التحتية لسطح المكتب الظاهري البعيد (Virtual Desktop Infrastructure VDI) لخوادم ومحطات عمل Windows.
تستفيد الهجمات من ناقل هجوم انعكاس/ تضخيم UDP الجديد من خلال استهداف خوادم Windows مع تمكين RDP على UDP/3389 بنسبة تضخيم تبلغ 85.9:1 وذروة تبلغ 750 جيجابت في الثانية.
يمكن الوصول إلى حوالي 14000 خادم Windows RDP ضعيف عبر الإنترنت وفقًا لإرشادات Netscout التي تم نشرها في وقت سابق اليوم.
بينما تم استخدامه في البداية فقط من قبل الجهات الفاعلة في مجال التهديد المتقدم، يتم الآن استخدام ناقل تضخيم DDoS المكتشف حديثًا بواسطة مشغلات DDoS.
قالت Netscout: "كما هو الحال بشكل روتيني مع موجهات هجوم DDoS الأحدث، يبدو أنه بعد فترة أولية من التوظيف من قبل مهاجمين متقدمين مع إمكانية الوصول إلى بنية تحتية مخصصة لهجوم DDoS، تم تسليح انعكاس/ تضخيم RDP وإضافته إلى ترسانات ما يسمى booter/stresser خدمات DDoS-for-rent، مما يجعلها في متناول عامة المهاجمين".
يتم استخدام هذه المنصات من قبل الجهات الفاعلة في مجال التهديد أو الناشطين في القرصنة أو المخادعين دون المهارات أو الوقت للاستثمار في بناء البنية التحتية الخاصة بهم على DDoS.
يستأجرون خدمات الإقلاع لإطلاق هجمات DDoS واسعة النطاق تستهدف الخوادم أو المواقع لأسباب مختلفة، مما يؤدي إلى رفض الخدمة الذي يؤدي عادةً إلى تعطيلها أو التسبب في تعطيلها.
تدابير التخفيف Mitigation measures
المنظمات المتأثرة بالهجمات التي تسيء استخدام خوادم Windows RDP حيث يمكن لمكبرات الصوت أن تتعرض لإغلاق كامل لخدمات الوصول عن بُعد، بالإضافة إلى "انقطاع إضافي للخدمة بسبب استهلاك سعة النقل، واستنفاد جدول الحالة لجدران الحماية ذات الحالة، وموازنات التحميل، إلخ..".
في حين أن تصفية جميع حركات المرور على UDP/3389 يمكن أن تخفف من هذه الهجمات، فقد يؤدي ذلك أيضًا إلى حظر الاتصالات وحركة المرور المشروعة، بما في ذلك ردود جلسة RDP.
للتخفيف من تأثير مثل هذه الهجمات بشكل صحيح، يمكن للمؤسسات إما تعطيل الخدمة المستندة إلى UDP المعرضة للخطر على خوادم Windows RDP أو إتاحة الخوادم فقط عبر VPN عن طريق نقلها خلف جهاز شبكة VPN المركّز.
وبالتالي، يُنصح أيضًا المنظمات المعرضة للخطر بتنفيذ دفاعات DDoS للخوادم التي تواجه الجمهور للتأكد من قدرتها على الاستجابة بشكل صحيح لهجوم DDoS الوارد من انعكاس/ تضخيم RDP.
في عام 2019، لاحظت Netscout أيضًا هجمات DDoS التي تسيء استخدام خدمة Apple Remote Management Service (ARMS) التي تعمل على خوادم macOS باعتبارها ناقل انعكاس/ تضخيم.
بلغت هجمات DDoS التي تسيء استخدام ARMS والتي تم رصدها في البرية في ذلك الوقت ذروتها عند 70 جيجابت في الثانية، مع نسبة تضخيم تبلغ 35.5:1.
يوفر قانون CISA إرشادات حول كيفية تجنب الوقوع ضحية DDoS، وكيفية اكتشاف هجمات DDoS، فضلاً عن الإجراءات التي يجب اتخاذها أثناء DDoSed.
