33.000 Windows RDP Digunakan Untuk Melakukan Serangan DDoS ke Situs Web

serangan-ddos-hari-ini

Local-Hunter.com - Serangan DDoS saat ini lebih banyak menggunakan layanan Microsoft Remote Desktop Protocol untuk meningkatkan kekuatan serangan yang terdistribusi guna melumpuhkan situs web dan layanan online lainnya.

Biasanya disingkat sebagai RDP, Remote Desktop Protocol adalah pendukung fitur Microsoft Windows yang memungkinkan satu perangkat untuk masuk ke perangkat lain melalui Internet. RDP sebagian besar digunakan oleh bisnis untuk menghemat biaya atau kerumitan karyawan karena harus hadir secara fisik saat mengakses komputer.

Seperti umumnya dengan banyak sistem yang diautentikasi, RDP menanggapi permintaan login dengan urutan bit yang jauh lebih panjang yang membuat sambungan antara kedua pihak. Apa yang disebut layanan booter / stresser, yang dengan biaya tertentu akan membombardir alamat Internet dengan data yang cukup untuk membuatnya offline, baru-baru ini menggunakan RDP sebagai sarana untuk memperkuat serangan mereka, kata perusahaan keamanan Netscout.

Amplifikasi memungkinkan penyerang yang hanya memiliki sedikit sumber daya untuk memperkuat ukuran data yang mereka arahkan ke target. Teknik ini bekerja dengan memantulkan sejumlah kecil data pada layanan penguatan, yang pada gilirannya mencerminkan jumlah data yang jauh lebih besar pada target akhir. Dengan faktor amplifikasi 85,9 hingga 1, permintaan 10 gigabyte per detik yang diarahkan ke server RDP akan mengirimkan kira-kira 860Gbps ke target.

"Ukuran serangan yang diamati berkisar dari ~ 20 Gbps - ~ 750 Gbps," tulis peneliti Netscout. “Seperti yang biasa terjadi dengan vektor serangan DDoS yang lebih baru, tampaknya setelah periode awal penggunaan oleh penyerang tingkat lanjut dengan akses ke infrastruktur serangan DDoS yang dipesan lebih dahulu, refleksi / amplifikasi RDP telah dipersenjatai dan ditambahkan ke gudang senjata yang disebut booter / layanan untuk menyewa DDoS penekan, menempatkannya dalam jangkauan populasi penyerang umum. "

Serangan amplifikasi DDoS sudah ada sejak beberapa dekade yang lalu. Karena pengguna Internet yang sah secara kolektif memblokir satu vektor, penyerang menemukan yang baru untuk menggantikannya. Amplifier DDoS telah menyertakan resolver DNS terbuka, protokol WS-Discovery yang digunakan oleh perangkat IoT, dan Internet's Network Time Protocol. Salah satu vektor amplifikasi terkuat dalam memori baru-baru ini adalah apa yang disebut protokol memcache yang memiliki faktor 51.000 banding 1.

Serangan amplifikasi DDoS bekerja dengan menggunakan paket jaringan UDP, yang mudah dipalsukan di banyak jaringan. Seorang penyerang mengirim vektor permintaan dan spoofs header untuk memberikan tampilan permintaan datang dari target. Vektor amplifikasi kemudian mengirimkan respons ke target yang alamatnya muncul di paket palsu.

"Ada sekitar 33.000 server RDP di internet yang dapat disalahgunakan dalam serangan DDoS amplifikasi", kata Netscout. Selain menggunakan paket UDP, RDP juga dapat mengandalkan paket TCP.

Netscout merekomendasikan bahwa server RDP hanya dapat diakses melalui layanan jaringan pribadi virtual. Jika server RDP yang menawarkan akses jarak jauh melalui UDP tidak dapat langsung dipindahkan ke belakang konsentrator VPN, administrator harus menonaktifkan RDP melalui UDP sebagai tindakan sementara.

Selain merusak internet secara keseluruhan, RDP yang tidak aman dapat menjadi bahaya bagi organisasi yang memaparkannya ke internet.

“Dampak tambahan dari serangan refleksi / amplifikasi RDP berpotensi cukup tinggi untuk organisasi yang server Windows RDP-nya disalahgunakan sebagai reflektor / amplifier,” jelas Netscout. "Ini mungkin termasuk gangguan sebagian atau penuh dari layanan akses jarak jauh yang sangat penting, serta gangguan layanan tambahan karena konsumsi kapasitas transit, habisnya firewall state-table yang dapat mengganggu penyeimbang beban."