[[378102]]

研究人員發(fā)現(xiàn)有Windows RDP 服務(wù)器被DDoS for hire服務(wù)濫用用于放大DDoS 攻擊活動中。微軟RDP服務(wù)是Windows系統(tǒng)的內(nèi)置服務(wù)，運行了TCP 3389或 UDP 3389端口上，經(jīng)過認(rèn)證的遠(yuǎn)程虛擬桌面接觸設(shè)施來訪問Windows服務(wù)器和工作站。

Netscout研究人員發(fā)現(xiàn)有約14萬臺有漏洞的Windows RDP服務(wù)器可以通過互聯(lián)網(wǎng)訪問，而且有攻擊者利用這些RDP 服務(wù)器來進行UDP 反射/放大DDOS攻擊。研究人員稱攻擊者可以發(fā)送惡意偽造的UDP包到RDP 服務(wù)器的UDP端口，RDP 服務(wù)器就會反射到DDOS攻擊的目標(biāo)，導(dǎo)致大量的垃圾流量沖擊到目標(biāo)系統(tǒng)，放大比率達(dá)到了85.9，攻擊峰值約750 Gbps。

RDP 服務(wù)器已經(jīng)成為一種新的DDOS 攻擊向量，在經(jīng)過一段初步的使用后，黑客就會大規(guī)模地部署，RDP反射/放大已經(jīng)被吳啟華了，加入到了DDoS-for-hire 服務(wù)中，使得大量攻擊者都可以接觸使用。

Netscout目前也在要求運行暴露在互聯(lián)網(wǎng)上的RDP 服務(wù)器的系統(tǒng)管理員將這些服務(wù)器下線，轉(zhuǎn)到其他的TCP 端口或?qū)DP 服務(wù)器置于虛擬網(wǎng)絡(luò)后來限制用戶對有漏洞的系統(tǒng)的訪問。

自2018年12約起，一共出現(xiàn)過5次大的DDOS放大攻擊源，包括Constrained Application Protocol (CoAP)、Web Services Dynamic Discovery (WS-DD)協(xié)議、Apple Remote Management Service (ARMS)、Jenkins服務(wù)器和Citrix網(wǎng)關(guān)。據(jù)FBI 消息，前4個攻擊源已經(jīng)在現(xiàn)實的攻擊中被濫用了。

2019年，Netscout也發(fā)現(xiàn)了在macOS 服務(wù)器上濫用Apple Remote Management Service (ARMS) 作為反射/放大攻擊向量的DDOS攻擊。目前，濫用ARMS進行DDOS 攻擊的在野攻擊峰值達(dá)到了70 gbps、放大率達(dá)到35.5。

更多細(xì)節(jié)參見：https://www.netscout.com/blog/asert/microsoft-remote-desktop-protocol-rdp-reflectionamplification

本文翻譯自：https://www.zdnet.com/article/windows-rdp-servers-are-being-abused-to-amplify-ddos-attacks/如若轉(zhuǎn)載，請注明原文地址。