Рекомендуем, 2019

Выбор редакции

Игровые услуги, хостинговые компании атакуют новый тип DDoS-атаки

Игровые и хостинговые компании пострадали от нового вида атаки DDoS, которая может играть в снежок без превентивных шагов. Предупреждения уровня 3 предупреждены в понедельник.

Атакующие выяснили, как злоупотреблять услугами portmap, которые были оставлены открыто доступными в Интернете, сказал Дейл Дрю, главный сотрудник службы безопасности для Уровня 3.

«Мы считаем, что у него есть потенциал быть очень и очень плохим», сказал Дрю.

[Подробнее: Как удалить вредоносное ПО с вашего ПК с Windows]

Portmap, также называемый RPCbind, является утилитой с открытым исходным кодом для Unix-систем, но также находится в Windows. Он отображает номера сетевых портов в доступные сервисы.

Например, portmap может использоваться, если кто-то хочет подключить диск Windows из файловой системы Unix. Portmap сообщит Unix, где находится диск, и номер нужного порта.

Проблема заключается в том, что многие организации оставили открытую портмап в Интернете, что позволяет злоумышленникам связаться с ней, сказал Дрю.

Если запрашивается portmap, он может в некоторых случаях реагировать на очень большой объем данных. Дрю сказал, что злоумышленники обращаются к открытым серверам портов, задавая запросы, а затем направляют ответы организациям-жертвам. Трафик UDP перегружает их сети, сказал Дрю.

Этот метод называется атакой усиления DDoS. В зависимости от запроса, отправленного в portmap, утилита отправит от 7 до 27 раз больше трафика - или жертве.

В декабре атакующие провели разрушительные атаки с усилением DDoS, используя удаленные уязвимости кода в сетевом протоколе времени (NTP ), который синхронизирует часы на компьютерах.

Атаки NTP DDoS были одними из самых больших из когда-либо наблюдавшихся, сказал Дрю. Он думает, что ситуация с портфолио может соперничать с проблемой NTP, поэтому 3-й уровень решил опубликовать свои выводы.

Около 1 миллиона компьютеров работают с портфолио, открытым для Интернета, уровень 3 найден.

«Мы были очень удивлен, увидев, сколько машин Unix запускало эту [portmap] в общедоступном Интернете », - сказал Дрю.

Исправить, по словам Дрю, легко: протокол portmap следует фильтровать для защиты от общедоступного Интернета.

В последние несколько недель Уровень 3 наблюдал, как нападавшие совершенствуют свои методы. Самые большие атаки произошли между 10 и 12 августа, согласно сообщению блога с Уровня 3.

Уровень 3 имеет список всех открытых серверов portmap и связался со своими собственными клиентами, которые работают с портфолио. Он также отправил список некоторым интернет-провайдерам, чтобы они могли уведомить своих клиентов об установлении портмапа.

Дрю сказал, что у него есть идея, где нападающие основаны, но уровень 3 не освобождает информацию об атрибуции, поскольку это может повлиять на ее способность отслеживайте их.

«Мы наблюдаем, как плохие парни реагируют на это, и если они развиваются, меняются и изменяются», сказал он.

Top