Es wurde entdeckt, dass mehr als 12.000 schlecht konfigurierte Microsoft-Server missbraucht wurden, um beeindruckend starke DDoS-Attacken (Distributed Denial of Service) durchzuführen (öffnet in neuem Tab)) Anschläge.
Cybersicherheitsforscher von Black Lotus Labs entdeckten insgesamt 12.142 Server mit Microsoft-Domänencontrollern, auf denen die Active Directory-Dienste des Unternehmens gehostet wurden, die von mehreren Malware-Varianten verwendet wurden, um die Größe von DDoS-Angriffen zu vergrößern.
Die Server gehören allen möglichen Organisationen, von religiösen in Nordamerika bis hin zu kommerziellen Einrichtungen in Nordafrika.
Monatelang missbraucht
Einige der leistungsstärksten überstiegen 10 Gbps im Junk-Traffic und erreichten bis zu 17 Gbps, sagten die Forscher. Sprechen mit Ars Technica In einer E-Mail sagte der Forscher von Black Lotus Lab, Chad Davis, dass der Datenverkehr stark genug sei, um einige weniger gut bereitgestellte Server „ganz von selbst“ zu DoSen. „Theoretisch könnten hundert von ihnen, wenn sie gemeinsam arbeiten, ein Terabit pro Sekunde an Angriffsverkehr generieren“, sagte er.
Einige dieser Server wurden monatelang missbraucht, fanden Forscher weiter heraus. Einer, der in Nordamerika entdeckt wurde, sendete 18 Monate lang Gigs von Junk-Traffic mit Spitzenwerten von 2 Gbit/s.
Wie konnten sie eine so hohe Leistung produzieren? Indem sie als Verstärker oder Reflektoren dienen. Anstatt die kompromittierten Serverendpunkte zu verwenden (öffnet in neuem Tab) Um Junk-Traffic direkt an die Ziele zu senden und damit Gefahr zu laufen, entdeckt zu werden, würden Angreifer zunächst Netzwerkanfragen an Dritte senden. Wenn diese Drittanbieter in ihren Netzwerken falsch konfiguriert wären, so wie diese Server, könnten die Anfragen so gefälscht werden, als kämen sie von diesen Drittanbietern selbst. Darüber hinaus könnten die Server die Daten am Ziel in tausendfach größerer Größe als die ursprüngliche Nutzlast widerspiegeln.
Entsprechend Ars Technicasind einige der beliebtesten Reflektoren falsch konfigurierte Server, auf denen offene DNS-Resolver, das Netzwerkzeitprotokoll, Memcached für das Datenbank-Caching und das WS-Discovery-Protokoll ausgeführt werden, das normalerweise in IoT-Geräten zu finden ist.
In jüngerer Zeit begannen Bedrohungsakteure, das Connectionless Lightweight Directory Access Protocol (CLDAP) als Quelle für Reflexionsangriffe zu verwenden. Als Microsofts Variante des Lightweight Directory Access Protocol verwendet CLDAP User Datagram Protocol-Pakete, damit Windows-Clients Dienste zur Authentifizierung von Benutzern entdecken können, erklärte die Veröffentlichung. Anscheinend verwenden Bedrohungsakteure dieses Protokoll seit fünf Jahren und vergrößern Datenfluten um das bis zu 70-fache.
Den vollständigen Bericht finden Sie unter dieser Link (öffnet in neuem Tab).
Über: Ars Technica (öffnet in neuem Tab)