Злоумышленники используют RDP Windows для усиления DDoS-потока в 86 раз

Злоумышленники используют RDP Windows для усиления DDoS-потока в 86 раз

Злоумышленники используют RDP Windows для усиления DDoS-потока в 86 раз

Эксперты Netscout предупреждают о возможности использования RDP-серверов Windows в DDoS-атаках с отражением и увеличением потока мусорных пакетов (reflection / amplification). Такую возможность уже предлагают теневые сервисы; зафиксированы атаки мощностью от 20 до 750 Гбит/с с коэффициентом усиления 85,9.

Служба RDP Windows обычно работает на портах TCP/3389 и UDP/3389. В данном случае злоумышленники используют порт UDP/3389, чтобы создать внушительный DDoS-поток и направить его на мишень. Размер исходящих сетевых пакетов при этом составляет 1260 байт — намного больше, чем при обычном RDP-обмене.

На настоящий момент экспертам удалось выявить около 14 тыс. RDP-серверов Windows, которые можно использовать в качестве посредников в DDoS-атаках. Хуже всего то, что DDoS с RDP-усилением уже включены в ассортимент услуг, предлагаемых на специализированных сайтах. Теневые DDoS-сервисы (их обычно называют booter или stresser) сильно снижают планку для начинающих дидосеров, и таких платформ в интернете много.

Использование RDP-сервера для усиления и отражения DDoS-потока может привести к отказу службы удаленного доступа из-за перегрузки на каналах. Файрвол и балансировщик нагрузки тоже могут не справиться с нештатной ситуацией.

Защитить от подобных злоупотреблений может фильтрация трафика на порту UDP/3389, однако эта мера не дает гарантий, что легитимный RDP-обмен не пострадает. Вместо этого эксперты советуют ограничить доступ к RDP-серверам, разрешив его только по VPN. При отсутствии такой возможности доступ через UDP/3389 лучше отключить.

Стоит отметить, что RDP Windows — не единственная служба удаленного доступа, привлекшая внимание дидосеров. В середине 2019 года исследователи из Netscout зафиксировали DDoS с усилением через ARMS. Служба удаленного доступа Apple работает на порту UDP/3283 macOS-серверов; как оказалось, ее тоже можно использовать для проведения DDoS-атак. На тот момент злоумышленникам удалось создать мусорный поток в 75 Гбит/с при скорости передачи пакетов 11 млн/с (Mpps).

Коэффициент усиления при этом составил 35,5. Почти такого же результата (36:1) добились авторы недавней DDoS-атаки с использованием DTLS-рефлекторов, хотя в этом случае он теоретически может быть на один-два порядка выше.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Более трети россиян готовы к аутентификации без паролей

Согласно совместному исследованию «Лаборатории Касперского», Почты Mail и Hi-Tech Mail, свыше трети россиян готовы отказаться от привычных паролей в пользу альтернативных способов авторизации, таких как биометрия или одноразовые коды.

В опросе приняли участие 1950 пользователей сервисов VK по всей стране.

Полностью перейти на беспарольные методы аутентификации готовы 16% респондентов, а еще 12% считают возможным использовать их для важных сервисов. При этом 9% опрошенных предпочитают быть осторожнее и готовы отказаться от паролей только при доступе к менее важным ресурсам.

Уже сегодня беспарольными методами пользуется 31% участников исследования, а еще 27% применяют их для защиты наиболее важных аккаунтов — в мессенджерах, электронной почте и онлайн-банкинге.

28% респондентов отмечают удобство и надежность беспарольных решений, однако 19% уверены, что лишь традиционные пароли способны обеспечить достаточную безопасность.

«Переход к беспарольной аутентификации не только значительно усиливает защиту аккаунтов, но и заметно улучшает пользовательский опыт. Людям больше не нужно запоминать множество сложных паролей, а риск их утечки из-за повторного использования на разных платформах существенно снижается. Мы также наблюдаем этот позитивный тренд в наших продуктах», — подчеркнул руководитель команды информационной безопасности Почты и Облака Mail Дмитрий Водяной.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru