Злоумышленники пристегнули медиасерверы Plex к DDoS-атакам

Злоумышленники пристегнули медиасерверы Plex к DDoS-атакам

Злоумышленники пристегнули медиасерверы Plex к DDoS-атакам

Эксперты Netscout предупреждают о растущей угрозе DDoS-атак, использующих SSDP-службу Plex Media Server для увеличения потока мусорных пакетов и перенаправления его на мишень. Новая возможность уже обкатана и включена в ассортимент услуг, предоставляемых теневыми специализированными сайтами.

Мультиплатформенное приложение Plex Media Server предназначено для создания медиасервера и получения удаленного доступа к аудио- и видеофайлам. Оно обычно устанавливается на веб-сервере или поставляется в комплекте с сетевыми накопителями, цифровыми медиаплеерами или иными IoT-устройствами для стриминга мультимедиа.

При запуске сервера Plex Media он начинает искать в сети другие совместимые устройства, используя протокол SSDP (Simple Service Discovery Protocol). Обнаружив локальный роутер с включенным SSDP, медиасервер добавляет на него правило NAT, открывающее интернет-доступ к службе Plex Media SSDP (PMSSDP) на UDP-порту 32414.

Практика показывает, что использование SSDP в DDoS-атаках позволяет усилить вредоносный поток в 30 раз, поэтому PMSSDP-служба неизбежно должна была привлечь внимание дидосеров. Собрать армию таких посредников можно простым поиском в интернете устройств с открытым портом 32414.

На настоящий момент зафиксированы PMSSDP-атаки мощностью 2-3 Гбит/с при коэффициенте усиления 4,68 (размер сетевых пакетов, направляемых на мишень, составлял от 52 до 281 байт). В большинстве случаев этого достаточно, чтобы ощутимо снизить доступность целевых сетей и сервисов.

Проведенное экспертами сканирование выявило 27 тыс. серверов Plex Media, открытых из интернета; некоторые из них злоумышленники уже обнаружили и использовали. Хуже всего то, что PMSSDP-атаки уже добавлены в пакеты услуг, предлагаемых теневыми DDoS-сервисами: это значит, что такая возможность уже доступна даже начинающим дидосерам.

DDoS-атаки с использованием PMSSDP, по словам Netscout, особенно опасны для поставщиков широкополосного доступа в интернет. Если их клиент легкомысленно оставил PMSSDP-службу онлайн, это может повлечь частичную или полную потерю широкополосного доступа для конечных пользователей, а также сбой сервисов из-за перегрузки каналов.

Предотвратить такие атаки позволяет блокировка пакетов, исходящих с портов UDP/32414, однако в этом случае под удар может попасть и легитимный трафик. Вместо этого эксперты советуют отключить SSDP на широкополосных роутерах на уровне оператора сети или его клиентов, найти уязвимые конечные узлы и поместить их в карантин — или поставить на них фильтр, который будет отсеивать входящий трафик на порту UDP/32414.

Операторам связи, предоставляющим абонентам свое оборудование для широкополосного доступа в интернет, рекомендуется ставить его с отключенным по умолчанию SSDP. Бизнес-структурам, хранящим критически важные данные в облаке, эксперты советуют ввести жесткие политики интернет-доступа к сетям, разграничить внутренний и внешний трафик, а также в обязательном порядке использовать специализированную защиту от DDoS-атак.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Исходники Banshee Stealer слиты в Сеть, подписку на macOS-трояна закрыли

Исходные коды Banshee, программы-стилера для macOS, обнаружены онлайн. Авторы находки скопировали их и выложили на GitHub.

После утечки созданный на основе трояна сервис (MaaS, Malware-as-a-Service), по данным VXunderground, закрылся.

Платный доступ к Banshee стали активно продвигать на хакерских форумах в минувшем августе. Вредонос не очень сложен, поддерживает аппаратные платформы x86_64 и Arm64 и умеет воровать данные из браузеров, криптокошельков и сотни браузерных плагинов.

Авторы инфостилера успели снабдить его только базовой защитой — средствами противодействия запуску из-под отладчика и в виртуальной среде. Примечательно, что зловред также откатывает свое исполнение, когда в предпочтениях выставлен русский язык.

Отметим: утечки исходников вредоносных программ нередки, и злоумышленники охотно используют такие возможности для создания кастомных вариантов и форков. Иногда вирусописатели сами выкладывают свои творения в паблик, обнаружив, что те слишком сильно засветились.

Некоторые создатели зловредов сразу открывают доступ к исходным кодам — как это сделал, к примеру, автор Luca Stealer. Случайные утечки в мире киберкриминала и вовсе редки, как и происки хактивистов — разве что тех раздражает такое оружие, как сталкерский софт.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru