12.000’den fazla kötü yapılandırılmış Microsoft sunucusunun, etkileyici bir şekilde dağıtılmış hizmet reddi (DDoS) yürütmek için kötüye kullanıldığı keşfedildi. (yeni sekmede açılır)) saldırır.
Black Lotus Labs’den siber güvenlik araştırmacıları, DDoS saldırılarının boyutunu büyütmek için birden fazla kötü amaçlı yazılım türü tarafından kullanılan, şirketin Active Directory hizmetlerini barındıran Microsoft etki alanı denetleyicilerini çalıştıran toplam 12.142 sunucuyu ortaya çıkardı.
Sunucular, Kuzey Amerika’daki dini kuruluşlardan Kuzey Afrika’daki ticari kuruluşlara kadar her türlü kuruluşa aittir.
Aylarca istismar edildi
Araştırmacılar, en güçlü olanlardan bazılarının önemsiz trafikte 10Gbps’yi aştığını ve 17Gbps’ye kadar ulaştığını söyledi. Ile konuşmak Ars Teknik Bir e-postada, Black Lotus Lab araştırmacısı Chad Davis, trafiğin daha az iyi hazırlanmış sunucuları “tek başına” DoS yapacak kadar güçlü olduğunu söyledi. “Teorik olarak, ahenk içinde çalışan yüz tanesi, saniyede bir Terabit saldırı trafiği oluşturabilir” dedi.
Araştırmacılar ayrıca, bu sunuculardan bazılarının aylarca kötüye kullanıldığını buldu. Kuzey Amerika’da keşfedilen biri, 18 ay boyunca 2Gbps’de zirveye ulaşan önemsiz trafik konserleri gönderiyordu.
Nasıl bu kadar yüksek çıktı üretebildiler? Amplifikatör veya reflektör olarak hizmet ederek. Güvenliği ihlal edilmiş sunucu uç noktalarını kullanmak yerine (yeni sekmede açılır) Önemsiz trafiği doğrudan hedeflere göndermek ve böylece tespit edilme riskini almak için, saldırganlar ilk olarak ağ isteklerini üçüncü taraflara gönderirdi. Bu üçüncü taraflar ağlarında, bu sunucuların olduğu gibi yanlış yapılandırılmışsa, istekler, bu üçüncü taraflardan geliyormuş gibi sahte olabilir. Sadece bu da değil, sunucular hedefteki verileri orijinal yükten binlerce kat daha büyük boyutlarda yansıtabilir.
Göre Ars Teknikdaha popüler yansıtıcılardan bazıları, açık DNS çözümleyicileri çalıştıran yanlış yapılandırılmış sunucular, ağ zaman protokolü, veritabanı önbelleğe alma için Memcached ve genellikle IoT cihazlarında bulunan WS-Discovery protokolüdür.
Daha yakın zamanlarda, tehdit aktörleri, yansıma saldırıları kaynağı olarak Bağlantısız Hafif Dizin Erişim Protokolü’nü (CLDAP) kullanmaya başladı. Microsoft’un Basit Dizin Erişim Protokolü’nün bir çeşidi olan CLDAP, Windows istemcilerinin kullanıcıların kimliğini doğrulamak için hizmetleri keşfedebilmesi için Kullanıcı Datagram Protokolü paketlerini kullanır. Görünüşe göre, tehdit aktörleri bu protokolü beş yıldır kullanıyor ve veri torrentlerini 70 kata kadar büyütüyor.
Raporun tamamı şu adreste bulunabilir: bu bağlantı (yeni sekmede açılır).
Aracılığıyla: Ars Teknik (yeni sekmede açılır)