هکرها با استفاده از پروتکل RDP مایکروسافت، حملات DDoS را تقویت میکنند
سرویسهای DDoS-for-Hire در حال سوءاستفاده از پروتکل ریموت دسکتاپ مایکروسافت (RDP - Remote Desktop Protocol) بهمنظور افزایش قدرت حملات سایبری توزیعشدهی محرومسازی از سرویس (Distributed Denial of Service - DDoS) هستند. براساس گزارش Ars Technica به نقل از بیانیهی مؤسسهای امنیتی، حملات DDoS وبسایتها و سرویسهای مختلف آنلاین را فلج میکنند و استفادهی افراد سودجو از پروتکل ریموت دسکتاپ مایکروسافت برای تقویت تواناییهایشان در این زمینه نگرانکننده است.
RDP پایه و اساس یکی از قابلیتهای ویندوز است که به یک دستگاه امکان میدهد از طریق اینترنت در دستگاهی دیگر لاگین کند. این پروتکل بهطور معمول توسط کسبوکارها استفاده میشود تا هزینهی حضور فیزیکی افراد برای استفاده از رایانه کاهش یابد و البته زحمت کمتری به آنها وارد شود.
بهعنوان اتفاقی معمول در بسیاری از سیستمهای تصدیقشده، RDP با توالی بسیار طولانیتری از بیتها که باعث ایجاد ارتباط بین دو دستگاه میشوند، به درخواستهای لاگین پاسخ میدهد. مؤسسهی امنیتی Netscout میگوید سرویسهایی که اصطلاحا بوتر (Booter) یا استرسر (Stresser) نامیده میشوند، طی چند وقت اخیر سراغ استفاده از RDP بهعنوان ابزاری برای تقویت حملات رفتهاند. بوتر یا استرسر به سرویسهایی گفته میشود که در ازای دریافت مبلغی مشخص، آدرسهای اینترنتی را بهشدت هدف قرار میدهند (بمباران میکنند) و در نهایت آنها را بهحالت آفلاین درمیآورند.
تقویت سرویس بوتر یا استرسر به افراد سودجو با منابعی نهچندان پیشرفته، امکان میدهد حجم دادههایی که بهسمت اهدافشان روانه میکنند، افزایش بدهند. این تکنیک بدین صورت کار میکند که باید مقدار نسبتا کمی داده را وارد سرویس تقویتکننده کرد تا در نهایت، مقدار بسیار بیشتری از دادهها به سمت هدف نهایی روانه شوند. با ضریب تقویت ۸۵٫۹ به یک، درخواستهای ۱۰ گیگابایت بر ثانیهای که وارد سرور RDP شوند درنهایت به درخواستهای تقریبا ۸۶۰ گیگابایت بر ثانیهای تبدیل میشوند و سراغ وبسایت هدف میروند.
محققان Netscout میگویند در بررسیهایشان حملاتی ۲۰ تا ۷۵۰ گیگابایت بر ثانیهای مشاهده کردهاند. همچون بسیاری از بردارهای حملهی (Attack Vector) جدید DDoS، به نظر میرسد هکرهای حرفهای ابتدا با دسترسی به زیرساخت سفارشی حملهی DDoS در دورهی زمانی مشخص، سراغ استفاده از سیستم تقویتی RDP میروند و تواناییهای آن را به سرویسهای بوتر (یا استرسر) DDoS-for-Hire اضافه میکنند. Netscout میگوید نحوهی جاسازی RDP در سرویس بوتر به گونهای است که همهی هکرها به آن دسترسی داشته باشند.
مقالههای مرتبط:
حملهی تقویتی DDoS دههها قدمت دارد و تکنیک جدیدی نیست. وقتی کاربران قانونی اینترنت بهطور کلی یک بردار حمله را مسدود میکنند، هکرها به دنبال بردارهای جدید میگردند. تقویتکنندگان DDoS شامل open DNS resolver، پروتکل WS-Discovery (در دستگاههای اینترنت اشیاء) و پروتکل Network Time اینترنت هستند. یکی از قویترین بردارهای تقویتی دوران فعلی با نام پروتکل Memcached شناخته میشود که دارای ضریب ۵۱,۰۰۰ به یک است.
در حال حاضر حدودا ۳۳ هزار سرور RDP در اینترنت فعال هستند که احتمال استفاده از آنها برای تقویت حملات DDoS وجود دارد. ب راساس بررسیهای Netscout، سرورهای RDP افزون بر بستههای UDP ممکن است به بستههای TCP نیز اتکا کنند. Netscout پیشنهاد میکند که دسترسی به سرورهای RDP صرفا از طریق سرویس VPN انجام شود. سرورهای ایمننشدهی RDP افزون بر آسیب رساندن به اینترنت، ممکن است برای سازمانهایی که آنها را در اینترنت قرار میدهند نیز خطرساز باشند.