Tavsiye, 2019

Editörün Seçimi

Oyun hizmetleri, hosting şirketleri yeni bir DDoS saldırısı ile vuruldu

Oyun ve hosting şirketlerine önleyici adım atmadan kartopu yapabileceği yeni bir DDoS saldırısıyla vuruldu, Level 3 Communications Pazartesi günü uyardı

Saldırganlar Drew, Seviye 3'teki güvenlik görevlisi Dale Drew'ın internet üzerinde açık bir şekilde erişilebilen portmap hizmetlerini nasıl kötüye kullanacağını anladığını söyledi.

“Çok çok kötü olma potansiyeline sahip olduğunu düşünüyoruz” dedi Drew.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Ayrıca RPCbind olarak da adlandırılan Portmap, Unix sistemleri için açık kaynaklı bir yardımcı programdır, ancak Windows'ta da vardır. Ağ bağlantı noktası numaralarını kullanılabilir hizmetlere eşler.

Örneğin, birisi bir Windows sürücüsünü bir Unix dosya sisteminden yüklemek isterse portmap kullanılabilir. Portmap, sürücünün bulunduğu Unix ve doğru port numarasını söyler.

Sorun, pek çok kuruluşun Internet üzerinde açık bir şekilde çalışan portmap'ı bırakarak saldırganların iletişim kurmasını sağladığını söyledi. Drew.

Portmap sorgulandığında, Bazı durumlarda çok büyük miktarda veri ile yanıt verebilir. Drew, saldırganların açık portmap sunucularıyla iletişim kurduklarını, sorduklarını sorduklarını ve daha sonra kurbanlara verilen yanıtları yönlendirdiklerini söyledi. UDP trafiği ağlarını alt etti, Drew dedi.

Yöntem DDoS amplifikasyon saldırısı olarak adlandırılır. Portmap'e gönderilen sorguya bağlı olarak, yardımcı program trafiğin yedi ya da 27 katını geri gönderir - ya da bir kurban için.

Aralık ayında, saldırganlar ağ zaman protokolünde (NTP) uzaktan kod güvenlik açıklarını kullanarak yıkıcı DDoS amplifikasyon saldırıları gerçekleştirdiler. Bilgisayarlar arasında saatler senkronize olan).

NTP DDoS saldırıları şimdiye kadar görülen en büyüklerden biriydi, Drew. Portmap durumunun NTP sorununa rakip olabileceğini düşünüyor, bu yüzden Seviye 3 bulguları ile kamuoyuna gitmeye karar verdi.

Yaklaşık 1 milyon makine internete açık portmap'i çalıştırıyor, 3. seviye bulundu.

"Biz çok iyiydik. Unix makinelerinin ne kadarını halka açık internette [portmap] kullandığını görünce şaşırdı, diyor Drew.

Düzeltme, Drew şunları söyledi: portmap protokolünün halka açık İnternet'ten korunmak için filtrelenmesi gerekiyor.

Son birkaç haftada, Seviye 3 saldırganların yöntemlerini hassaslaştırdığını gözlemliyor. En büyük saldırılar, Seviye 3'teki bir blog gönderisine göre 10 ve 12 Ağustos tarihleri ​​arasında meydana geldi.

Seviye 3, tüm açık portmap sunucularının bir listesini ve portmap çalışan kendi müşterileriyle bağlantı kurdu. Listeyi bazı İSS'lere gönderdiler, böylece müşterilerini portmap'i düzeltmeleri konusunda bilgilendirebilirler.

Drew, saldırganların nerede olduğu konusunda bir fikre sahip olduğunu söyledi, ancak Seviye 3, ilişkilendirme özelliğini etkileyebileceğinden, ilişkilendirme bilgilerini yayınlamıyor. onları takip et.

"Kötü adamların buna nasıl tepki verdiklerini izliyoruz ve evrim geçirip değiştirip değiştiriyorlarsa," dedi.

Top