هکرها با استفاده از پروتکل RDP مایکروسافت، حملات DDoS را تقویت می‌کنند

گروه IT: سرویس‌های DDoS-for-Hire در حال سوءاستفاده از پروتکل ریموت دسکتاپ مایکروسافت (RDP - Remote Desktop Protocol) به‌منظور افزایش قدرت حملات سایبری توزیع‌شده‌ی محروم‌سازی از سرویس (Distributed Denial of Service - DDoS) هستند. براساس گزارش Ars Technica به ‌نقل از بیانیه‌ی مؤسسه‌ای امنیتی، حملات DDoS وب‌سایت‌ها و سرویس‌های مختلف آنلاین را فلج می‌کنند و استفاده‌ی افراد سودجو از پروتکل ریموت دسکتاپ مایکروسافت برای تقویت توانایی‌هایشان در این زمینه نگران‌کننده است.

 

به گزارش بولتن نیوز به نقل از زومیت، RDP پایه و اساس یکی از قابلیت‌های ویندوز است که به یک دستگاه امکان می‌دهد از طریق اینترنت در دستگاهی دیگر لاگین کند. این پروتکل به‌طور معمول توسط کسب‌وکارها استفاده می‌شود تا هزینه‌‌‌ی حضور فیزیکی افراد برای استفاده از رایانه کاهش یابد و البته زحمت کمتری به آن‌ها وارد شود.

به‌عنوان اتفاقی معمول در بسیاری از سیستم‌های تصدیق‌شده، RDP با توالی بسیار طولانی‌تری از بیت‌ها که باعث ایجاد ارتباط بین دو دستگاه می‌شوند، به درخواست‌های لاگین پاسخ می‌دهد. مؤسسه‌ی امنیتی Netscout می‌گوید سرویس‌هایی که اصطلاحا بوتر (Booter) یا استرسر (Stresser) نامیده می‌شوند، طی چند وقت اخیر سراغ استفاده از RDP به‌عنوان ابزاری برای تقویت حملات رفته‌اند. بوتر یا استرسر به سرویس‌هایی گفته می‌شود که در ازای دریافت مبلغی مشخص، آدرس‌های اینترنتی را به‌شدت هدف قرار می‌دهند (بمباران می‌کنند) و در نهایت آن‌ها را به‌حالت آفلاین درمی‌آورند.

تقویت سرویس بوتر یا استرسر به افراد سودجو با منابعی نه‌چندان پیشرفته، امکان می‌دهد حجم داده‌هایی که به‌سمت اهداف‌شان روانه می‌کنند، افزایش بدهند. این تکنیک بدین صورت کار می‌کند که باید مقدار نسبتا کمی داده را وارد سرویس تقویت‌کننده کرد تا در نهایت، مقدار بسیار بیشتری از داده‌ها به ‌سمت هدف نهایی روانه شوند. با ضریب تقویت ۸۵٫۹ به یک، درخواست‌های ۱۰ گیگابایت ‌بر ثانیه‌ای که وارد سرور RDP شوند درنهایت به درخواست‌های تقریبا ۸۶۰ گیگابایت ‌بر ثانیه‌ای تبدیل می‌شوند و سراغ وب‌سایت هدف می‌روند.

محققان Netscout می‌گویند در بررسی‌هایشان حملاتی ۲۰ تا ۷۵۰ گیگابایت ‌بر ثانیه‌ای مشاهده کرده‌اند. همچون بسیاری از بردارهای حمله‌ی (Attack Vector) جدید DDoS، به‌ نظر می‌رسد هکرهای حرفه‌ای ابتدا با دسترسی به زیرساخت سفارشی حمله‌ی DDoS در دوره‌ی زمانی مشخص، سراغ استفاده از سیستم تقویتی RDP می‌روند و توانایی‌های آن را به سرویس‌های بوتر (یا استرسر) DDoS-for-Hire اضافه می‌کنند. Netscout می‌گوید نحوه‌ی جاسازی RDP در سرویس بوتر به ‌گونه‌ای است که همه‌ی هکرها به آن‌ دسترسی داشته باشند.

حمله‌ی تقویتی DDoS دهه‌ها قدمت دارد و تکنیک جدیدی نیست. وقتی کاربران قانونی اینترنت به‌طور کلی یک بردار حمله را مسدود می‌کنند، هکرها به ‌دنبال بردارهای جدید می‌گردند. تقویت‌کنندگان DDoS شامل open DNS resolver، پروتکل WS-Discovery (در دستگاه‌های اینترنت اشیاء) و پروتکل Network Time اینترنت هستند. یکی از قوی‌ترین بردارهای تقویتی دوران فعلی با نام پروتکل Memcached شناخته می‌شود که دارای ضریب ۵۱,۰۰۰ به یک است.

در حال حاضر حدودا ۳۳ هزار سرور RDP در اینترنت فعال هستند که احتمال استفاده از آن‌ها برای تقویت حملات DDoS وجود دارد. ب راساس بررسی‌های Netscout، سرورهای RDP افزون ‌بر بسته‌های UDP ممکن است به بسته‌های TCP نیز اتکا کنند. Netscout پیشنهاد می‌کند که دسترسی به سرورهای RDP صرفا از طریق سرویس VPN انجام شود. سرورهای ایمن‌نشده‌ی RDP افزون‌ بر آسیب رساندن به اینترنت، ممکن است برای سازمان‌هایی که آن‌ها را در اینترنت قرار می‌دهند نیز خطرساز باشند.