Злоумышленники используют RDP Windows для усиления DDoS-потока в 86 раз

Злоумышленники используют RDP Windows для усиления DDoS-потока в 86 раз

Злоумышленники используют RDP Windows для усиления DDoS-потока в 86 раз

Эксперты Netscout предупреждают о возможности использования RDP-серверов Windows в DDoS-атаках с отражением и увеличением потока мусорных пакетов (reflection / amplification). Такую возможность уже предлагают теневые сервисы; зафиксированы атаки мощностью от 20 до 750 Гбит/с с коэффициентом усиления 85,9.

Служба RDP Windows обычно работает на портах TCP/3389 и UDP/3389. В данном случае злоумышленники используют порт UDP/3389, чтобы создать внушительный DDoS-поток и направить его на мишень. Размер исходящих сетевых пакетов при этом составляет 1260 байт — намного больше, чем при обычном RDP-обмене.

На настоящий момент экспертам удалось выявить около 14 тыс. RDP-серверов Windows, которые можно использовать в качестве посредников в DDoS-атаках. Хуже всего то, что DDoS с RDP-усилением уже включены в ассортимент услуг, предлагаемых на специализированных сайтах. Теневые DDoS-сервисы (их обычно называют booter или stresser) сильно снижают планку для начинающих дидосеров, и таких платформ в интернете много.

Использование RDP-сервера для усиления и отражения DDoS-потока может привести к отказу службы удаленного доступа из-за перегрузки на каналах. Файрвол и балансировщик нагрузки тоже могут не справиться с нештатной ситуацией.

Защитить от подобных злоупотреблений может фильтрация трафика на порту UDP/3389, однако эта мера не дает гарантий, что легитимный RDP-обмен не пострадает. Вместо этого эксперты советуют ограничить доступ к RDP-серверам, разрешив его только по VPN. При отсутствии такой возможности доступ через UDP/3389 лучше отключить.

Стоит отметить, что RDP Windows — не единственная служба удаленного доступа, привлекшая внимание дидосеров. В середине 2019 года исследователи из Netscout зафиксировали DDoS с усилением через ARMS. Служба удаленного доступа Apple работает на порту UDP/3283 macOS-серверов; как оказалось, ее тоже можно использовать для проведения DDoS-атак. На тот момент злоумышленникам удалось создать мусорный поток в 75 Гбит/с при скорости передачи пакетов 11 млн/с (Mpps).

Коэффициент усиления при этом составил 35,5. Почти такого же результата (36:1) добились авторы недавней DDoS-атаки с использованием DTLS-рефлекторов, хотя в этом случае он теоретически может быть на один-два порядка выше.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яндекс Браузер получил новые функции для защиты мобильных устройств

В корпоративной версии мобильного Яндекс Браузера появились новые инструменты, усиливающие защиту рабочих устройств и данных. Обновление делает браузер полноценной альтернативой системам Mobile Application Management (MAM) — особенно там, где сотрудники работают преимущественно через веб-приложения.

Среди новых функций — обнаружение взлома устройства, проверка его безопасности, защита от обхода корпоративных политик, защищённое хранилище и защита паролем.

Теперь ИБ-специалисты смогут узнать, если пользователь установил альтернативную прошивку или использует уязвимое устройство. Проверка безопасности определяет, соответствует ли смартфон требованиям компании — например, защищён ли он антивирусом или не подвергался ли взлому. При нарушении политики доступ к корпоративным данным можно автоматически ограничить.

Кроме того, администраторы могут сделать так, чтобы доступ к внутренним системам был возможен только через Яндекс Браузер для организаций. Это помогает снизить риски утечки информации при работе с конфиденциальными данными.

Функция защищённого хранилища ограничивает устройства, на которых можно открывать корпоративные файлы, а пароль на запуск браузера не позволит посторонним увидеть рабочие материалы, если устройство потеряно или оставлено без присмотра.

По словам директора по информационной безопасности Яндекс Браузера для организаций Дмитрия Мажарцева, сегодня браузер всё чаще становится основной точкой доступа к корпоративным сервисам — почте, календарям, мессенджерам и внутренним ИТ-системам. Поэтому защищённый браузер может заменить традиционные MAM-решения без потери уровня безопасности и без необходимости устанавливать дополнительное программное обеспечение.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru