配置錯誤的Windows域服務器放大DDoS攻擊


位於兩個不同大洲的兩傢企業能有什麼共同之處?配置不正確的微軟服務器,每秒噴出數千兆字節的垃圾數據包,對毫無戒心的服務和企業造成分佈式拒絕服務攻擊(DDOS)。這些攻擊會嚴重破壞一個企業的運行,或者在某些情況下,在沒有適當保護的情況下使其癱瘓,而這往往不是一個小企業所能承受的。

retail-reflector-1280x669.jpgreligious-org-01-1280x539.jpg

根據黑蓮花實驗室最近發表的一份報告,超過12000臺運行微軟域控制器與活動目錄的服務器經常被用來放大DDoS攻擊。 多年來,這一直是一場攻擊者和防禦者的戰鬥,很多時候,攻擊者所要做的就是獲得對僵屍網絡中不斷增長的連接設備列表的控制,並利用它們進行攻擊。 其中一個更常見的攻擊方法被稱為反射。 反射是指攻擊者不是用數據包淹沒一個設備,而是將攻擊發送到第三方服務器。 利用第三方錯誤配置的服務器和欺騙數據包,使攻擊看起來是來自目標的。 這些第三方服務器在不知情的情況下,最終將攻擊反映在目標上,往往比開始時大十倍。

在過去的一年裡,一個不斷增長的攻擊來源是無連接輕量級目錄訪問協議(CLDAP),它是標準輕量級目錄訪問協議(LDAP)的一個版本。CLDAP使用用戶數據報協議數據包來驗證用戶,並在簽署進入活動目錄時發現服務。 黑蓮花公司的研究員Chad Davis在最近的一封電子郵件中這樣說。

"當這些域控制器沒有暴露在開放的互聯網上時(絕大多數的部署都是如此),這種UDP服務是無害的。但是在開放的互聯網上,所有的UDP服務都容易受到反射的影響。"

攻擊者自2007年以來一直在使用該協議來放大攻擊。 當研究人員第一次發現CLDAP服務器中的錯誤配置時,數量達到幾萬個。 一旦這個問題引起管理員的註意,這個數字就會大幅下降,盡管自2020年以來,這個數字又急劇上升,包括根據黑蓮花實驗室的數據,在過去一年中上升近60%。

reflectors-by-age.png

黑蓮花為運行CLDAP的組織提供以下建議:

網絡管理員應考慮不要將CLDAP服務(389/UDP)暴露在開放的互聯網上。

如果CLDAP服務暴露在開放的互聯網上是絕對必要的,則需要努力確保系統的安全和防禦。

在支持TCP LDAP服務上的LDAP ping的MS Server版本上,關閉UDP服務,通過TCP訪問LDAP ping。

如果MS Server版本不支持TCP上的LDAP ping,請限制389/UDP服務產生的流量,以防止被用於DDoS。

如果MS服務器版本不支持TCP的LDAP ping,那麼就用防火墻訪問該端口,這樣就隻有合法客戶可以到達該服務。

安全專業人員應實施一些措施來防止欺騙性的IP流量,如反向路徑轉發(RPF),可以是松散的,也可以是嚴格的,如果可行的話。

黑蓮花公司已經通知並協助管理員,他們在Lumen公司提供的IP空間中發現漏洞。

微軟還沒有對這些發現發表評論。


相關推薦

2022-10-12

或者變得異常緩慢(一些網站返回連接超時或數據庫連接錯誤)。通常情況下,黑客組織會利用其掌控的僵屍網絡裡的大量“肉雞”,對目標服務器的帶寬等資源發起密集的 DDoS 攻擊。而在這輪針對美國機場的攻擊中,KillNet 使

2022-08-17

面向ReleasePreview頻道用戶,微軟發佈適用於Windows11的累積更新KB5016691,用戶安裝之後版本號升至Build22000.917。本次更新允許IT管理員遠程添加和管理語言;MicrosoftDefenderforEndpoint在本次更新之後也能更好地識別和阻止惡意軟件和高

2023-06-19

方博客,終於公佈月初(6月5日)出現的大規模Microsoft 365服務中斷原因。微軟在博客文章中表示,自2023年6月初起,微軟發現一些服務流量激增,導致該服務暫時無法使用”具體來說,官方稱,此次停機已經確認是由於網絡攻擊

2023-11-29

情況下,硬件需要重新更換,裡面的服務軟件也需要重新配置,恢復周期相對較長,但這個可能性比較小。第三,第三方服務故障:滴滴的後臺架構可能使用第三方服務或者組件。如果第三方出問題,也可能會影響滴滴的正常運

2023-11-29

情況下,硬件需要重新更換,裡面的服務軟件也需要重新配置,恢復周期相對較長,但這個可能性比較小。第三,第三方服務故障:滴滴的後臺架構可能使用第三方服務或者組件。如果第三方出問題,也可能會影響滴滴的正常運

2022-08-26

微軟面向Windows1121H2發佈八月可選更新KB5016691,用戶安裝之後版本號會升至Build22000.918。由於該可選更新為C類更新,因此並不包含任何安全修復。本次可選更新的內容將會整合到九月補丁星期二活動日發佈的累積更新中,不過如

2022-08-23

。思科 Talos 研究員 Azim Shukuhi 在Twitter上表示,對 LockBit 服務器的 DDoS 攻擊包括“每秒來自 1000 多臺服務器的 400 個請求”。作為對攻擊的報復,LockBit 的數據泄露站點現在顯示一條消息,警告說勒索軟件團夥計劃將 Entrust 的所有

2022-10-19

微軟今天向Windows11RP頻道推出新的預覽版更新,該更新僅做測試用途後續會逐漸推送到正式版頻道。目前各頻道的更迭順序是這樣的,先從發佈預覽頻道開始, 然後作為C/D類更新推送,最後合並到月度更新。所以現在推

2022-08-07

和控制(C2)中心。DarkUtilities服務為威脅者提供一個支持Windows、Linux和基於Python的惡意程序載荷的平臺。C2服務器指的是攻擊者在外部控制其惡意軟件的方式,發送命令、配置和新的有效載荷,並接收從被攻擊系統收集的數據。&

2023-11-09

晚間,OpenAI的ChatGPT和API(第三方服務應用程序接口)突發嚴重停機,大量網友稱無法使用。OpenAI公司周四(11月9日)最新回應稱,正在努力解決“異常流量”問題,並表明黑客正試圖使其服務陷入困境。該公司回應,它發現ChatG

2022-08-26

阻止大部分勒索軟件攻擊。此外,報告中還發現客戶錯誤配置雲服務、依賴不可靠的安全軟件、通過默認宏設置流量勒索軟件,這導致微軟制造某種勒索軟件攻擊,即人為操作的勒索軟件。在報告中指出:“你可能會使用某個熱

2022-09-29

上工作,包括ARM、英特爾(i386)、MIPS和PowerPC。它同時為Windows、Linux和各種消費設備、小型辦公室/傢庭辦公室(SOHO)路由器和企業服務器量身開發。該惡意軟件利用已知的漏洞,使行為人能夠:掃描目標系統,為未來的命令提

2022-06-24

繼本月補丁星期二活動日之後,今天微軟面向所有支持的Windows10/11系統發佈瞭可選更新。Windows11在安裝KB5014668可選更新之後,版本號升至Build22000.778,為WindowsSearch引入瞭Highlights功能。此功能將為您提供有關今天的各種重要信息

2022-07-06

8 中的其他更改包括對問題的重要修復,例如無法更新到 Windows 11、重新連接到藍牙設備、玩依賴特定音頻技術的遊戲或訪問 Surface Dial 設置。該可選更新亮點:New!引入新的 Search HighlightsSearch Highlights 將展示每天的特別重要且有