تقویت حملاتDDOSوپروتکل ریموت دسک‌تاپ

کد نوشته: 22432

۱۳۹۹-۱۱-۱۲

مهاجمان با انگیزه‌های متنوع در حال سوءاستفاده از پروتکل ریموت‌دسکتاپ مایکروسافت برای افزایش قدرت حمله‌های سایبری DDOS هستند، به وقوع پیوستن این مدل حملات باعث می‌شود تا وب‌سایت‌های هدف و سرویس‌های آنلاین فلج شوند، بر همین اساس استفاده‌ی مهاجمان از پروتکل ریموت‌دسک‌تاپ برای افزایش قدرت حمله باعث نگرانی است.

یک موسسه امنیتی مدعی است هکرها با بهره‌گیری از پروتکل ریموت‌دسک‌تاپ توانایی انجام هجوم های مهلک‌تر سایبری به شیوه DDOS(حملات توزیع شده برای از کار انداختن سرویس های سرور) را به دست آورده‌اند.
تقویت حملاتDDOSوپروتکل ریموت دسک‌تاپ

مهاجمان با انگیزه‌های متنوع در حال سوءاستفاده از پروتکل ریموت‌دسکتاپ مایکروسافت برای افزایش قدرت حمله‌های سایبری DDOS هستند، به وقوع پیوستن این مدل حملات باعث می‌شود تا وب‌سایت‌های هدف و سرویس‌های آنلاین فلج شوند، بر همین اساس استفاده‌ی مهاجمان از پروتکل ریموت‌دسک‌تاپ برای افزایش قدرت حمله باعث نگرانی است.

ریموت‌دسک‌تاپ یا RDP یکی از امکانات ویندوز است، این قابلیت به هر رایانه‌ای اجازه می‌دهد تا به واسطه اینترنت به رایانه‌ای دیگری متصل شود،این قابلیت ویژگی مطلوبی برای کسب و کارها محسوب می‌شود و دیگر نیازی به حضور فیزیکی شخص نیست،بنابراین هزینه‌ها کاهش و زحمت‌ها کمتر می‌شود.

پروتکل ریموت‌دسک‌تاپ برای ارتباط بین ۲ دستگاه،با بهره‌گیری از توالی بسیار طولانی‌تری از بیت‌ها به درخواست‌های اتصال پاسخ می‌دهد.

طبق اطلاع‌رسانی موسسه امنیتی Netscout، سرویس‌های مخرب و شناخته‌شده با اسامی بوتر و استرسر،در حال استفاده از قابلیت ریموت‌دسک‌تاپ به انگیزه تقویت حملات هستند،بوتر یا استرسر به سرویس‌هایی گفته می‌شود که با دریافت مبلغی دستمزد،اقدام به بمباران شدید آدرس‌های اینترنتی می‌کنند تا آنها غیرفعال شوند.

تقویت سرویس‌های بوتر یا استرسر باعث می‌شود تا مهاجمان با حجم گسترده‌تری از داده‌ها به سمت اهداف‌شان حمله‌ور شوند،عملکرد این تکنیک به این طریق است که مقداری داده وارد سرویس تقویت‌کننده می‌شود در نتیجه حجم بسیار بیشتری از داده‌ها به سمت هدف تعیین‌شده هدایت می‌شود.

با ضریب تقویت ۸۶ به یک،درخواست‌های ۱۰ گیگابایت بر ثانیه وارد سرور RDP می‌شوند در نتیجه به درخواست‌های۸۶۰ گیگابایت بر ثانیه تبدیل می‌شوند و سپس به سوی وب‌سایت هدف هدایت می‌شوند.

طبق اطلاع‌رسانی محققان Netscout،طی بررسی‌های انجام شده حملات ۲۰ تا ۷۵۰ گیگابایت بر ثانیه مشاهده شده است،در بسیاری از بردارهای حمله‌ای جدید DDOS،هکرهای حرفه‌ای در همان گام نخست به سراغ سیستم تقویتی RDP می‌روند، نحوه‌ی جاسازی RDP در سرویس بوتر به ‌گونه‌ای است که همه‌ی هکرها به آن‌ دسترسی دارند.

حملات تقویت کننده DDoS به چندین دهه قبل برمی‌گردد و تکنیک جدیدی نیست، وقتی کاربران امنیتی یک بردار حمله را مسدوده می‌کنند، هکرها به سراغ مسیر جدیدی برای حمله می‌روند، تقویت کنندگان DDOS شامل open dns resolver، پروتکل ws-discovery (در دستگاه‌های اینترنت اشیاء) و پروتکل network time هستند، یکی از بهترین بردارهای تقویتی در حال حاضر،پروتکل Memcached است که ضریب آن ۵۱۰۰۰ به یک است.

در حال حاضر،حدود ۳۳ هزار سرور RDP در اینترنت فعال می‌باشند که احتمال استفاده از آن‌ها برای تقویت حملات DDOS وجود دارد،بر اساس بررسی‌های Netscout سرورهای RDP علاوه بر بسته‌های UDP ممکن است از بسته‌های TCP هم استفاده کنند.

مطابق پیشنهاد Netscout ، دسترسی به سرورهای RDP حتماً از طریق سرویس های شبکه خصوصی مجازی انجام شود، سرورهای RDP علاوه بر مشکلات امنیتی، برای امنیت اطلاعات سازمان‌هایی که از قابلیت ریموت‌دسک‌تاپ در اینترنت استفاده می‌کنند نیز خطرساز است.