Специалисты подразделения ASERT компании NETSCOUT выявили новый вектор DDoS-атак с отражением и усилением трафика (DrDoS). Злоумышленники ищут в Интернете доступные службы удаленного управления macOS-машинами и используют их для амплификации мусорного потока и наведения его на цель. Согласно наблюдениям, подобные посредники позволяют получить довольно высокий коэффициент усиления — 35,5.

Новый способ проведения DDoS с плечом был обнаружен в конце прошлой недели, когда клиенты NETSCOUT зафиксировали резкий рост количества DrDoS-атак мощностью около 70 Гбит/с. Во всех случаях мусорные пакеты поступали с UDP-порта 3283.

Предварительный анализ показал, что в ответ на каждый пакет с поддельным IP-адресом узлы-посредники генерируют по два UDP-пакета. Размер первого составляет 32 байт, второго — 1034 байт. Это означает, что используемые злоумышленниками приложения или сервисы выполняют сегментацию на прикладном уровне. Такое же поведение эксперты, по их словам, наблюдали в ходе некоторых других DrDoS-атак — к примеру, в атаках с использованием неправильно сконфигурированных NTP-серверов.

Расследование продолжили, и вскоре стало ясно, что злоумышленники имеют возможность нацелить своих невольников на любой порт выбранной мишени. Предельная мощность наблюдаемых атак составила 75 Гбит/с и 11 Mpps (млн пакетов в секунду). Второй показатель, по мнению аналитиков, более важен, когда речь идет о DrDoS — по крайней мере, в большинстве случаев, тогда как первый позволяет лучше оценить степень угрозы, использующей технику flood (например, SYN DDoS).

Идентифицировать приложения или сервисы, подвергшиеся злоупотреблению, помог порт-источник: UDP/3283 ассоциируется с приложением удаленного администрирования Apple Remote Desktop (ARD) и соответствующей службой (ARMS). Как оказалось, при включенном режиме Remote Management этот порт на macOS-машине остается открытым даже при жестких настройках безопасности и приватности на брандмауэре. По умолчанию опция удаленного администрирования на десктопах Apple деактивирована и включается вручную из-под учетной записи администратора.

На настоящий момент эксперты выявили порядка 54 тыс. доступных из Интернета macOS-компьютеров с активной службой ARMS. Злоумышленники только начали их использовать в DDoS-атаках, однако не исключено, что новый вектор наберет популярность и со временем будет включен в ассортимент теневых DDoS-сервисов — так называемых booters и stressers.

Для предотвращения подобных DrDoS-атак ASERT рекомендует операторам сетей использовать специализированные средства, а администраторам Мак-машин с активной службой ARMS — закрыть интернет-доступ к порту 3283 и подумать о VPN-защите.

Категории: DoS-атаки, Главное