Злоумышленники используют протокол WS-Discovery для DDoS-атак

12

Злоумышленники используют протокол WS-Discovery для DDoS-атак

Мощность некоторых атак достигала 350 Гбит/с.


Исследователи безопасности предупреждают о злоупотреблении протоколом Web Services Dynamic Discovery (WS-DD, WSD, или WS-Discovery), который может быть использован злоумышленниками для проведения множественных DDoS-атак.

Первые атаки подобного типа были обнаружены в мае нынешнего года, сообщает издание ZDNet. Хотя их количество достигло отметки в 130 атак с мощностью некоторых в 350 Гбит/с, в тот момент исследователи не хотели разглашать информацию об инцидентах.

WS-Discovery — многоадресный протокол для обнаружения других устройств, которые обмениваются данными через определенный протокол или интерфейс. Он применяется для обнаружения и обмена данными посредством SOAP с использованием пакетов UDP, поэтому иногда WS-Discovery называют SOAP-over-UDP. На сегодняшний день протокол WS-Discovery используют такие устройства, как IP-камеры, принтеры, бытовые приборы и DVR. Согласно поисковому запросу BinaryEdge, в Сети находится более 630 тыс. уязвимых устройств.

WS-Discovery может стать любимым инструментом для проведения DDoS-атак в руках злоумышленников. Поскольку протокол основан на UDP, существует вероятность подмены места назначения пакетов. Преступнику достаточно отправить UDP-пакет WS-Discovery-службе устройства, использовав поддельный обратный IP-адрес. Устройство ответит на него и предоставит преступникам доступ к управлению WS-Discovery-трафиком. В связи с тем, что ответ WS-Discovery больше изначального запроса, атакующим также не составит труда усилить DDoS-атаки.

Коэффициент амплификации майских атак, в рамках которых использовался WS-Discovery, доходил до 300 и даже до 500, тогда как для других UDP-протоколов он составляет в среднем 10. В августе последовали более слабые атаки, но эксперты связывают данный факт с неосведомленностью группировок о возможностях протокола или отсутствием необходимого оборудования.

Пока что киберпреступники используют протокол WS-Discovery не в полную силу. Но исследователи безопасности опасаются, что в скором времени ситуация изменится, и этот метод возьмет на вооружение почти каждый оператор ботнета.

Компания Positive Technologies проводит исследование о том, сколько времени тратят ИБ-специалисты на работу в SIEM-системах и предлагает анонимно ответить на несколько вопросов https://surveys.hotjar.com/s?siteId=1095096&surveyId=140403