هكرها با استفاده از پروتكل RDP مايكروسافت، حملات DDoS را تقويت مي‌كنند

سرويس‌هاي DDoS-for-Hire در حال سوءاستفاده از پروتكل ريموت دسكتاپ مايكروسافت (RDP - Remote Desktop Protocol) به‌منظور افزايش قدرت حملات سايبري توزيع‌شده‌ي محروم‌سازي از سرويس (Distributed Denial of Service - DDoS) هستند. براساس گزارش Ars Technica به ‌نقل از بيانيه‌ي مؤسسه‌اي امنيتي، حملات DDoS وب‌سايت‌ها و سرويس‌هاي مختلف الكترونيك را فلج مي‌كنند و استفاده‌ي افراد سودجو از پروتكل ريموت دسكتاپ مايكروسافت براي تقويت توانايي‌هايشان در اين زمينه نگران‌كننده است. 

RDP پايه و اساس يكي از قابليت‌هاي ويندوز است كه به يك دستگاه امكان مي‌دهد از طريق اينترنت در دستگاهي ديگر لاگين كند. اين پروتكل به‌طور معمول توسط كسب‌وكارها استفاده مي‌شود تا هزينه‌‌‌ي حضور فيزيكي افراد براي استفاده از رايانه كاهش يابد و البته زحمت كمتري به آن‌ها وارد شود.

به‌عنوان اتفاقي معمول در بسياري از سيستم‌هاي تصديق‌شده، RDP با توالي بسيار طولاني‌تري از بيت‌ها كه باعث ايجاد ارتباط بين دو دستگاه مي‌شوند، به درخواست‌هاي لاگين پاسخ مي‌دهد. مؤسسه‌ي امنيتي Netscout مي‌گويد سرويس‌هايي كه اصطلاحا بوتر (Booter) يا استرسر (Stresser) ناميده مي‌شوند، طي چند وقت اخير سراغ استفاده از RDP به‌عنوان ابزاري براي تقويت حملات رفته‌اند. بوتر يا استرسر به سرويس‌هايي گفته مي‌شود كه در ازاي دريافت مبلغي مشخص، آدرس‌هاي اينترنتي را به‌شدت هدف قرار مي‌دهند (بمباران مي‌كنند) و در نهايت آن‌ها را به‌حالت آفلاين درمي‌آورند.

تقويت سرويس بوتر يا استرسر به افراد سودجو با منابعي نه‌چندان پيشرفته، امكان مي‌دهد حجم داده‌هايي كه به‌سمت اهداف‌شان روانه مي‌كنند، افزايش بدهند. اين تكنيك بدين صورت كار مي‌كند كه بايد مقدار نسبتا كمي داده را وارد سرويس تقويت‌كننده كرد تا در نهايت، مقدار بسيار بيشتري از داده‌ها به ‌سمت هدف نهايي روانه شوند. با ضريب تقويت ۸۵٫۹ به يك، درخواست‌هاي ۱۰ گيگابايت ‌بر ثانيه‌اي كه وارد سرور RDP شوند درنهايت به درخواست‌هاي تقريبا ۸۶۰ گيگابايت ‌بر ثانيه‌اي تبديل مي‌شوند و سراغ وب‌سايت هدف مي‌روند. 

محققان Netscout مي‌گويند در مطالعه‌هايشان حملاتي ۲۰ تا ۷۵۰ گيگابايت ‌بر ثانيه‌اي مشاهده كرده‌اند. همچون بسياري از بردارهاي حمله‌ي (Attack Vector) جديد DDoS، به‌ انديشه متخصصين مي‌رسد هكرهاي حرفه‌اي ابتدا با دسترسي به زيرساخت سفارشي حمله‌ي DDoS در دوره‌ي زماني مشخص، سراغ استفاده از سيستم تقويتي RDP مي‌روند و توانايي‌هاي آن را به سرويس‌هاي بوتر (يا استرسر) DDoS-for-Hire اضافه مي‌كنند. Netscout مي‌گويد نحوه‌ي جاسازي RDP در سرويس بوتر به ‌گونه‌اي است كه همه‌ي هكرها به آن‌ دسترسي داشته باشند.

در حال حاضر حدودا ۳۳ هزار سرور RDP در اينترنت فعال هستند كه احتمال استفاده از آن‌ها براي تقويت حملات DDoS وجود دارد. ب راساس مطالعه‌هاي Netscout، سرورهاي RDP افزون ‌بر بسته‌هاي UDP ممكن است به بسته‌هاي TCP نيز اتكا كنند. Netscout پيشنهاد مي‌كند كه دسترسي به سرورهاي RDP صرفا از طريق سرويس VPN انجام شود. سرورهاي ايمن‌نشده‌ي RDP افزون‌ بر آسيب رساندن به اينترنت، ممكن است براي سازمان‌هايي كه آن‌ها را در اينترنت قرار مي‌دهند نيز خطرساز باشند.