هكرها با استفاده از پروتكل RDP مايكروسافت، حملات DDoS را تقويت ميكنند
سرويسهاي DDoS-for-Hire در حال سوءاستفاده از پروتكل ريموت دسكتاپ مايكروسافت (RDP - Remote Desktop Protocol) بهمنظور افزايش قدرت حملات سايبري توزيعشدهي محرومسازي از سرويس (Distributed Denial of Service - DDoS) هستند. براساس گزارش Ars Technica به نقل از بيانيهي مؤسسهاي امنيتي، حملات DDoS وبسايتها و سرويسهاي مختلف الكترونيك را فلج ميكنند و استفادهي افراد سودجو از پروتكل ريموت دسكتاپ مايكروسافت براي تقويت تواناييهايشان در اين زمينه نگرانكننده است.
RDP پايه و اساس يكي از قابليتهاي ويندوز است كه به يك دستگاه امكان ميدهد از طريق اينترنت در دستگاهي ديگر لاگين كند. اين پروتكل بهطور معمول توسط كسبوكارها استفاده ميشود تا هزينهي حضور فيزيكي افراد براي استفاده از رايانه كاهش يابد و البته زحمت كمتري به آنها وارد شود.
بهعنوان اتفاقي معمول در بسياري از سيستمهاي تصديقشده، RDP با توالي بسيار طولانيتري از بيتها كه باعث ايجاد ارتباط بين دو دستگاه ميشوند، به درخواستهاي لاگين پاسخ ميدهد. مؤسسهي امنيتي Netscout ميگويد سرويسهايي كه اصطلاحا بوتر (Booter) يا استرسر (Stresser) ناميده ميشوند، طي چند وقت اخير سراغ استفاده از RDP بهعنوان ابزاري براي تقويت حملات رفتهاند. بوتر يا استرسر به سرويسهايي گفته ميشود كه در ازاي دريافت مبلغي مشخص، آدرسهاي اينترنتي را بهشدت هدف قرار ميدهند (بمباران ميكنند) و در نهايت آنها را بهحالت آفلاين درميآورند.
تقويت سرويس بوتر يا استرسر به افراد سودجو با منابعي نهچندان پيشرفته، امكان ميدهد حجم دادههايي كه بهسمت اهدافشان روانه ميكنند، افزايش بدهند. اين تكنيك بدين صورت كار ميكند كه بايد مقدار نسبتا كمي داده را وارد سرويس تقويتكننده كرد تا در نهايت، مقدار بسيار بيشتري از دادهها به سمت هدف نهايي روانه شوند. با ضريب تقويت ۸۵٫۹ به يك، درخواستهاي ۱۰ گيگابايت بر ثانيهاي كه وارد سرور RDP شوند درنهايت به درخواستهاي تقريبا ۸۶۰ گيگابايت بر ثانيهاي تبديل ميشوند و سراغ وبسايت هدف ميروند.
محققان Netscout ميگويند در مطالعههايشان حملاتي ۲۰ تا ۷۵۰ گيگابايت بر ثانيهاي مشاهده كردهاند. همچون بسياري از بردارهاي حملهي (Attack Vector) جديد DDoS، به انديشه متخصصين ميرسد هكرهاي حرفهاي ابتدا با دسترسي به زيرساخت سفارشي حملهي DDoS در دورهي زماني مشخص، سراغ استفاده از سيستم تقويتي RDP ميروند و تواناييهاي آن را به سرويسهاي بوتر (يا استرسر) DDoS-for-Hire اضافه ميكنند. Netscout ميگويد نحوهي جاسازي RDP در سرويس بوتر به گونهاي است كه همهي هكرها به آن دسترسي داشته باشند.
حملهي تقويتي DDoS دههها قدمت دارد و تكنيك جديدي نيست. وقتي متخصصان قانوني اينترنت بهطور كلي يك بردار حمله را مسدود ميكنند، هكرها به دنبال بردارهاي جديد ميگردند. تقويتكنندگان DDoS شامل open DNS resolver، پروتكل WS-Discovery (در دستگاههاي اينترنت اشياء) و پروتكل Network Time اينترنت هستند. يكي از قويترين بردارهاي تقويتي دوران فعلي با نام پروتكل Memcached شناخته ميشود كه داراي ضريب ۵۱,۰۰۰ به يك است.
در حال حاضر حدودا ۳۳ هزار سرور RDP در اينترنت فعال هستند كه احتمال استفاده از آنها براي تقويت حملات DDoS وجود دارد. ب راساس مطالعههاي Netscout، سرورهاي RDP افزون بر بستههاي UDP ممكن است به بستههاي TCP نيز اتكا كنند. Netscout پيشنهاد ميكند كه دسترسي به سرورهاي RDP صرفا از طريق سرويس VPN انجام شود. سرورهاي ايمننشدهي RDP افزون بر آسيب رساندن به اينترنت، ممكن است براي سازمانهايي كه آنها را در اينترنت قرار ميدهند نيز خطرساز باشند.
هم انديشي ها