自WSD反射攻擊在今年2月被國內安全研究人員披露以來,今年下半年利用WSD進行反射攻擊的事件明顯增多。綠盟伏影實驗室的蜜網系統捕獲的WSD反射攻擊事件從8月中旬開始呈現上升趨勢,9月份之後增長快速,需要引起相關人員(如安全廠商、服務提供商、運營商等)足夠的重視。
下面是我們的一些關鍵發現:
- 全球有約91萬個IP開放了WSD服務,存在被利用進行DDoS攻擊的風險,其中有約73萬是影片監控裝置,約佔總量的80%。
- 開放WSD服務的裝置暴露數量最多的五個國家依次是中國、越南、巴西、美國和韓國。而其中的影片監控裝置暴露數量,又以越南最多。
- 約有24%的裝置對於WSD的回覆報文的源埠並不是3702埠,這對基於源埠過濾的傳統DDoS防護提出了新挑戰。
- 攻擊者在進行WSD反射攻擊時,通常不會採用合法的服務發現報文作為攻擊載荷,而是嘗試透過一些長度很短的載荷來進行攻擊。出現最多的是一個三個位元組的攻擊載荷,約佔所有攻擊數量的三分之二。
- 我們對這個三位元組的攻擊載荷進行了全網探測,發現並非所有的WSD服務都對其進行響應,有回應的IP數量接近3萬個。該載荷所造成的反射攻擊的平均頻寬放大因子為443。
WS-Discovery(Web Services Dynamic Discovery,WSD)是一種區域網內的服務發現多播協議,但是因為裝置廠商的設計不當,當一個正常的IP地址傳送服務發現報文時,裝置也會對其進行回應,加之裝置暴露在網際網路上,則可被攻擊者用於DDoS反射攻擊。WSD協議所對應的埠號是3702。當前,影片監控裝置的ONVIF規範裡面提到使用WSD作為服務發現協議,一些印表機也開放了WSD服務。
WSD作為一種新的反射攻擊型別,潛力巨大。隨著ONVIF組織的壯大,相信會有越來越多的裝置支援ONVIF,也即開放WSD服務,由此而帶來的威脅也將越來越大。在WSD反射攻擊逐漸進入大家視野之時,企業安全正面臨著更加嚴峻的挑戰。
為更好地幫助企業抵禦WSD反射攻擊,提升安全防護水平,綠盟科技格物實驗室對WS-Discovery反射攻擊進行深度分析。分析報告詳情可點選閱讀原文進行檢視,使用者也可以在綠盟威脅情報中心( https://nti.nsfocus.com/ )下載PDF版報告。
此外,綠盟威脅情報中心(NTI)一直支援對於WSD服務的檢索,可提供最新WSD暴露資產情報並持續更新。
綠盟威脅情報中心:
綠盟威脅情報中心(NSFOCUS Threat Intelligence center, NTI)是綠盟科技為落實智慧安全2.0戰略,促進網路空間安全生態建設和威脅情報應用,增強客戶攻防對抗能力而組建的專業性安全研究組織。其依託公司專業的安全團隊和強大的安全研究能力,對全球網路安全威脅和態勢進行持續觀察和分析,以威脅情報的生產、運營、應用等能力及關鍵技術作為核心研究內容,推出了綠盟威脅情報平臺以及一系列整合威脅情報的新一代安全產品,為使用者提供可操作的情報資料、專業的情報服務和高效的威脅防護能力,幫助使用者更好地瞭解和應對各類網路威脅。
綠盟格物實驗室
綠盟格物實驗室專注於工業網際網路、物聯網和車聯網三大業務場景的安全研究。致力於以場景為導向,智慧裝置為中心的漏洞挖掘、研究與安全分析,目前已釋出多篇研究報告。
綠盟伏影實驗室
綠盟伏影實驗室專注於安全威脅與監測技術研究。研究目標包括殭屍網路威脅,DDoS對抗,WEB對抗,流行服務系統脆弱利用威脅、身份認證威脅,數字資產威脅,黑色產業威脅及新興威脅。透過掌控現網威脅來識別風險,緩解威脅傷害,為威脅對抗提供決策支撐。
閱讀原文連結:https://mp.weixin.qq.com/s/eKMClvj6T2DYChNoB9SPdw ‘