利用WS-Discovery反射攻擊?綠盟科技威脅情報中心已支援相關檢測

綠盟科技發表於2020-05-06

WS-Discovery(Web Services Dynamic Discovery,簡稱WSD)是一種區域網內的服務發現多播協議,但是因為裝置廠商的設計不當,當一個正常的IP地址傳送服務發現報文時,裝置也會對其進行回應,加之裝置暴露在網際網路上,則可被攻擊者用於DDoS反射攻擊。

WS-Discovery反射攻擊最早於2019年2月由國內安全研究人員披露,從2019年下半年開始,利用其進行反射攻擊的事件明顯增多。綠盟科技威脅情報中心(NTI)對該攻擊持續監控,已支援對WS-Discovery反射攻擊的相關檢測及測繪資料檢索,可提供最新WSD暴露資產情報並持續更新。

透過特定條件檢索,可在NTI獲取相關測繪資料列表。

利用WS-Discovery反射攻擊?綠盟科技威脅情報中心已支援相關檢測

其中,某個參與DDoS攻擊的IP展示如下:

利用WS-Discovery反射攻擊?綠盟科技威脅情報中心已支援相關檢測

A10 Networks在其研究報告中提到WS-Discovery的暴露數量位居可被用於反射攻擊的服務的第三位,僅次於SNMP和SSDP,高於TFTP和DNS Resolver。由於WS-Discovery反射攻擊危害巨大,2019年,綠盟科技格物實驗室就對其進行了深入分析,並在2020年對WS-Discovery的暴露數量和威脅資料進行了更新,同時加入了綠盟科技國際雲清洗中的DDoS告警資料,分析出WS-Discovery反射攻擊的最新資訊。

格物實驗室採用綠盟科技威脅情報中心(NTI)在2020年3月的一輪完整測繪資料對WS-Discovery服務的暴露情況進行了分析,關鍵發現如下:

-  全球有約80萬個IP開放了WS-Discovery服務,存在被利用進行DDoS攻擊的風險,其中有約70萬是影片監控裝置,約佔總量的87.7%。

-  開放WS-Discovery服務的裝置暴露數量最多的五個國家依次是中國、韓國、越南、巴西和美國。而其中的影片監控裝置暴露數量,又以越南最多。

-  雖然開放WS-Discovery服務的IP近百萬,但是真正參與DDoS攻擊的並不多。主要原因是,大部分IP都不會對攻擊者在攻擊中所採用的短位元組攻擊載荷進行回應。去年報告中提到的三位元組攻擊載荷,僅有不到3萬的IP進行了回應。

-  透過對DDoS告警日誌中的事件、源IP和受害者進行分析,我們發現,2020年Q1,受害者數無明顯變化趨勢,但是3月份相比前兩個月,攻擊者使用開放WS-Discovery服務的IP進行反射攻擊的數量有了較大幅度的增加,單日IP數最高達到了1.9萬。

-  綠盟科技國際雲清洗資料顯示,共有13個國家受到過DDoS攻擊,其中,巴西是受害最嚴重的國家,巴西的受害者IP佔總數的41%。

-  WS-Discovery相關的IP除參與反射攻擊外,還有少量IP參與了其它多種型別的DDoS攻擊。這也一定程度上說明,WS-Discovery相關的裝置可能還存在其它漏洞,從而成為了殭屍網路的節點。

-  攻擊者在進行WS-Discovery反射攻擊時,通常不會採用合法的服務發現報文作為攻擊載荷,而是嘗試透過一些長度很短的載荷來進行攻擊。在去年的報告中,出現最多的是一個三個位元組的攻擊載荷,約佔所有攻擊日誌數量的三分之二。而在今年,我們發現攻擊載荷呈現出了多樣性,出現最多的是一個五個位元組的攻擊載荷,約佔所有攻擊日誌數量的27.0%,去年的那個三個位元組的攻擊載荷,佔比變為了22.0%,排在了第二位。


《2020年Q1 WS-Discovery反射攻擊觀察》報告詳細內容點選閱讀原文獲取。

(閱讀原文連結:https://nti.nsfocus.com/pdf/2020_Q1_WSD_Reflection_attack_analysis.pdf)

綠盟科技格物實驗室

格物實驗室專注於工業網際網路、物聯網和車聯網三大業務場景的安全研究。 致力於以場景為導向,智慧裝置為中心的漏洞挖掘、研究與安全分析,關注物聯網資產、漏洞、威脅分析。目前已釋出多篇研究報告,包括《物聯網安全白皮書》、《物聯網安全年報2017》、《物聯網安全年報2018》、《物聯網安全年報2019》、《國內物聯網資產的暴露情況分析》、《智慧裝置安全分析手冊》等。與產品團隊聯合推出綠盟物聯網安全風控平臺,定位運營商行業物聯網路卡的風險管控;推出韌體安全檢測平臺,以便快速發現裝置中可能存在的漏洞,以避免因弱口令、溢位等漏洞引起裝置控制許可權的洩露。

綠盟科技伏影實驗室

伏影實驗室專注於安全威脅與監測技術研究。 研究目標包括殭屍網路威脅,DDoS對抗,WEB對抗,流行服務系統脆弱利用威脅、身份認證威脅,數字資產威脅,黑色產業威脅及新興威脅。透過掌控現網威脅來識別風險,緩解威脅傷害,為威脅對抗提供決策支撐。

綠盟科技威脅情報中心

綠盟科技威脅情報中心(NSFOCUS Threat Intelligence center, NTI)依託公司專業的安全團隊和強大的安全研究能力,對全球網路安全威脅和態勢進行持續觀察和分析,以威脅情報的生產、運營、應用等能力及關鍵技術作為核心研究內容,推出了綠盟威脅情報平臺以及一系列整合威脅情報的新一代安全產品,為使用者提供可操作的情報資料、專業的情報服務和高效的威脅防護能力,幫助使用者更好地瞭解和應對各類網路威脅。

相關文章