利用WS-Discovery反射攻擊?綠盟科技威脅情報中心已支援相關檢測
WS-Discovery(Web Services Dynamic Discovery,簡稱WSD)是一種區域網內的服務發現多播協議,但是因為裝置廠商的設計不當,當一個正常的IP地址傳送服務發現報文時,裝置也會對其進行回應,加之裝置暴露在網際網路上,則可被攻擊者用於DDoS反射攻擊。
WS-Discovery反射攻擊最早於2019年2月由國內安全研究人員披露,從2019年下半年開始,利用其進行反射攻擊的事件明顯增多。綠盟科技威脅情報中心(NTI)對該攻擊持續監控,已支援對WS-Discovery反射攻擊的相關檢測及測繪資料檢索,可提供最新WSD暴露資產情報並持續更新。
透過特定條件檢索,可在NTI獲取相關測繪資料列表。
其中,某個參與DDoS攻擊的IP展示如下:
A10 Networks在其研究報告中提到WS-Discovery的暴露數量位居可被用於反射攻擊的服務的第三位,僅次於SNMP和SSDP,高於TFTP和DNS Resolver。由於WS-Discovery反射攻擊危害巨大,2019年,綠盟科技格物實驗室就對其進行了深入分析,並在2020年對WS-Discovery的暴露數量和威脅資料進行了更新,同時加入了綠盟科技國際雲清洗中的DDoS告警資料,分析出WS-Discovery反射攻擊的最新資訊。
格物實驗室採用綠盟科技威脅情報中心(NTI)在2020年3月的一輪完整測繪資料對WS-Discovery服務的暴露情況進行了分析,關鍵發現如下:
- 全球有約80萬個IP開放了WS-Discovery服務,存在被利用進行DDoS攻擊的風險,其中有約70萬是影片監控裝置,約佔總量的87.7%。
- 開放WS-Discovery服務的裝置暴露數量最多的五個國家依次是中國、韓國、越南、巴西和美國。而其中的影片監控裝置暴露數量,又以越南最多。
- 雖然開放WS-Discovery服務的IP近百萬,但是真正參與DDoS攻擊的並不多。主要原因是,大部分IP都不會對攻擊者在攻擊中所採用的短位元組攻擊載荷進行回應。去年報告中提到的三位元組攻擊載荷,僅有不到3萬的IP進行了回應。
- 透過對DDoS告警日誌中的事件、源IP和受害者進行分析,我們發現,2020年Q1,受害者數無明顯變化趨勢,但是3月份相比前兩個月,攻擊者使用開放WS-Discovery服務的IP進行反射攻擊的數量有了較大幅度的增加,單日IP數最高達到了1.9萬。
- 綠盟科技國際雲清洗資料顯示,共有13個國家受到過DDoS攻擊,其中,巴西是受害最嚴重的國家,巴西的受害者IP佔總數的41%。
- WS-Discovery相關的IP除參與反射攻擊外,還有少量IP參與了其它多種型別的DDoS攻擊。這也一定程度上說明,WS-Discovery相關的裝置可能還存在其它漏洞,從而成為了殭屍網路的節點。
- 攻擊者在進行WS-Discovery反射攻擊時,通常不會採用合法的服務發現報文作為攻擊載荷,而是嘗試透過一些長度很短的載荷來進行攻擊。在去年的報告中,出現最多的是一個三個位元組的攻擊載荷,約佔所有攻擊日誌數量的三分之二。而在今年,我們發現攻擊載荷呈現出了多樣性,出現最多的是一個五個位元組的攻擊載荷,約佔所有攻擊日誌數量的27.0%,去年的那個三個位元組的攻擊載荷,佔比變為了22.0%,排在了第二位。
《2020年Q1 WS-Discovery反射攻擊觀察》報告詳細內容點選閱讀原文獲取。
(閱讀原文連結:https://nti.nsfocus.com/pdf/2020_Q1_WSD_Reflection_attack_analysis.pdf)
綠盟科技格物實驗室
格物實驗室專注於工業網際網路、物聯網和車聯網三大業務場景的安全研究。 致力於以場景為導向,智慧裝置為中心的漏洞挖掘、研究與安全分析,關注物聯網資產、漏洞、威脅分析。目前已釋出多篇研究報告,包括《物聯網安全白皮書》、《物聯網安全年報2017》、《物聯網安全年報2018》、《物聯網安全年報2019》、《國內物聯網資產的暴露情況分析》、《智慧裝置安全分析手冊》等。與產品團隊聯合推出綠盟物聯網安全風控平臺,定位運營商行業物聯網路卡的風險管控;推出韌體安全檢測平臺,以便快速發現裝置中可能存在的漏洞,以避免因弱口令、溢位等漏洞引起裝置控制許可權的洩露。
綠盟科技伏影實驗室
伏影實驗室專注於安全威脅與監測技術研究。 研究目標包括殭屍網路威脅,DDoS對抗,WEB對抗,流行服務系統脆弱利用威脅、身份認證威脅,數字資產威脅,黑色產業威脅及新興威脅。透過掌控現網威脅來識別風險,緩解威脅傷害,為威脅對抗提供決策支撐。
綠盟科技威脅情報中心
綠盟科技威脅情報中心(NSFOCUS Threat Intelligence center, NTI)依託公司專業的安全團隊和強大的安全研究能力,對全球網路安全威脅和態勢進行持續觀察和分析,以威脅情報的生產、運營、應用等能力及關鍵技術作為核心研究內容,推出了綠盟威脅情報平臺以及一系列整合威脅情報的新一代安全產品,為使用者提供可操作的情報資料、專業的情報服務和高效的威脅防護能力,幫助使用者更好地瞭解和應對各類網路威脅。
相關文章
- 利用漏洞攻擊Edimax WiFi橋接器,綠盟威脅情報中心支援相關檢測WiFi橋接
- 黑客利用深信服SSL VPN進行攻擊,綠盟威脅情報已支援相關檢測黑客
- 威脅情報專欄|ADDP反射攻擊來襲?NTI已支援相關檢測反射
- 助力關鍵資訊基礎設施防護,綠盟科技推出威脅情報中心NTI
- 綠盟威脅情報中心報告:疫情期間境外黑客發起對我國網路攻擊案例黑客
- 綠盟科技入選Gartner全球威脅情報市場指南
- 【重磅】綠盟威脅情報中心(NTI)正式上線IPv6情報資料
- 360NDR率先支援對美國NSA量子攻擊威脅的檢測分析
- 很好,WS-Discovery反射攻擊已經成功引起我們的注意反射
- 2021網路安全周·瀋陽站 | 綠盟科技威脅情報中心落戶盛京
- 【新品上市】綠盟威脅情報平臺NTIP上市
- 賽可達推病毒攻擊檢測和情報分享服務
- 內網威脅感知與攻擊溯源系統內網
- 網路安全中*具威脅的攻擊方式!
- 綠盟科技:2014年中國上半年DDoS威脅報告 政府網站攻擊總數的1/3網站
- BlackBerry《季度全球威脅情報報告》顯示新型惡意軟體攻擊活動激增 70%
- 炙手可熱的威脅情報!飛塔已應用了15年
- RowHammer 攻擊:記憶體的隱形威脅記憶體
- 騰訊安全威脅情報釋出會解讀:數字化時代,為何威脅情報如此重要?
- 直擊RSAC 2022:看威脅情報如何反網路詐騙
- 直擊RSAC 2022:如何綜合評估威脅情報指標指標
- 三種方法助您緩解SQL隱碼攻擊威脅SQL
- 黑客攻防應用:利用密碼檔案檢測攻擊黑客密碼
- 旨在改進威脅檢測的系統
- 常見網路安全威脅及攻擊型別介紹!型別
- 新基建下的威脅狩獵|看綠盟綜合威脅分析系統
- 預防ddos攻擊檢測
- 雲地協同 智行合一丨綠盟威脅情報平臺(NTIP)助力政府客戶情報運營體系建設
- 《我的世界》最常受到攻擊,卡巴斯基釋出2023年遊戲相關網路威脅報告遊戲
- Deloitte:2017年IoT裝置DDoS攻擊威脅報告
- 黑帽大會:十大最具威脅的黑客攻擊方式黑客
- DNS伺服器受攻擊,建站不可忽略的網路威脅DNS伺服器
- 物聯網滲透測試威脅建模,捕捉應用相關安全風險
- 實力認證|綠盟科技連續被列入Gartner釋出的安全威脅情報產品與服務市場指南報告
- 警報!無線路由器面臨網路攻擊新威脅路由器
- 逾千萬使用 https 的站點受到新型解密攻擊的威脅HTTP解密
- 綠盟可管理的威脅檢測與響應服務榮獲“年度安全創新產品獎”
- 這家威脅情報公司想打敗Palantir和IBMIBM