FBI เตือนถึงเวกเตอร์การโจมตี DDoS ใหม่: CoAP, WS-DD, ARMS และ Jenkins

สำนักงานสืบสวนกลางแห่งสหรัฐอเมริกาส่งการแจ้งเตือนเมื่อสัปดาห์ที่แล้วเกี่ยวกับการค้นพบสิ่งใหม่ โปรโตคอลเครือข่ายที่ถูกนำไปใช้ในทางที่ผิดเพื่อเปิดตัวการปฏิเสธการบริการแบบกระจายขนาดใหญ่ (DDoS) การโจมตี

การแจ้งเตือนจะแสดงรายการโปรโตคอลเครือข่ายสามรายการและเว็บแอปพลิเคชันเป็นเวกเตอร์การโจมตี DDoS ที่เพิ่งค้นพบ

รายการนี้ประกอบด้วย CoAP (Constrained Application Protocol), WS-DD (Web Services Dynamic Discovery), ARMS (Apple Remote Management Service) และซอฟต์แวร์อัตโนมัติบนเว็บ Jenkins

FBI กล่าวตามการรายงานครั้งก่อนของ ZDNet

สหกรณ์

ในเดือนธันวาคม 2561นักแสดงทางไซเบอร์เริ่มใช้คุณสมบัติมัลติคาสต์และการส่งคำสั่งของ Constrained Application Protocol (CoAP) ในทางที่ผิด ดำเนินการโจมตีแบบสะท้อนและขยาย DDoS ส่งผลให้ปัจจัยการขยายอยู่ที่ 34 ตามโอเพ่นซอร์ส การรายงาน ณ เดือนมกราคม 2019 อุปกรณ์ CoAP ที่เข้าถึงอินเทอร์เน็ตได้ส่วนใหญ่อยู่ในประเทศจีน และใช้เครือข่ายเพียร์ทูเพียร์มือถือ

WS-DD

ในเดือนพฤษภาคมและสิงหาคม 2562ผู้โจมตีทางไซเบอร์ใช้ประโยชน์จากโปรโตคอล Web Services Dynamic Discovery (WS-DD) เพื่อเปิดการโจมตี DDoS มากกว่า 130 ครั้ง โดยบางส่วน เข้าถึงขนาดมากกว่า 350 กิกะบิตต่อวินาที (Gbps) ในการโจมตีสองระลอกที่แยกจากกันตามโอเพ่นซอร์ส การรายงาน ต่อมาในปีเดียวกัน นักวิจัยด้านความปลอดภัยหลายคนรายงานว่ามีการใช้สิ่งที่ไม่ได้มาตรฐานเพิ่มขึ้นโดยนักแสดงทางไซเบอร์ โปรโตคอลและอุปกรณ์ IoT ที่กำหนดค่าไม่ถูกต้องเพื่อขยายการโจมตี DDoS ตามโอเพ่นซอร์สที่แยกจากกัน การรายงาน อุปกรณ์ IoT เป็นเป้าหมายที่น่าสนใจเนื่องจากใช้โปรโตคอล WS-DD เพื่อตรวจจับอุปกรณ์ที่เชื่อมต่ออินเทอร์เน็ตใหม่ในบริเวณใกล้เคียงโดยอัตโนมัติ นอกจากนี้ WS-DD ยังดำเนินการโดยใช้ UDP ซึ่งช่วยให้ผู้ปฏิบัติงานสามารถปลอมแปลงที่อยู่ IP ของเหยื่อ และส่งผลให้เหยื่อได้รับข้อมูลจากอุปกรณ์ IoT ในบริเวณใกล้เคียงอย่างท่วมท้น ณ เดือนสิงหาคม 2019 มีอุปกรณ์ IoT ที่เข้าถึงอินเทอร์เน็ตได้ 630,000 เครื่องที่เปิดใช้งานโปรโตคอล WS-DD

แขน

ในเดือนตุลาคม 2562ผู้โจมตีทางไซเบอร์ใช้ประโยชน์จาก Apple Remote Management Service (ARMS) ซึ่งเป็นส่วนหนึ่งของฟีเจอร์ Apple Remote Desktop (ARD) เพื่อทำการโจมตีด้วยการขยาย DDoS ตามการรายงานของโอเพ่นซอร์ส เมื่อเปิดใช้งาน ARD บริการ ARMS จะเริ่มฟังบนพอร์ต 3283 สำหรับคำสั่งขาเข้าไปยังระยะไกล อุปกรณ์ Apple ซึ่งผู้โจมตีใช้ในการเปิดการโจมตีแบบขยาย DDoS ด้วยการขยายขนาด 35.5:1 ปัจจัย. ARD ใช้เพื่อจัดการกลุ่มอุปกรณ์ Apple Mac ขนาดใหญ่โดยมหาวิทยาลัยและองค์กรต่างๆ เป็นหลัก

เจนกินส์

ในเดือนกุมภาพันธ์ 2563นักวิจัยด้านความปลอดภัยในสหราชอาณาจักรระบุช่องโหว่ในโปรโตคอลการค้นพบเครือข่ายในตัวของเซิร์ฟเวอร์อัตโนมัติแบบโอเพ่นซอร์สที่ไม่ต้องใช้เซิร์ฟเวอร์ Jenkins ใช้เพื่อรองรับกระบวนการพัฒนาซอฟต์แวร์ที่นักแสดงทางไซเบอร์สามารถใช้ประโยชน์เพื่อทำการโจมตีแบบขยาย DDoS - ตามโอเพ่นซอร์ส การรายงาน นักวิจัยประเมินว่านักแสดงทางไซเบอร์สามารถใช้เซิร์ฟเวอร์ Jenkins ที่มีช่องโหว่เพื่อขยายปริมาณการโจมตี DDoS ได้ 100 เท่ากับโครงสร้างพื้นฐานออนไลน์ของเหยื่อเป้าหมายทั่วทั้งภาคส่วน

---

เจ้าหน้าที่ FBI เชื่อว่าภัยคุกคาม DDoS ใหม่เหล่านี้จะยังคงถูกนำไปใช้ประโยชน์ต่อไป เพื่อทำให้ระบบหยุดทำงานและสร้างความเสียหายในอนาคตอันใกล้

วัตถุประสงค์ของการแจ้งเตือนคือเพื่อเตือนบริษัทในสหรัฐฯ เกี่ยวกับอันตรายที่ใกล้จะเกิดขึ้น เพื่อให้พวกเขาสามารถลงทุนในระบบบรรเทาผลกระทบ DDoS และสร้างความร่วมมือกับผู้ให้บริการอินเทอร์เน็ตเพื่อตอบสนองต่อการโจมตีใด ๆ ที่ใช้ประโยชน์จากรูปแบบใหม่เหล่านี้ได้อย่างรวดเร็ว เวกเตอร์

FBI กล่าวว่าเนื่องจากเวกเตอร์ DDoS ที่เพิ่งค้นพบเหล่านี้เป็นโปรโตคอลเครือข่ายที่จำเป็นต่ออุปกรณ์ที่ใช้งานอยู่ (อุปกรณ์ IoT สมาร์ทโฟน, Mac) ผู้ผลิตอุปกรณ์ไม่น่าจะลบหรือปิดการใช้งานโปรโตคอลในผลิตภัณฑ์ของตน ดังนั้นภัยคุกคามของการโจมตี DDoS คลื่นลูกใหม่จึงเกิดขึ้น ซึ่งไปข้างหน้า.

“ในระยะเวลาอันใกล้นี้ ผู้ดำเนินการทางไซเบอร์มีแนวโน้มที่จะใช้ประโยชน์จากอุปกรณ์ที่มีจำนวนเพิ่มมากขึ้นซึ่งมีโปรโตคอลเครือข่ายในตัวที่เปิดใช้งานโดย เป็นค่าเริ่มต้นในการสร้างบอตเน็ตขนาดใหญ่ที่สามารถอำนวยความสะดวกในการโจมตี DDoS ที่ทำลายล้างได้” FBI กล่าวอ้างถึง DDoS ใหม่ เวกเตอร์

ณ ขณะนี้ มีการใช้งานการโจมตี DDoS ใหม่ทั้งสี่รูปแบบเป็นระยะๆ แต่ผู้เชี่ยวชาญในอุตสาหกรรมคาดว่าการโจมตีเหล่านี้จะถูกนำไปใช้ในทางที่ผิดอย่างกว้างขวางโดยบริการ DDoS for-hire