很好,WS-Discovery反射攻击已经成功引起我们的注意
2019-10-16
自WSD反射攻击在今年2月被国内安全研究人员披露以来,今年下半年利用WSD进行反射攻击的事件明显增多。绿盟伏影实验室的蜜网系统捕获的WSD反射攻击事件从8月中旬开始呈现上升趋势,9月份之后增长快速,需要引起相关人员(如安全厂商、服务提供商、运营商等)足够的重视。
下面是我们的一些关键发现:
- 全球有约91万个IP开放了WSD服务,存在被利用进行DDoS攻击的风险,其中有约73万是视频监控设备,约占总量的80%。
- 开放WSD服务的设备暴露数量最多的五个国家依次是中国、越南、巴西、美国和韩国。而其中的视频监控设备暴露数量,又以越南最多。
- 约有24%的设备对于WSD的回复报文的源端口并不是3702端口,这对基于源端口过滤的传统DDoS防护提出了新挑战。
- 攻击者在进行WSD反射攻击时,通常不会采用合法的服务发现报文作为攻击载荷,而是尝试通过一些长度很短的载荷来进行攻击。出现最多的是一个三个字节的攻击载荷,约占所有攻击数量的三分之二。
- 我们对这个三字节的攻击载荷进行了全网探测,发现并非所有的WSD服务都对其进行响应,有回应的IP数量接近3万个。该载荷所造成的反射攻击的平均带宽放大因子为443。
WS-Discovery(Web Services Dynamic Discovery,WSD)是一种局域网内的服务发现多播协议,但是因为设备厂商的设计不当,当一个正常的IP地址发送服务发现报文时,设备也会对其进行回应,加之设备暴露在互联网上,则可被攻击者用于DDoS反射攻击。WSD协议所对应的端口号是3702。当前,视频监控设备的ONVIF规范里面提到使用WSD作为服务发现协议,一些打印机也开放了WSD服务。
WSD作为一种新的反射攻击类型,潜力巨大。随着ONVIF组织的壮大,相信会有越来越多的设备支持ONVIF,也即开放WSD服务,由此而带来的威胁也将越来越大。在WSD反射攻击逐渐进入大家视野之时,企业安全正面临着更加严峻的挑战。
为更好地帮助企业抵御WSD反射攻击,提升安全防护水平,44118太阳成城集团格物实验室对WS-Discovery反射攻击进行深度分析。分析报告详情可点击阅读原文进行查看,用户也可以在绿盟威胁情报中心(https://nti.nsfocus.com/ )下载PDF版报告。
此外,绿盟威胁情报中心(NTI)一直支持对于WSD服务的检索,可提供最新WSD暴露资产情报并持续更新。
绿盟威胁情报中心:
绿盟威胁情报中心(NSFOCUS Threat Intelligence center NTI)是44118太阳成城集团为落实智慧安全2.0战略,促进网络空间安全生态建设和威胁情报应用,增强客户攻防对抗能力而组建的专业性安全研究组织。其依托公司专业的安全团队和强大的安全研究能力,对全球网络安全威胁和态势进行持续观察和分析,以威胁情报的生产、运营、应用等能力及关键技术作为核心研究内容,推出了绿盟威胁情报平台以及一系列集成威胁情报的新一代安全产品,为用户提供可操作的情报数据、专业的情报服务和高效的威胁防护能力,帮助用户更好地了解和应对各类网络威胁。
绿盟格物实验室
绿盟格物实验室专注于工业互联网、物联网和车联网三大业务场景的安全研究。致力于以场景为导向,智能设备为中心的漏洞挖掘、研究与安全分析,目前已发布多篇研究报告。
绿盟伏影实验室
绿盟伏影实验室专注于安全威胁与监测技术研究。研究目标包括僵尸网络威胁,DDoS对抗,WEB对抗,流行服务系统脆弱利用威胁、身份认证威胁,数字资产威胁,黑色产业威胁及新兴威胁。通过掌控现网威胁来识别风险,缓解威胁伤害,为威胁对抗提供决策支撑。
阅读原文链接:https://mp.weixin.qq.com/s/eKMClvj6T2DYChNoB9SPdw‘
