Un llamado a las armas:

0 154 5 minutos de lectura

Conclusiones clave:

Se observa en la naturaleza un nuevo vector DDoS de reflexión / amplificación UDP.

La naturaleza sorprendente de los reflectores / amplificadores abusivos.

Defensa DDoS recomendada y mejores prácticas actuales (BCP) para ARMS.

Anatomía de un nuevo vector DDoS

Una de las verdades fundamentales de la defensa de denegación de servicio distribuida (DDoS) es que, literalmente, se puede utilizar cualquier tipo de paquete para lanzar un ataque contra un host, servicio, aplicación o red. Y cuando los atacantes identifican inicialmente un servicio o aplicación que puede ser objeto de abuso para reflejar indirectamente el tráfico de ataque al objetivo previsto, mientras que al mismo tiempo proporciona un factor de amplificación (es decir, los atacantes pueden inducir al servicio o aplicación abusiva a generar más tráfico de red que la cantidad requerida para estimular las ‘respuestas’ falsas al objetivo), tienden a moverse rápidamente para utilizarlo en ataques y armarlo para su inclusión en los servicios de ‘booter / estresador’ de DDoS por contrato.

A fines de la semana pasada, nos enteramos de que los operadores de red estaban viendo un aumento repentino de ataques en el rango de 70 gb / s, provenientes de UDP / 3283. Las investigaciones iniciales revelaron que los reflectores / amplificadores abusados estaban generando dos paquetes de tráfico de ataque por cada paquete de estímulo falsificado (el paquete inicial tenía 32 bytes de longitud y el segundo paquete tenía 1034 bytes de longitud) logrando una proporción de amplificación respetable de 35.5: 1.

Cualquiera que sea la aplicación o el servicio que se esté abusando, aparentemente realizó la segmentación de mensajes de la capa de aplicación, ya que no había fragmentos UDP no iniciales. Hemos observado este comportamiento en algunos otros reflectores / amplificadores UDP abusivos, como servidores de Protocolo de tiempo de red (ntp) mal configurados.

Al observar las alertas de uso indebido de DDoS relevantes en las implementaciones de Arbor Sightline, se hizo evidente que los atacantes podían inducir a los reflectores / amplificadores a apuntar a cualquier puerto de destino de su elección, y que los ataques observados alcanzaban un pico en el rango de ~ 75gb / seg, con un rendimiento de ~ 11mpps. Si bien el rendimiento, o paquetes por segundo (pps), suele ser la métrica más importante en los ataques DDoS de inundación directa, como SYN-floods, ancho de banda o bits por segundo (bps), es la métrica principal para la mayoría de ( no todos) ataques de reflexión / amplificación.

A pesar de que este era un vector de ataque DDoS previamente desconocido, Sightline pudo detectar, clasificar y rastrear estos ataques DDoS de ‘minuto 0’ debido a su uso de telemetría de flujo en toda la red para realizar la detección de anomalías en tiempo real. Y según la información de clasificación de ataques contenida en las alertas de uso indebido de DDoS de Sightline relevantes, los operadores de red pudieron hacer uso instantáneo de Arbor TMS para mitigar los ataques tal como aparecieron por primera vez en las redes de producción.

Una vez que tuvimos un conocimiento profundo de las características del ataque, dirigimos nuestra atención a identificar la aplicación o el servicio del que se abusa para generar estos ataques.

Un descubrimiento sorprendente

Nuestra investigación inicial reveló una información sorprendente: UDP / 3283 estaba más estrechamente asociado con la aplicación Apple Remote Desktop (ARD) y el servicio de administración relacionado que se usa para administrar de forma remota flotas de Apple Macs, principalmente en empresas y universidades. Si bien ARD se identificó más popularmente con la capacidad de compartir la pantalla, a lo largo de los años se ha convertido en una aplicación de administración del sistema con más funciones, lo que permite la instalación remota de actualizaciones de software, registro remoto, etc.

Según la documentación en línea disponible, parece que el servicio de administración remota de Apple (ARMS) escucha en ese puerto los comandos y las consultas de la consola de administración. Hace algún tiempo, Apple separó el uso compartido de pantalla ordinario de las capacidades de administración remota más completas, por lo que ARMS solo debe habilitarse cuando las Mac se administran activamente a través de un marco de administración como ARD.

Haciendo uso del Laboratorio virtual ASERT, pudimos determinar que en Apple macOS, habilitar la Administración remota en las Preferencias del sistema / Compartir de macOS hizo que las computadoras Mac escucharan en UDP / 3283, incluso si el servicio Firewall de Apple en Preferencias del sistema / Seguridad y privacidad estaba ¡activado!

Cabe señalar que este servicio está deshabilitado de forma predeterminada y debe ser habilitado explícitamente por un usuario de Mac con privilegios administrativos.

¿Por qué ARMS?

Fue un tanto desconcertante que estuviéramos viendo ataques de amplificación / reflexión de UDP abusando de un marco de administración remota que normalmente esperaríamos que se usara en LAN y WAN empresariales, en lugar de en la Internet pública. Pero una vez que comenzamos a profundizar en cómo se implementa típicamente ARD, la respuesta se hizo evidente.

En la mayor parte de la documentación y la discusión en línea que encontramos sobre cómo habilitar y utilizar ARD y ARMS, cuando se trataba de administrar Macs de forma remota en entornos más allá de las LAN del campus, casi todo el enfoque estaba en cómo implementar traducciones NAT estáticas y permitir UDP / 3283 a través del firewall. reglas y ACL de enrutador, en lugar de utilizar BCP estándar de la industria, como redes privadas virtuales (VPN) y las políticas de acceso a redes seguras y técnicas de autenticación relacionadas.

Este mismo conjunto de peores prácticas actuales (WCP) con respecto a dispositivos de Internet de las cosas (IoT) vulnerables y / o mal configurados, como cámaras de vigilancia habilitadas para IP y grabadoras de video digital (DVR), ha contribuido a comprometer muchos dispositivos integrados y sus consiguiente inscripción en redes de bots DDoS, incluso cuando están instaladas detrás de NAT y firewalls.

Al momento de escribir este artículo, hemos determinado que hay aproximadamente ~ 54,000 Macs habilitados para ARMS que se pueden abusar expuestos a la Internet pública, ya sea directamente o a través de las traducciones NAT estáticas mencionadas anteriormente y / o las reglas de firewall y ACL permisivas. Los atacantes abusan activamente de estas computadoras para lanzar ataques DDoS de amplificación / reflexión de ARMS; y no solo los objetivos del ataque y las redes que intervienen sufren la avalancha del tráfico de ataques DDoS, sino que los reflectores / amplificadores Mac habilitados para ARMS abusados y las redes en las que residen también se ven afectados negativamente.

Mediante el análisis de los datos de ataques DDoS recopilados por el sistema ATLAS de Netscout Arbor, pudimos determinar que el primer uso observado de ARMS como vector DDoS de reflexión / amplificación en la Internet pública parece haber tenido lugar durante la segunda semana de junio de 2019. ha crecido rápidamente en popularidad relativa, y creemos que los operadores de ‘booter / estresante’ de DDoS por contrato lo utilizarán como arma en poco tiempo.

Recomendaciones

ASERT recomienda que los operadores de red hagan uso de sistemas de alerta y visibilidad en toda la red, como Arbor Sightline, para detectar, clasificar y rastrear ataques DDoS de reflexión / amplificación ARMS. El operador del sistema puede definir alertas de uso indebido personalizadas para reflejos / ataques de ARMS.

Junto con Sightline, Arbor TMS se puede utilizar para mitigar los ataques de reflexión / amplificación de ARMS mediante una variedad de opciones de contramedidas; Línea de visión también admite mitigaciones basadas en flowpec para enrutadores habilitados para flowpec. También se pueden emplear otras técnicas de mitigación, como el blackholing activado a distancia (S / RTBH) basado en la fuente y las ACL.

ASERT ha transmitido plantillas AIF de IPv4 e IPv6 que contienen ejemplos de configuraciones de contramedidas de TMS a los clientes con derecho a AIF.

También instamos a los administradores de Mac habilitados para ARMS a proteger UDP / 3283 de la Internet pública y, en su lugar, hacer uso de tecnologías VPN para reenviar el tráfico de administración remota entre los sistemas de administración y los Mac administrados.

Un llamado a las armas:

Deja una respuesta Cancelar la respuesta

La nueva familia de malware para Android evade la detección de antivirus mediante el uso de bibliotecas publicitarias populares

Cómo ver Netflix gratis para siempre

Estúpidos trucos terminales: el loro de baile de ASCII Party

Yara Gambirasio: las etapas de la amarilla hasta la captura del presunto culpable

Efecto Instagram pelado

Cómo comprobar qué versión de PostgreSQL se está ejecutando desde CLI

Lista de los mejores canales de Telegram 2023

Cómo ver la televisión sin antena

Cómo eliminar Microsoft AutoUpdate de Mac

Cómo eliminar el icono de círculo con + signo en Android

Cómo descargar videos de YouTube con subtítulos

Las soluciones de todos los capítulos de Adventure Escape Mysteries

Cómo otorgar privilegios de root a un usuario en Linux

Problemas para cargar el teléfono: triángulo amarillo con signo de interrogación

Cómo instalar Eclipse IDE en Ubuntu 20.04

Cómo ver IPTV con VLC: guía completa

Publicaciones relacionadas

Preparación para el RGPD: el sector educativo compite con la industria de la tecnología en la carrera hacia el cumplimiento del Reglamento General de Protección de Datos

El 71% de los consumidores del Reino Unido está de acuerdo en que las noticias falsas son un problema creciente

Los dispositivos de IoT que utilizan CoAP se utilizan cada vez más en ataques DDoS.

Parler Hack: el papel de la plataforma en la insurrección de EE. UU.

Deja una respuesta Cancelar la respuesta

La nueva familia de malware para Android evade la detección de antivirus mediante el uso de bibliotecas publicitarias populares