Neuer DDoS-Amplification-Vektor WS Discovery Protokoll
Im 1. Halbjahr 2019 konnte ein neuer Angriffsvektor identifiziert werden. Angreifer missbrauchen seit Mitte des Jahres das Web Services Discovery (WS-Discovery, WS-DD oder WSD) Protokoll.* Dabei handelt es sich um ein Multicast-Discovery-Protokoll, um LAN-Dienste zu lokalisieren. Die Kommunikation erfolgt mittels SOAP via UDP auf dem Quell-Port 3702. Der Standard wurde 2005 veröffentlicht.
Mit Stand vom Oktober 2019 scheint der neue Vektor schon fest zum Handwerkszeug von DDoS-Kriminellen und Booter-Diensten zu gehören. Bei den aggressiven und hochvolumigen DDoS-Attacken im Namen von Fancy Bear wurde wiederholt WS Discovery als Reflection-Vektor registriert.
Die Verstärkungsmethode hat das Potenzial große Schäden anzurichten. Der Amplification-Faktor kann Spitzenwerte bis zum 100-Fachen der ursprünglichen Attacke erreichen. Zum Vergleich: DNS verfügt über einen Amplification-Faktor von 28 bis 54, CLDAP von 56 bis 70. Die bislang registrierten Attacken unter Einsatz von WSD erreichten Bandbreitenspitzen von über 100 Gbps.
Mehrere hunderttausend IP-Adressen mit WS Discovery-Services weltweit, z. B. von Kameras und Druckern, sind ungeschützt und können für Angriffe missbraucht werden. Um das Sicherheitsrisiko zu minimieren, empfiehlt das LSOC das WSD-Protokoll zu deaktivieren und in der Windows-Firewall zu blocken.
Es ist nicht das erste Mal, dass DDoS-Angreifer etablierte, schon lange existierende Protokolle neu für sich entdecken. Die Angreifer identifizieren permanent neue Schwachstellen und offene Services, die sich für Überlastungsangriffe missbrauchen lassen. Zuletzt zeigten Memcached- und CLDAP-Attacken, dass IT-Administratoren ständig mit neuen Angriffstechniken rechnen müssen.
*zero.bs: New DDoS Attack-Vector via WS-Discovery/SOAPoverUDP, Port 3702, 16.08.2019
Neueste Blogbeiträge
Bleiben Sie informiert über aktuelle DDoS-Reports, Warnmeldungen und Neuigkeiten zu IT-Sicherheit, Cybercrime und DDoS-Schutz.
Folgen Sie Link11 auf Twitter
A simple visualization of how the Underground Cybercrime Economy cashes in on data and DDoS attacks. To learn more,…
9 Retweets 10
Mehr lesenHow to protect your business and website from DDoS attacks during the biggest sales period of the year:…
5 Retweets 6
Mehr lesenWhat are DDoS Attacks and how do cybercriminals use them as weapons to shut down IT infrastructures? And more impor…
7 Retweets 5
Mehr lesenThis is why (and how) you should block bots on your business website (includes a list of most common bot attacks):…
13 Retweets 9
Mehr lesenWhat is Web Application Firewall, why do you need it and how does it protect your company? Learn more by reading ou…
3 Retweets 5
Mehr lesen0 Retweets 0
@RandyLoss Hah, you weren't the only one saying that.
0 Retweets 0
@vxtrade Your company might ;)
0 Retweets 1
@deckhand25 He is not, but close enough! ;)
0 Retweets 1
What would you do if you received a 180 000€ DDoS extortion email warning to exceed your web infrastructure defense…
1 Retweets 4
Mehr lesenGet a detailed and up to date overview of the global DDoS threat landscape by taking a look at our DDoS Report from…
6 Retweets 5
Mehr lesenRT @cloudtweeters: #CyberResilience has been redefined! We've partnered with @Link11GmbH so our VARs can provide customers with intelligen…
3 Retweets 0