很好,WS-Discovery反射攻击已经成功引起我们的注意
2019-10-16
自WSD反射攻击在今年2月被国内安全研究人员披露以来,今年下半年利用WSD进行反射攻击的事件明显增多。bbin宝盈集团伏影实验室的蜜网系统捕获的WSD反射攻击事件从8月中旬开始呈现上升趋势,9月份之后增长快速,需要引起相关人员(如安全厂商、服务提供商、运营商等)足够的重视。
下面是我们的一些关键发现:
- 全球有约91万个IP开放了WSD服务,存在被利用进行DDoS攻击的风险,其中有约73万是视频监控设备,约占总量的80%。
- 开放WSD服务的设备暴露数量最多的五个国家依次是中国、越南、巴西、美国和韩国。而其中的视频监控设备暴露数量,又以越南最多。
- 约有24%的设备对于WSD的回复报文的源端口并不是3702端口,这对基于源端口过滤的传统DDoS防护提出了新挑战。
- 攻击者在进行WSD反射攻击时,通常不会采用合法的服务发现报文作为攻击载荷,而是尝试通过一些长度很短的载荷来进行攻击。出现最多的是一个三个字节的攻击载荷,约占所有攻击数量的三分之二。
- 我们对这个三字节的攻击载荷进行了全网探测,发现并非所有的WSD服务都对其进行响应,有回应的IP数量接近3万个。该载荷所造成的反射攻击的平均带宽放大因子为443。
WS-Discovery(Web Services Dynamic Discovery,WSD)是一种局域网内的服务发现多播协议,但是因为设备厂商的设计不当,当一个正常的IP地址发送服务发现报文时,设备也会对其进行回应,加之设备暴露在互联网上,则可被攻击者用于DDoS反射攻击。WSD协议所对应的端口号是3702。当前,视频监控设备的ONVIF规范里面提到使用WSD作为服务发现协议,一些打印机也开放了WSD服务。
WSD作为一种新的反射攻击类型,潜力巨大。随着ONVIF组织的壮大,相信会有越来越多的设备支持ONVIF,也即开放WSD服务,由此而带来的威胁也将越来越大。在WSD反射攻击逐渐登录大家视野之时,企业安全正面临着更加严峻的挑战。
为更好地帮助企业抵御WSD反射攻击,提升安全防护水平,bbin宝盈集团科技格物实验室对WS-Discovery反射攻击进行深度分析。分析报告详情可点击阅读原文进行查看,用户也可以在bbin宝盈集团威胁情报中心(http://nti.nsfocus.com/ )下载PDF版报告。
此外,bbin宝盈集团威胁情报中心(NTI)一直支持对于WSD服务的检索,可提供最新WSD暴露资产情报并持续更新。
bbin宝盈集团威胁情报中心:
bbin宝盈集团威胁情报中心(NSFOCUS Threat Intelligence center NTI)是bbin宝盈集团科技为落实智慧安全2.0战略,促进网络空间安全生态建设和威胁情报应用,增强客户攻防对抗能力而组建的专业性安全研究组织。其依托公司专业的安全团队和强大的安全研究能力,对全球网络安全威胁和态势进行持续观察和分析,以威胁情报的生产、运营、应用等能力及关键技术作为核心研究内容,推出了bbin宝盈集团威胁情报平台以及一系列集成威胁情报的新一代安全产品,为用户提供可操作的情报数据、专业的情报服务和高效的威胁防护能力,帮助用户更好地了解和应对各类网络威胁。
bbin宝盈集团格物实验室
bbin宝盈集团格物实验室专注于工业互联网、物联网和车联网三大业务场景的安全研究。致力于以场景为导向,智能设备为中心的漏洞挖掘、研究与安全分析,目前已发布多篇研究报告。
bbin宝盈集团伏影实验室
bbin宝盈集团伏影实验室专注于安全威胁与监测技术研究。研究目标包括僵尸网络威胁,DDoS对抗,WEB对抗,流行服务系统脆弱利用威胁、身份认证威胁,数字资产威胁,黑色产业威胁及新兴威胁。通过掌控现网威胁来识别风险,缓解威胁伤害,为威胁对抗提供决策支撑。
阅读原文链接:http://mp.weixin.qq.com/s/eKMClvj6T2DYChNoB9SPdw‘