Sec Hotspot 首页  排行榜  收藏本站  技术博客  RSS
统计信息
已收录文章数量:12963 篇
已收录公众号数量:89 个
本站文章为爬虫采集,如有侵权请告知
本周热门文章
红队渗透手册之弹药篇   2020.08.08 17:12:23  288
Chrome浏览器的实用插件推荐   2020.08.04 20:01:02  99
记录一次“梅花三弄”的渗透之旅   2020.08.03 20:00:35  77
用这个网站一查,才知道自己被卖了   2020.08.04 20:06:35  72
WMCTF-WriteUp   2020.08.06 08:00:37  65
每日攻防资讯简报[Aug.3th]   2020.08.03 20:00:04  55
已收录微信公众号
网信中国 区块链大本营 白说区块链 区块链投资家 区块链官微 区块链铅笔Blockchain HACK学习呀 二道情报贩子 合天智汇 小白帽学习之路 小米安全中心 弥天安全实验室 SAINTSEC SecPulse安全脉搏 TideSec安全团队 360安全卫士 游侠安全网 计算机与网络安全 安全祖师爷 安全学习那些事 腾讯安全联合实验室 黑客技术与网络安全 安全圈 腾讯御见威胁情报中心 Python开发者 Python之禅 编程派 Python那些事 Python程序员 安全威胁情报 吾爱破解论坛 行长叠报 安在 i春秋 嘶吼专业版 E安全 MottoIN 网信防务 网安杂谈 数说安全 互联网安全内参 漏洞战争 安全分析与研究 邑安全 ChaMd5安全团队 天融信阿尔法实验室 安全牛 SecWiki 安全学术圈 信安之路 漏洞感知 浅黑科技 Secquan圈子社区 奇安信集团 奇安信 CERT 国舜股份 雷神众测 盘古实验室 美团安全应急响应中心 瓜子安全应急响应中心 顺丰安全应急响应中心 蚂蚁金服安全响应中心 携程安全应急响应中心 滴滴安全应急响应中心 字节跳动安全中心 百度安全应急响应中心 腾讯安全应急响应中心 网易安全应急响应中心 OPPO安全应急响应中心 京东安全应急响应中心 Bypass CNNVD安全动态 安恒应急响应中心 天融信每日安全简报 奇安信威胁情报中心 看雪学院 黑白之道 水滴安全实验室 安全客 木星安全实验室 云鼎实验室 绿盟科技安全预警 白帽汇 深信服千里目安全实验室 腾讯玄武实验室 长亭安全课堂 FreeBuf 绿盟科技 nmask
利用WS-Discovery进行反射攻击?绿盟科技威胁情报中心已支持相关...
本文来自公众号:绿盟科技安全预警   2020.04.30 19:15:29


WS-Discovery(Web Services Dynamic Discovery,简称WSD)是一种局域网内的服务发现多播协议,但是因为设备厂商的设计不当,当一个正常的IP地址发送服务发现报文时,设备也会对其进行回应,加之设备暴露在互联网上,则可被攻击者用于DDoS反射攻击。


WS-Discovery反射攻击最早于2019年2月由国内安全研究人员披露,从2019年下半年开始,利用其进行反射攻击的事件明显增多。绿盟科技威胁情报中心(NTI)对该攻击持续监控,已支持对WS-Discovery反射攻击的相关检测及测绘数据检索,可提供最新WSD暴露资产情报并持续更新。


通过特定条件检索,可在NTI获取相关测绘数据列表:


其中,某个参与DDoS攻击的IP展示如下:


A10 Networks在其研究报告中提到WS-Discovery的暴露数量位居可被用于反射攻击的服务的第三位,仅次于SNMP和SSDP,高于TFTP和DNS Resolver。由于WS-Discovery反射攻击危害巨大,2019年,绿盟科技格物实验室就对其进行了深入分析,并在2020年对WS-Discovery的暴露数量和威胁数据进行了更新,同时加入了绿盟科技国际云清洗中的DDoS告警数据,分析出WS-Discovery反射攻击的最新信息。


格物实验室采用绿盟科技威胁情报中心(NTI)在2020年3月的一轮完整测绘数据对WS-Discovery服务的暴露情况进行了分析,关键发现如下:


1、 全球有约80万个IP开放了WS-Discovery服务,存在被利用进行DDoS攻击的风险,其中有约70万是视频监控设备,约占总量的87.7%。


2、 开放WS-Discovery服务的设备暴露数量最多的五个国家依次是中国、韩国、越南、巴西和美国。而其中的视频监控设备暴露数量,又以越南最多。


3、 虽然开放WS-Discovery服务的IP近百万,但是真正参与DDoS攻击的并不多。主要原因是,大部分IP都不会对攻击者在攻击中所采用的短字节攻击载荷进行回应。去年报告中提到的三字节攻击载荷,仅有不到3万的IP进行了回应。


4、 通过对DDoS告警日志中的事件、源IP和受害者进行分析,我们发现,2020年Q1,受害者数无明显变化趋势,但是3月份相比前两个月,攻击者使用开放WS-Discovery服务的IP进行反射攻击的数量有了较大幅度的增加,单日IP数最高达到了1.9万。


5、 绿盟科技国际云清洗数据显示,共有13个国家受到过DDoS攻击,其中,巴西是受害最严重的国家,巴西的受害者IP占总数的41%。


6、 WS-Discovery相关的IP除参与反射攻击外,还有少量IP参与了其它多种类型的DDoS攻击。这也一定程度上说明,WS-Discovery相关的设备可能还存在其它漏洞,从而成为了僵尸网络的节点。


7、 攻击者在进行WS-Discovery反射攻击时,通常不会采用合法的服务发现报文作为攻击载荷,而是尝试通过一些长度很短的载荷来进行攻击。在去年的报告中,出现最多的是一个三个字节的攻击载荷,约占所有攻击日志数量的三分之二。而在今年,我们发现攻击载荷呈现出了多样性,出现最多的是一个五个字节的攻击载荷,约占所有攻击日志数量的27.0%,去年的那个三个字节的攻击载荷,占比变为了22.0%,排在了第二位。


《2020年Q1 WS-Discovery反射攻击观察》 报告详细内容点击 阅读原文 获取。


绿盟科技格物实验室

格物实验室专注于工业互联网、物联网和车联网三大业务场景的安全研究。 致力于以场景为导向,智能设备为中心的漏洞挖掘、研究与安全分析,关注物联网资产、漏洞、威胁分析。目前已发布多篇研究报告,包括《物联网安全白皮书》、《物联网安全年报2017》、《物联网安全年报2018》、《物联网安全年报2019》、《国内物联网资产的暴露情况分析》、《智能设备安全分析手册》等。与产品团队联合推出绿盟物联网安全风控平台,定位运营商行业物联网卡的风险管控;推出固件安全检测平台,以便快速发现设备中可能存在的漏洞,以避免因弱口令、溢出等漏洞引起设备控制权限的泄露。

绿盟科技伏影实验室

伏影实验室专注于安全威胁与监测技术研究。 研究目标包括僵尸网络威胁,DDoS对抗,WEB对抗,流行服务系统脆弱利用威胁、身份认证威胁,数字资产威胁,黑色产业威胁及新兴威胁。通过掌控现网威胁来识别风险,缓解威胁伤害,为威胁对抗提供决策支撑。

绿盟威胁情报中心

绿盟威胁情报中心(NSFOCUS Threat Intelligence center, NTI)依托公司专业的安全团队和强大的安全研究能力,对全球网络安全威胁和态势进行持续观察和分析,以威胁情报的生产、运营、应用等能力及关键技术作为核心研究内容,推出了绿盟威胁情报平台以及一系列集成威胁情报的新一代安全产品,为用户提供可操作的情报数据、专业的情报服务和高效的威胁防护能力,帮助用户更好地了解和应对各类网络威胁。