執行摘要
WS-Discovery(Web Services Dynamic Discovery,WSD)是一種局域網內的服務發現多播協議,但是因為設備廠商的設計不當,當一個正常的IP地址發送服務發現報文時,設備也會對其進行回應,加之設備暴露在互聯網上,則可被攻擊者用於DDoS反射攻擊。該反射攻擊最早於2019年2月由百度的安全研究人員披露,從2019年下半年開始,利用其進行反射攻擊的事件明顯增多。A10 Networks在其研究報告[2]中提到WS-Discovery的暴露數量位居可被用於反射攻擊的服務的第三位,僅次於SNMP和SSDP,高於TFTP和DNS Resolver。我們在去年[1]也對其進行了深入分析,由於WS-Discovery反射攻擊危害巨大,因此,我們對WS-Discovery的暴露數量和威脅數據進行了更新,並且加入了對於綠盟國際雲清洗中的DDoS告警數據的分析,以期使讀者能夠了解到WS-Discovery反射攻擊的最新信息。
本文的關鍵發現如下:
- 全球有約80萬個IP開放了WS-Discovery服務,存在被利用進行DDoS攻擊的風險,其中有約70萬是視頻監控設備,約佔總量的87.7%。
- 開放WS-Discovery服務的設備暴露數量最多的五個國家依次是中國、韓國、越南、巴西和美國。而其中的視頻監控設備暴露數量,又以越南最多。
- 雖然開放WS-Discovery服務的IP近百萬,但是真正參與DDoS攻擊的並不多。主要原因是,大部分IP都不會對攻擊者在攻擊中所採用的短字節攻擊載荷進行回應。去年報告中提到的三字節攻擊載荷,僅有不到3萬的IP進行了回應。
- 通過對DDoS告警日誌中的事件、源IP和受害者進行分析,我們發現,2020年Q1,受害者數無明顯變化趨勢,但是3月份相比前兩個月,攻擊者使用開放WS-Discovery服務的IP進行反射攻擊的數量有了較大幅度的增加,單日IP數最高達到了1.9萬。
- 國際雲清洗數據顯示,共有13個國家受到過DDoS攻擊,其中,巴西是受害最嚴重的國家,巴西的受害者IP佔總數的41%。
- WS-Discovery相關的IP除參與反射攻擊外,還有少量IP參與了其它多種類型的DDoS攻擊。這也一定程度上說明,WS-Discovery相關的設備可能還存在其它漏洞,從而成為了殭屍網絡的節點。
- 攻擊者在進行WS-Discovery反射攻擊時,通常不會採用合法的服務發現報文作為攻擊載荷,而是嘗試通過一些長度很短的載荷來進行攻擊。在去年的報告中,出現最多的是一個三個字節的攻擊載荷,約佔所有攻擊日誌數量的三分之二。而在今年,我們發現攻擊載荷呈現出了多樣性,出現最多的是一個五個字節的攻擊載荷,約佔所有攻擊日誌數量的27.0%,去年的那個三個字節的攻擊載荷,佔比變為了22.0%,排在了第二位。
1. WS-Discovery暴露情況分析
本章我們對WS-Discovery服務的暴露情況進行了分析,採用的是綠盟威脅情報中心(NTI)在2020年3月的一輪完整測繪數據。
全球有約80萬個IP開放了WS-Discovery服務,存在被利用進行DDoS攻擊的風險,其中有約70萬是視頻監控設備,約佔總量的87.7%。
與去年我們報告中的數據(2019年7月)相比,開放了WS-Discovery服務的IP數量減少了11萬。從圖 1.1 [①]中可以看到,視頻監控設備依舊是大頭,值得引起關注。
圖 1.1 開放WS-Discovery服務的設備類型分佈情況
開放WS-Discovery服務的設備暴露數量最多的五個國家依次是中國、韓國、越南、巴西和美國。而其中的視頻監控設備暴露數量,又以越南最多。
我們主要關注了暴露數量最多的Top 15的國家的情況,如圖 1.2 所示,與去年我們報告中的數據相比,有13個國家的暴露數量出現了下降,下降數量在幾千到上萬不等,韓國和伊朗的暴露數量是上升的。雖然排名前五的國家沒有變化,但是韓國的數量從去年的第五位上升到了第二位。圖 1.3 是開放WS-Discovery服務的視頻監控設備的國家分佈情況,可以看到,排名前五的國家分別為越南、巴西、韓國、中國和美國。
圖 1.2 開放WS-Discovery服務的設備國家分佈情況
圖 1.3 開放WS-Discovery服務的視頻監控設備的國家分佈情況
2. WS-Discovery反射攻擊分析
在去年報告中,我們使用綠盟威脅捕獲系統中的蜜罐數據來對WS-Discovery反射攻擊的趨勢進行分析,而在本文中,我們將使用綠盟國際雲清洗的DDoS告警數據,這在一定程度上更能反映全球DDoS攻擊的真實情況。另外,我們也會通過蜜罐數據來分析攻擊者的攻擊手法的變化情況。
由於WS-Discovery反射攻擊存在回覆報文的源端口隨機的現象,這對識別一個攻擊是否是WS-Discovery反射攻擊帶來了挑戰。因此,我們將綠盟威脅情報中心在第一季度五個掃描輪次的全球IP數據去重作為開放WS-Discovery服務的IP數據(193萬)。然後將這些IP與DDoS告警數據中的源IP進行關聯,過濾出與相關的日誌。雖然設備的IP可能會變化,但是如果一個IP參與了DDoS,並且這個IP在資產庫中又被識別為開放了WS-Discovery服務,那麼我們認為這個IP大概率是與WS-Discovery相關的。後續我們也會通過這些IP所參與的DDoS攻擊類型來說明這個假設的合理性。
在DDoS告警日誌中,一共出現了5.6萬個不同的源IP,佔所有開放WS-Discovery服務的IP[②]的2.9%。從這個比例來看,雖然開放WS-Discovery服務的IP近百萬(單輪次掃描數據),但是真正參與攻擊的並不多。在去年的報告中,我們提到攻擊者傾向於用3個字節的payload來發動DDoS攻擊,而實際上,只有接近3萬的開放WS-Discovery服務的設備會對其響應。從DDoS攻擊角度來看,這些IP屬於WS-Discovery中的高“價值”資產。
我們對告警日誌中的事件[③]進行了分析,如圖 2.1 所示,攻擊事件在3月份明顯增多。與之相對應,我們也對告警日誌中的源IP進行了統計,如圖 2.2 所示,與WS-Discovery相關的IP參與的攻擊在三月份出現了暴增,一二月份的每日相關IP幾十到幾百不等,而在三月份,單日IP數最高達到了1.9萬。更進一步,我們也對受害者進行了分析,如圖 2.3 所示,從中可以看出,受害者數並未有明顯的趨勢變化。這說明,在受害者數相對穩定的情況下,攻擊者使用WS-Discovery進行反射攻擊的數量有了較大幅度的增加。
圖 2.1 告警日誌中的事件變化趨勢
圖 2.2 告警日誌中的源IP變化趨勢
圖 2.3 告警日誌中的受害者變化趨勢
告警日誌中的受害者的國家分佈情況如圖 2.4 所示,共有13個國家[④]受到過攻擊。從圖中可以看出,巴西是受害最嚴重的國家,巴西的受害者IP佔總數的41%。
圖 2.4 告警日誌中的受害者的國家分佈
告警日誌中的源IP的國家分佈情況如圖 2.5 所示,從中可以看出,排名前15的國家基本與圖 1.2 中的開放WS-Discovery服務的設備國家分佈相似,大部分國家在兩個圖中都出現了。參與DDoS攻擊的IP數量最多的前三個國家是中國、越南和南非。
圖 2.5 告警日誌中的源IP的國家分佈
告警日誌中的攻擊類型分佈情況如圖 2.6 所示,在我們從告警日誌中過濾出的5.6萬個IP中,至少有77.7%的IP確定參與了UDP反射攻擊。TRAFFIC Abnormal對應反射包源端口變化等不易判定攻擊類型的情況,我們推斷其大概率也與反射攻擊有關。需要說明的是,一個IP有可能參與多種類型的DDoS攻擊。從中也可以看出,除了UDP Flood和TRAFFIC Abnormal類型外,其它的DDoS攻擊類型都很少,這也說明,我們的數據選擇邏輯是可信的,通過這樣的分析,可以反映WS-Discovery反射攻擊的情況。其它多種攻擊類型的出現也一定程度上說明,WS-Discovery相關的設備可能還存在其它漏洞,從而成為了殭屍網絡的節點,這一發現需引起關注。
圖 2.6 告警日誌中的攻擊類型分佈
綠盟威脅捕獲系統捕獲的WS-Discovery反射攻擊的payload佔比情況如圖 2.7 所示。與去年相比,payload呈現出了多樣性,去年報告中的payload3(對應本文的payload3A)也出現了變種,payload3A和payload3B的第二個字節不同,一個是“:”(對應十六進制0x3A),一個是“0xAA”。去年報告中payload3A佔比為67.2%,今年變為了22.0%,排名第二。
圖 2.7 綠盟威脅捕獲系統捕獲的WS-Discovery反射攻擊的payload佔比情況
3. 小結
由於我們已經在去年的報告[1]中對WS-Discovery進行了詳細介紹,所以本文重點從互聯網暴露情況和國際雲清洗中的威脅角度進行了分析,最後,藉助綠盟威脅捕獲系統的蜜罐數據對攻擊者的攻擊手法的變化情況進行了分析。
作為安全廠商
(1)可以在掃描類產品中加入WS-Discovery掃描能力,及時發現客戶網絡中存在的安全隱患。
(2)可以在防護類產品中加入對於WS-Discovery的流量檢測能力,及時發現客戶網絡中存在的安全威脅。對於WS-Discovery反射攻擊報文的源端口可能不是3702的情況,在發生DDoS反射攻擊時,除了面向源端口進行流量控制策略外,還需要對報文特徵進行檢測。也可以關聯開放WS-Discovery服務的IP的威脅情報,阻斷命中的源IP的報文。
作為設備開發商,在對WS-Discovery服務發現報文進行回應時,檢查該報文的源IP是否是多播地址,如果不是多播地址的話,則不做回應。這樣的話,WS-Discovery服務、SSDP服務被利用發起反射攻擊的難度將大大增加。
作為電信運營商
需遵循BCP38網絡入口過濾。
作為監管部門
(1)對於網絡中的WS-Discovery威脅進行監控,發現問題進行通報。
(2)推動設備中WS-Discovery功能的安全評估,如設備不滿足相關要求,禁止設備上市等。
作為設備用戶
(1)如無需要,關閉設備的WS-Discovery發現功能。
(2)儘量將開放WS-Discovery服務的設備部署在局域網中,這樣可以增大設備被利用的難度。
(3)如果需要將開放WS-Discovery服務的設備部署在公網上,則在設備之前部署路由器(利用NAT能力)或防護類安全設備(如防火牆),控制外部IP對於設備的訪問。
作為有DDoS防護需求的用戶,購買具備WS-Discovery反射攻擊防護能力的安全廠商的DDoS防護產品。如已購買,並且產品支持應用層特徵的自定義,可以在封禁3702源端口的基礎上,加入相應的特徵規則。
參考文獻
[1] WS-Discovery反射攻擊深度分析,https://www.freebuf.com/column/215983.html
[2] The State of DDoS Weapons, Q4 2019,https://www.a10networks.com/marketing-comms/reports/state-ddos-weapons/
