Serangan DDoS refleksif meningkat lagi

mengapa itu penting: Munculnya kembali server CLDAP yang rentan membuat serangan DDoS lebih kuat dan berbahaya. Administrator jaringan Windows harus menerapkan praktik keamanan yang ketat atau mengambil server dari Internet jika tidak ada kebutuhan praktis untuk menggunakan CLDAP.

Proses DDoS khusus yang dikenal sebagai “serangan refleksi” sekali lagi ditemukan digunakan secara luas oleh penjahat dunia maya, menyalahgunakan server Microsoft yang tidak dilindungi untuk membebani situs web yang ditargetkan dengan lalu lintas. Black Lotus Labs mencatat bahwa pelakunya adalah varian Microsoft dari Standar Lightweight Access Protocol (LDAP) yang dikenal sebagai CLDAP.

LDAP digunakan untuk mengakses dan memelihara layanan informasi direktori terdistribusi (seperti sistem pusat untuk menyimpan nama pengguna dan kata sandi) melalui jaringan IP. CLDAP mirip dengan, tetapi terbatas pada, sistem database Active Directory yang digunakan dalam keluarga sistem operasi Windows Server. Secara umum, layanan CLDAP diaktifkan secara default di banyak versi sistem operasi, tetapi biasanya tidak berbahaya untuk server yang tidak terhubung ke Internet publik.

Namun, ketika mesin CLDAP terhubung ke Internet, layanan berbasis UDP rentan terhadap serangan DDoS refleksif. Vektor serangan ini menipu alamat IP target dan mengirimkan permintaan UDP ke satu atau lebih pihak ketiga. Server-server ini kemudian merespons alamat palsu, yang dipantulkan kembali, menciptakan loop umpan balik. Jenis DDoS ini meningkatkan lalu lintas puluhan, ratusan, atau ribuan kali dan menutupi alamat IP penyerang.

Serangan refleksif yang menyalahgunakan server CLDAP bukanlah hal baru. Dalam 12 bulan terakhir, telah terjadi peningkatan 60% dalam penyalahgunaan CLDAP dengan lebih dari 12.000 contoh server “zombie”. Black Lotus Labs mengatakan beberapa “reflektor CLDAP” telah online untuk waktu yang lama, dan yang lain datang dan pergi dengan cepat.

Inverter CLDAP yang paling menjengkelkan adalah yang telah digunakan peretas selama bertahun-tahun dalam beberapa serangan DDoS yang kuat. Black Lotus telah mengidentifikasi beberapa pelanggar berantai ini, seperti server milik organisasi keagamaan yang tidak disebutkan namanya yang menghasilkan (antara Juli dan September 2022) kumpulan lalu lintas hingga 17 Gbps.

Inverter CLDAP lain yang terletak di Amerika Utara mampu memberikan tingkat lalu lintas maksimum lebih dari 2 Gbps selama periode 18 bulan. Peretas layanan rentan ketiga telah mengeksploitasi selama lebih dari satu tahun sekarang, dan sekarang menjadi milik penyedia telekomunikasi Amerika Utara. Namun, perusahaan Afrika Utara lainnya, milik pengecer regional, bertanggung jawab atas sembilan bulan serangan DDoS ganas yang menyediakan lalu lintas hingga 7,8 Gbps.

Black Lotus menyarankan bahwa jika server CLDAP sangat membutuhkan untuk tetap online, administrator jaringan harus melakukan “upaya” untuk mengamankannya dengan mematikan dukungan UDP, membatasi lalu lintas yang dihasilkan pada port 389, menggunakan firewall, atau melakukan beberapa tindakan Lanjutan untuk memblokir phishing Lalu lintas IP seperti Reverse Path Routing (RPF).