利用WS-Discovery反射攻击？绿盟科技威胁情报中心已支持相关检测

本文来源:绿盟科技

WS-Discovery（Web Services Dynamic Discovery，简称WSD）是一种局域网内的服务发现多播协议，但是因为设备厂商的设计不当，当一个正常的IP地址发送服务发现报文时，设备也会对其进行回应，加之设备暴露在互联网上，则可被攻击者用于DDoS反射攻击。

WS-Discovery反射攻击最早于2019年2月由国内安全研究人员披露，从2019年下半年开始，利用其进行反射攻击的事件明显增多。绿盟科技威胁情报中心（NTI）对该攻击持续监控，已支持对WS-Discovery反射攻击的相关检测及测绘数据检索，可提供最新WSD暴露资产情报并持续更新。

通过特定条件检索，可在NTI获取相关测绘数据列表。

其中，某个参与DDoS攻击的IP展示如下：

A10 Networks在其研究报告中提到WS-Discovery的暴露数量位居可被用于反射攻击的服务的第三位，仅次于SNMP和SSDP，高于TFTP和DNS Resolver。由于WS-Discovery反射攻击危害巨大，2019年，绿盟科技格物实验室就对其进行了深入分析，并在2020年对WS-Discovery的暴露数量和威胁数据进行了更新，同时加入了绿盟科技国际云清洗中的DDoS告警数据，分析出WS-Discovery反射攻击的最新信息。

格物实验室采用绿盟科技威胁情报中心（NTI）在2020年3月的一轮完整测绘数据对WS-Discovery服务的暴露情况进行了分析，关键发现如下：

-  全球有约80万个IP开放了WS-Discovery服务，存在被利用进行DDoS攻击的风险，其中有约70万是视频监控设备，约占总量的87.7%。

-  开放WS-Discovery服务的设备暴露数量最多的五个国家依次是中国、韩国、越南、巴西和美国。而其中的视频监控设备暴露数量，又以越南最多。

-  虽然开放WS-Discovery服务的IP近百万，但是真正参与DDoS攻击的并不多。主要原因是，大部分IP都不会对攻击者在攻击中所采用的短字节攻击载荷进行回应。去年报告中提到的三字节攻击载荷，仅有不到3万的IP进行了回应。

-  通过对DDoS告警日志中的事件、源IP和受害者进行分析，我们发现，2020年Q1，受害者数无明显变化趋势，但是3月份相比前两个月，攻击者使用开放WS-Discovery服务的IP进行反射攻击的数量有了较大幅度的增加，单日IP数最高达到了1.9万。

-  绿盟科技国际云清洗数据显示，共有13个国家受到过DDoS攻击，其中，巴西是受害最严重的国家，巴西的受害者IP占总数的41%。

-  WS-Discovery相关的IP除参与反射攻击外，还有少量IP参与了其它多种类型的DDoS攻击。这也一定程度上说明，WS-Discovery相关的设备可能还存在其它漏洞，从而成为了僵尸网络的节点。

-  攻击者在进行WS-Discovery反射攻击时，通常不会采用合法的服务发现报文作为攻击载荷，而是尝试通过一些长度很短的载荷来进行攻击。在去年的报告中，出现最多的是一个三个字节的攻击载荷，约占所有攻击日志数量的三分之二。而在今年，我们发现攻击载荷呈现出了多样性，出现最多的是一个五个字节的攻击载荷，约占所有攻击日志数量的27.0%，去年的那个三个字节的攻击载荷，占比变为了22.0%，排在了第二位。

《2020年Q1 WS-Discovery反射攻击观察》报告详细内容点击阅读原文获取。

（阅读原文链接：https://nti.nsfocus.com/pdf/2020_Q1_WSD_Reflection_attack_analysis.pdf）

绿盟科技格物实验室

格物实验室专注于工业互联网、物联网和车联网三大业务场景的安全研究。 致力于以场景为导向，智能设备为中心的漏洞挖掘、研究与安全分析，关注物联网资产、漏洞、威胁分析。目前已发布多篇研究报告，包括《物联网安全白皮书》、《物联网安全年报2017》、《物联网安全年报2018》、《物联网安全年报2019》、《国内物联网资产的暴露情况分析》、《智能设备安全分析手册》等。与产品团队联合推出绿盟物联网安全风控平台，定位运营商行业物联网卡的风险管控；推出固件安全检测平台，以便快速发现设备中可能存在的漏洞，以避免因弱口令、溢出等漏洞引起设备控制权限的泄露。

绿盟科技伏影实验室

伏影实验室专注于安全威胁与监测技术研究。 研究目标包括僵尸网络威胁，DDoS对抗，WEB对抗，流行服务系统脆弱利用威胁、身份认证威胁，数字资产威胁，黑色产业威胁及新兴威胁。通过掌控现网威胁来识别风险，缓解威胁伤害，为威胁对抗提供决策支撑。

绿盟科技威胁情报中心

绿盟科技威胁情报中心（NSFOCUS Threat Intelligence center, NTI）依托公司专业的安全团队和强大的安全研究能力，对全球网络安全威胁和态势进行持续观察和分析，以威胁情报的生产、运营、应用等能力及关键技术作为核心研究内容，推出了绿盟威胁情报平台以及一系列集成威胁情报的新一代安全产品，为用户提供可操作的情报数据、专业的情报服务和高效的威胁防护能力，帮助用户更好地了解和应对各类网络威胁。

标签： 绿盟科技