WS-Discovery反射攻击最早于2019年2月由国内安全研究人员披露,从2019年下半年开始,利用其进行反射攻击的事件明显增多。绿盟科技威胁情报中心(NTI)对该攻击持续监控,已支持对WS-Discovery反射攻击的相关检测及测绘数据检索,可提供最新WSD暴露资产情报并持续更新。
通过特定条件检索,可在NTI获取相关测绘数据列表:
其中,某个参与DDoS攻击的IP展示如下:
A10 Networks在其研究报告中提到WS-Discovery的暴露数量位居可被用于反射攻击的服务的第三位,仅次于SNMP和SSDP,高于TFTP和DNS Resolver。由于WS-Discovery反射攻击危害巨大,2019年,绿盟科技格物实验室就对其进行了深入分析,并在2020年对WS-Discovery的暴露数量和威胁数据进行了更新,同时加入了绿盟科技国际云清洗中的DDoS告警数据,分析出WS-Discovery反射攻击的最新信息。
格物实验室采用绿盟科技威胁情报中心(NTI)在2020年3月的一轮完整测绘数据对WS-Discovery服务的暴露情况进行了分析,关键发现如下:
1、全球有约80万个IP开放了WS-Discovery服务,存在被利用进行DDoS攻击的风险,其中有约70万是视频监控设备,约占总量的87.7%。
2、开放WS-Discovery服务的设备暴露数量最多的五个国家依次是中国、韩国、越南、巴西和美国。而其中的视频监控设备暴露数量,又以越南最多。
3、虽然开放WS-Discovery服务的IP近百万,但是真正参与DDoS攻击的并不多。主要原因是,大部分IP都不会对攻击者在攻击中所采用的短字节攻击载荷进行回应。去年报告中提到的三字节攻击载荷,仅有不到3万的IP进行了回应。
4、通过对DDoS告警日志中的事件、源IP和受害者进行分析,我们发现,2020年Q1,受害者数无明显变化趋势,但是3月份相比前两个月,攻击者使用开放WS-Discovery服务的IP进行反射攻击的数量有了较大幅度的增加,单日IP数最高达到了1.9万。
5、绿盟科技国际云清洗数据显示,共有13个国家受到过DDoS攻击,其中,巴西是受害最严重的国家,巴西的受害者IP占总数的41%。
6、WS-Discovery相关的IP除参与反射攻击外,还有少量IP参与了其它多种类型的DDoS攻击。这也一定程度上说明,WS-Discovery相关的设备可能还存在其它漏洞,从而成为了僵尸网络的节点。
7、攻击者在进行WS-Discovery反射攻击时,通常不会采用合法的服务发现报文作为攻击载荷,而是尝试通过一些长度很短的载荷来进行攻击。在去年的报告中,出现最多的是一个三个字节的攻击载荷,约占所有攻击日志数量的三分之二。而在今年,我们发现攻击载荷呈现出了多样性,出现最多的是一个五个字节的攻击载荷,约占所有攻击日志数量的27.0%,去年的那个三个字节的攻击载荷,占比变为了22.0%,排在了第二位。
