RDP LDASSUS

RDP — «Долговременная Распределенная Атака Супер — Короткими Уникальными Сеансами»
(Long-term Distributed Attack — super short unique session) — сам придумал. )))


Похоже, что Мир изменился.

Еще не успели многие люди доесть свои Новогодние запасы Оливье, еще лениво лежали на диванах и не спеша трезвели, и мало кто из них знал, что их персональные компьютеры и всяко — разные девайсы с выходом в интернет, находятся под полным дистанционным контролем и являются частью бот-нета.

Но дело даже не в том, что существуют Зомби — компьютеры, а в том, что в первые дни Нового 2016 Года взята новая высота.  С чем искренне хочется поздравить всех нас. И опечалиться одновременно.
Потому, что для многих владельцев выделенных серверов, наступили новые времена.

Так что же произошло? В чем новизна?

До этого, Атаки RDP можно было разделить на 2 группы:

  1. Тупой, грубый БрутФорс.
    Школота и Кул-Хацкеры пробуют силы, + разнообразные боты в автоматическом режиме ломятся обнаружив открытые порты 3389.
  2. DDoS.
    В классическом исполнении и с вариациями.

И вот появилось нечто совершенно новенькое (для меня, во всяком случае), то против чего нет оружия и противодействия.

Опять, же — мы не говорим о совершенной защите, когда RDP просто отключен или максимально ограничен к нему доступ.
Мы говорим, о системе реального противодействия в автоматическом режиме.
Для первого и второго варианта атак — такие системы вполне себе можно написать, купить, придумать.

Итак, встречайте! Новый Совершенный (и потому, достоин восхищения) уровень RDP Атак.

Я не знаю, какое рабочее название у него у авторов. Прошу сообщить, чтобы можно было корректно использовать терминологию.

Но пока, мне это не известно, и потому рабочее название пусть будет: «Долговременная Распределенная Атака Супер — Короткими Уникальными Сеансами».

Вот уже третьи сутки (причем, я видел как это начиналось) оно почти безостановочно работает. И как я понимаю — не в полную силу.

Одновременно с нескольких IP адресов (90% Россия) открывается кратковременная сессия на несколько секунд, видимо для буквально одной попытки авторизации и отключается. IP адреса практически не повторяются, то есть, можно говорить об их уникальности.

И если предположить, каждая новая попытка — это продолжение единого централизованного алгоритма по перебору паролей, то вскрытие жертвы — просто дело времени.

А чтобы еще больше оценить оригинальность такого подхода, необходимо заметить, что в большинстве своем это идет с динамических пулов Ростелекома, МТС, Билайна, Мегафона. Но имеются и стационарные.

Красиво и Гениально Мазафака!

Хотя, справедливости ради, скажу, что все-таки иногда идут повторы. Возможно, это временные недоработки.

Тиак, под контроль Бот-Нета попало огромное количество Зомби устройств и они постоянно меняют IP адреса.

С Новым Годом!




  •