TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
AWS ได้ออกมาเผยถึงเหตุการณ์โจมตีเมื่อเดือนกุมภาพันธ์ 2020 ที่ผ่านมา ว่ามีกลุ่มผู้โจมตีไม่ทราบชื่อได้ทำการโจมตีแบบ DDoS ด้วยข้อมูลปริมาณ 2.3Tbps ต่อเนื่องกันเป็นเวลา 3 วันหวังให้บริการ Cloud ของ AWS ล่ม แต่ผลลัพธ์ก็คือ AWS สามารถยับยั้งการโจมตีเหล่านั้นเอาไว้ได้ โดยที่ไม่มีบริการใดๆ ล่มเลย
การโจมตีนี้ถือว่ามีขนาดใหญ่มากเมื่อเทียบกับการโจมตีระบบของ GitHub เมื่อปี 2018 ที่ Bandwidth ขนาด 1.3Tbps และการโจมตีด้วย Mirai Botnet ไปยัง Dyn ที่ความแรงระดับ 1Tbps
AWS ได้เผยรายละเอียดของการโจมตีนี้ว่ามีการใช้ CLDAP Reflection-based Attack เป็นหลักด้วยการใช้ Spoofed IT Address ทำการส่ง Request เกี่ยวกับ LDAP แบบ Connectionless ไปยัง 3rd Party Server ให้เกิดการตอบกลับที่มีเนื้อหาขนาดใหญ่ และมีความรุนแรงสูงกว่าการโจมตีครั้งอื่นๆ ที่ AWS เคยเจอถึง 44% โดย AWS ยังไม่ได้ระบุถึงเป้าหมายของผู้โจมตีที่ชัดเจน แต่เป็นที่สังเกตได้ว่าเมื่อเทคนิคการโจมตีรูปแบบใหม่ปรากฎขึ้น ผู้โจมตีก็จะนำเทคนิคนั้นๆ มาใช้โจมตีทันที และ AWS ก็ได้ระบุถึงแนวทางอื่นๆ ที่ผู้โจมตีได้ใช้รวมกันเป็นการโจมตีถึง 31% ในเหตุการณ์นี้ดังนี้
- Docker Unauthenticated RCE เพื่อเชื่อมต่อไปยัง Docker API และสร้าง Container ขึ้นมาโดยไม่ต้องอาศัยสิทธิ์ในระบบ
- SSH Intrusion พยายามเข้าถึง SSH ที่ตนเองไม่มีสิทธิ์ด้วยการใช้ Credential หรือช่องโหว่ต่างๆ
- Redis Unauthenticated RCE โจมตีระบบ Redis ผ่านทาง API เพื่อพยายามเข้าถึง Application อื่นๆ ในระบบหรือควบคุม Database
- Apache Hadoop YARN RCE โจมตีระบบ Hadoop ผ่านทาง API เพื่อเข้าถึงระบบบริหารจัดการและสั่งเรียกใช้โค้ดต่างๆ ได้ตามต้องการ
AWS สรุปว่าความถี่ในการโจมตีที่เกิดขึ้นนี้แปรผันโดยตรงกับความนิยมของแต่ละระบบที่ถูกใช้งานบน Internet และช่องโหว่ที่ไม่ได้ถูก Patch ไปจนถึงความอ่อนแอในการกำหนดสิทธิ์ภายในระบบนั้นๆ
ผู้ที่สนใจสามารถอ่านรายงานฉบับเต็มได้ใน AWS Shield Threat Landscape Report ได้ที่ https://aws-shield-tlr.s3.amazonaws.com/2020-Q1_AWS_Shield_TLR.pdf
ที่มา: https://www.cbronline.com/news/record-ddos-attack-aws
