Breaking News

BlackNurse Attack: คอมพิวเตอร์เครื่องเดียวก็ล่ม Firewall และ Server ได้

นักวิจัยด้านความมั่นคงปลอดภัยจากศูนย์ TDC Security Operation Center พบเทคนิคการโจมตีรูปแบบใหม่ ที่ช่วยให้แฮ็คเกอร์ซึ่งมีทรัพยากรจำกัด คือ โน๊ตบุ๊ค 1 เครื่อง และลิงค์อินเทอร์เน็ตอย่างต่ำ 15 Mbps สามารถล่ม Server หรือ Firewall ระดับใช้งานในองค์กรขนาดใหญ่ได้อย่างง่ายดาย โดยไม่จำเป็นต้องใช้กองทัพ IoT Botnet แต่อย่างใด

blacknurse_attack_1

BlackNurse การโจมตี Ping of Death แบบ Low-rate

การโจมตีดังกล่าวมีชื่อว่า BlackNurse หรือก็คือ “Ping of Death” แบบ Low-rate ซึ่งเป็นเทคนิคการโจมตีแบบ DoS ขนาดเล็กหลายๆ ครั้ง ผ่านการส่ง ICMP Packet แบบพิเศษ เพื่อให้หน่วยประมวลผลบน Server และ Firewall เช่น Cisco และ Palo Alto Networks รับภาระหนักจนไม่สามารถให้บริการได้อีกต่อไป โดยไม่สนใจคุณภาพการเชื่อมต่ออินเทอร์เน็ต

การโจมตีแบบ BlackNurse เรียกได้ว่าเป็นเทคนิคการโจมตีแบบดั้งเดิมที่รู้จักในฐานะการโจมตีแบบ Ping Flood โดยจะใช้การร้องขอแบบ ICMP Type 3 (Destination Unreachable) Code 3 (Port Unreachable) แทน ICMP Type 8 Code 0 แบบ Ping Flood ปกติ ซึ่งทราฟฟิคมีขนาดเล็กมาก ประมาณ 15 – 18 Mbps หรือ 40,000 – 50,000 Packets per second เท่านั้น แตกต่างจาก IoT-based DDoS Attack ที่โจมตีบริษัทโฮสติ้งฝรั่งเศส OVH ที่มีขนาดใหญ่ถึง 1.1 Tbps โดยสิ้นเชิง

ล่ม Firewall ด้วย ICMP Packet ขนาด 40K – 50K

อย่างไรก็ตาม ปริมาณทราฟฟิคไม่ใช่ประเด็นสำคัญแต่อย่างใด นักวิจัยจาก TDC ระบุว่าปัญหาใหญ่ของการโจมตีนี้คือสตรีมของ ICMP Packets ขนาด 40,000 – 50,000 Packets ต่อวินาทีตะหาก ซึ่งด้วยปริมาณ Packet เท่านี้ก็เพียงพอต่อการล่มอุปกรณ์บนระบบเครือข่ายที่ต้องการแล้ว

“ผลกระทบที่พวกเราเห็นบน Firewall หลายยี่ห้อคือ CPU Load ที่สูงผิดปกติ ขณะการโจมตีกำลังดำเนินไป ผู้ใช้จากภายในเครือข่าย LAN จะไม่สามารถรับส่งทราฟฟิคกับอินเทอร์เน็ตภายนอกได้ Firewall ทุกยี่ห้อจะกลับมาใช้งานได้ตามปกติเมื่อหยุดการโจมตี” — TDC ระบุในรายงาน

นั่นหมายความว่าการโจมตี BlackNurse ใช้ได้ผลดีกับอุปกรณ์บนระบบเครือข่ายไม่เว้นแม้แต่ Firewall เนื่องจากการโจมตีดังกล่าวไม่ใช่การทำ Flooding ด้วยทราฟฟิคปริมาณมหาศาล แต่เป็นการเพิ่มภาระการทำงานบน CPU จะไม่สามารถให้บริการได้ ต่อให้อุปกรณ์ดังกล่าวจะมี Network Capacity ขนาดใหญ่ก็ตาม

อุปกรณ์บนระบบเครือข่ายที่ได้รับผลกระทบ

การโจมตีแบบ BlackNurse ส่งผลกระทบต่ออุปกรณ์ดังต่อไปนี้

  • Cisco ASA 5506, 5515, 5525 (ตั้งค่าดั้งเดิมจากโรงงาน)
  • Cisco ASA 5550 และ 5515-X
  • Cisco Router 897
  • SonicWall
  • Palo Alto Networks บางรุ่น (ยังไม่ได้รับการยืนยันแน่ชัด)
  • Zyxel NWA3560-N (โจมตีผ่าน Wireless ผ่านฝั่ง LAN)
  • Zyxel Zywall USG50

รับมือกับการโจมตีแบบ BlackNurse

TDC ออก SNORT Rules สำหรับตรวจจับการโจมตี BlackNurse ดังนี้

alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:”TDC-SOC – Possible BlackNurseattack from external source “; itype:3; icode:3; detection_filter:track by_dst, count 250, seconds 1; reference:url, soc.tdc.dk/blacknurse/blacknurse.pdf; metadata:TDC-SOC-CERT,18032016; priority:3; sid:88000012; rev:1;)

alert icmp $HOME_NET any -> $EXTERNAL_NET any (msg:”TDC-SOC –Possible BlackNurse attack from internal source”; itype:3; icode:3; detection_filter:track by_dst, count 250, seconds 1; reference:url, soc.tdc.dk/blacknurse/blacknurse.pdf; metadata:TDC-SOC-CERT,18032016; priority:3; sid:88000013; rev:1;)

นอกจากนี้ ผู้ดูแลระบบสามารถใช้โค้ดของทีมวิศวกรจาก OVH สำหรับ PoC การโจมตีดังกล่าวได้ ซึ่งสามารถดาวน์โหลดได้ผ่านทาง GitHub

สำหรับการป้องกันอุปกรณ์บนระบบเครือข่ายจากการโจมตีแบบ BlackNurse ผู้ดูแลระบบควรระบุ Trusted Sources ที่อนุญาตให้ส่ง ICMP Packet มาได้ อย่างไรก็ตาม วิธีที่ดีที่สุดในการรับมือกับการโจมตีดังกล่าวคือยกเลิกการใช้ ICMP Type 3 Code 3 ที่มาจาก WAN Interface

อ่านรายงานการโจมตีแบบ BlackNurse ฉบับเต็มได้ที่: http://soc.tdc.dk/blacknurse/blacknurse.pdf

รายละเอียดเชิงลึกจาก NETRESEC: http://www.netresec.com/?page=Blog&month=2016-11&post=BlackNurse-Denial-of-Service-Attack

ที่มา: http://thehackernews.com/2016/11/dos-attack-server-firewall.html



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ขอเรียนเชิญเข้าร่วมฟังสัมมนาออนไลน์ Emerging Stronger Series

การแพร่ระบาดของ COVID-19 ก่อให้เกิดผลกระทบไปทั่วทุกมุมโลก การเตรียมความพร้อมและวางแผนรับมือที่ชัดเจนกับความไม่แน่นอนท่ามกลาง “ความปกติใหม่” ที่เกิดขึ้น รวมถึงกลยุทธ์ดิจิทัลทรานส์ฟอร์เมชั่นที่องค์กรตั้งรับในวันนี้ จะเป็นตัวกำหนดความสำเร็จอย่างยั่งยืนในอนาคต

Cloudflare รับมือกับ DDoS Attack ขนาด 754 ล้านแพ็กเก็ตต่อวินาที ด้วยระบบอัตโนมัติได้อย่างไร

Cloudflare ได้ออกมาเปิดเผยว่าตนถูก DDoS Attack หลายต่อหลายครั้งช่วงปลายมิถุนายนที่ผ่านมา ซึ่งความน่าประทับใจคือระบบอัตโนมัติสามารถจัดการการโจมตีขนาดสูงสุดกว่า 754 ล้านแพ็กเก็ตต่อวินาทีได้ตลอดความพยายามหลายรูปแบบกว่า 4 วันของคนร้าย โดยที่ทีมงานไม่ได้รับการเตือนจากระบบหรือเสียงบ่นจากลูกค้าว่ามีปัญหาด้วยซ้ำ