BlackNurse Attack: คอมพิวเตอร์เครื่องเดียวก็ล่ม Firewall และ Server ได้

นักวิจัยด้านความมั่นคงปลอดภัยจากศูนย์ TDC Security Operation Center พบเทคนิคการโจมตีรูปแบบใหม่ ที่ช่วยให้แฮ็คเกอร์ซึ่งมีทรัพยากรจำกัด คือ โน๊ตบุ๊ค 1 เครื่อง และลิงค์อินเทอร์เน็ตอย่างต่ำ 15 Mbps สามารถล่ม Server หรือ Firewall ระดับใช้งานในองค์กรขนาดใหญ่ได้อย่างง่ายดาย โดยไม่จำเป็นต้องใช้กองทัพ IoT Botnet แต่อย่างใด

blacknurse_attack_1

BlackNurse การโจมตี Ping of Death แบบ Low-rate

การโจมตีดังกล่าวมีชื่อว่า BlackNurse หรือก็คือ “Ping of Death” แบบ Low-rate ซึ่งเป็นเทคนิคการโจมตีแบบ DoS ขนาดเล็กหลายๆ ครั้ง ผ่านการส่ง ICMP Packet แบบพิเศษ เพื่อให้หน่วยประมวลผลบน Server และ Firewall เช่น Cisco และ Palo Alto Networks รับภาระหนักจนไม่สามารถให้บริการได้อีกต่อไป โดยไม่สนใจคุณภาพการเชื่อมต่ออินเทอร์เน็ต

การโจมตีแบบ BlackNurse เรียกได้ว่าเป็นเทคนิคการโจมตีแบบดั้งเดิมที่รู้จักในฐานะการโจมตีแบบ Ping Flood โดยจะใช้การร้องขอแบบ ICMP Type 3 (Destination Unreachable) Code 3 (Port Unreachable) แทน ICMP Type 8 Code 0 แบบ Ping Flood ปกติ ซึ่งทราฟฟิคมีขนาดเล็กมาก ประมาณ 15 – 18 Mbps หรือ 40,000 – 50,000 Packets per second เท่านั้น แตกต่างจาก IoT-based DDoS Attack ที่โจมตีบริษัทโฮสติ้งฝรั่งเศส OVH ที่มีขนาดใหญ่ถึง 1.1 Tbps โดยสิ้นเชิง

ล่ม Firewall ด้วย ICMP Packet ขนาด 40K – 50K

อย่างไรก็ตาม ปริมาณทราฟฟิคไม่ใช่ประเด็นสำคัญแต่อย่างใด นักวิจัยจาก TDC ระบุว่าปัญหาใหญ่ของการโจมตีนี้คือสตรีมของ ICMP Packets ขนาด 40,000 – 50,000 Packets ต่อวินาทีตะหาก ซึ่งด้วยปริมาณ Packet เท่านี้ก็เพียงพอต่อการล่มอุปกรณ์บนระบบเครือข่ายที่ต้องการแล้ว

“ผลกระทบที่พวกเราเห็นบน Firewall หลายยี่ห้อคือ CPU Load ที่สูงผิดปกติ ขณะการโจมตีกำลังดำเนินไป ผู้ใช้จากภายในเครือข่าย LAN จะไม่สามารถรับส่งทราฟฟิคกับอินเทอร์เน็ตภายนอกได้ Firewall ทุกยี่ห้อจะกลับมาใช้งานได้ตามปกติเมื่อหยุดการโจมตี” — TDC ระบุในรายงาน

นั่นหมายความว่าการโจมตี BlackNurse ใช้ได้ผลดีกับอุปกรณ์บนระบบเครือข่ายไม่เว้นแม้แต่ Firewall เนื่องจากการโจมตีดังกล่าวไม่ใช่การทำ Flooding ด้วยทราฟฟิคปริมาณมหาศาล แต่เป็นการเพิ่มภาระการทำงานบน CPU จะไม่สามารถให้บริการได้ ต่อให้อุปกรณ์ดังกล่าวจะมี Network Capacity ขนาดใหญ่ก็ตาม

อุปกรณ์บนระบบเครือข่ายที่ได้รับผลกระทบ

การโจมตีแบบ BlackNurse ส่งผลกระทบต่ออุปกรณ์ดังต่อไปนี้

  • Cisco ASA 5506, 5515, 5525 (ตั้งค่าดั้งเดิมจากโรงงาน)
  • Cisco ASA 5550 และ 5515-X
  • Cisco Router 897
  • SonicWall
  • Palo Alto Networks บางรุ่น (ยังไม่ได้รับการยืนยันแน่ชัด)
  • Zyxel NWA3560-N (โจมตีผ่าน Wireless ผ่านฝั่ง LAN)
  • Zyxel Zywall USG50

รับมือกับการโจมตีแบบ BlackNurse

TDC ออก SNORT Rules สำหรับตรวจจับการโจมตี BlackNurse ดังนี้

alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:”TDC-SOC – Possible BlackNurseattack from external source “; itype:3; icode:3; detection_filter:track by_dst, count 250, seconds 1; reference:url, soc.tdc.dk/blacknurse/blacknurse.pdf; metadata:TDC-SOC-CERT,18032016; priority:3; sid:88000012; rev:1;)

alert icmp $HOME_NET any -> $EXTERNAL_NET any (msg:”TDC-SOC –Possible BlackNurse attack from internal source”; itype:3; icode:3; detection_filter:track by_dst, count 250, seconds 1; reference:url, soc.tdc.dk/blacknurse/blacknurse.pdf; metadata:TDC-SOC-CERT,18032016; priority:3; sid:88000013; rev:1;)

นอกจากนี้ ผู้ดูแลระบบสามารถใช้โค้ดของทีมวิศวกรจาก OVH สำหรับ PoC การโจมตีดังกล่าวได้ ซึ่งสามารถดาวน์โหลดได้ผ่านทาง GitHub

สำหรับการป้องกันอุปกรณ์บนระบบเครือข่ายจากการโจมตีแบบ BlackNurse ผู้ดูแลระบบควรระบุ Trusted Sources ที่อนุญาตให้ส่ง ICMP Packet มาได้ อย่างไรก็ตาม วิธีที่ดีที่สุดในการรับมือกับการโจมตีดังกล่าวคือยกเลิกการใช้ ICMP Type 3 Code 3 ที่มาจาก WAN Interface

อ่านรายงานการโจมตีแบบ BlackNurse ฉบับเต็มได้ที่: http://soc.tdc.dk/blacknurse/blacknurse.pdf

รายละเอียดเชิงลึกจาก NETRESEC: http://www.netresec.com/?page=Blog&month=2016-11&post=BlackNurse-Denial-of-Service-Attack

ที่มา: http://thehackernews.com/2016/11/dos-attack-server-firewall.html



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

เปิดตัว Microsoft Azure Modular Datacenter ยก Azure มาตั้งเองได้ในพื้นที่ที่ต้องการ

Microsoft ได้ออกมาประกาศเปิดตัว Azure Modular Datacenter (MDC) ซึ่งเป็นโซลูชัน Data Center สำเร็จรูปที่ระบบข้างในใช้ Microsoft Azure ทั้งหมด ทำให้ธุรกิจองค์กรมีทางเลือกเพิ่มขึ้นในการใช้งาน Microsoft Azure ได้แบบ On-Premises เพื่อให้มี Latency ที่ต่ำที่สุดในการเชื่อมต่อไปยัง Data Center ของตนเอง

[Guest Post] เลอโนโว เปิดตัว X1 Nano แล็ปท็อปตะกูล ThinkPad ที่เบาที่สุดที่เคยมีมา พร้อมเปิดพรีออเดอร์สุดยอดนวัตกรรม ThinkPad X1 Fold แล็ปท็อปจอพับได้

เลอโนโว เผยโฉม ThinkPad X1 Nano* แล็ปท็อป ThinkPad ที่เบาที่สุดเพียง 907 กรัม อัดแน่นด้วยพลังและประสิทธิภาพเพื่อการทำงานอย่างสมบูรณ์แบบ บนแพลตฟอร์ม Intel® Evo™ หน่วยประมวลผล …