TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
นักวิจัยด้านความมั่นคงปลอดภัยจากศูนย์ TDC Security Operation Center พบเทคนิคการโจมตีรูปแบบใหม่ ที่ช่วยให้แฮ็คเกอร์ซึ่งมีทรัพยากรจำกัด คือ โน๊ตบุ๊ค 1 เครื่อง และลิงค์อินเทอร์เน็ตอย่างต่ำ 15 Mbps สามารถล่ม Server หรือ Firewall ระดับใช้งานในองค์กรขนาดใหญ่ได้อย่างง่ายดาย โดยไม่จำเป็นต้องใช้กองทัพ IoT Botnet แต่อย่างใด
BlackNurse การโจมตี Ping of Death แบบ Low-rate
การโจมตีดังกล่าวมีชื่อว่า BlackNurse หรือก็คือ “Ping of Death” แบบ Low-rate ซึ่งเป็นเทคนิคการโจมตีแบบ DoS ขนาดเล็กหลายๆ ครั้ง ผ่านการส่ง ICMP Packet แบบพิเศษ เพื่อให้หน่วยประมวลผลบน Server และ Firewall เช่น Cisco และ Palo Alto Networks รับภาระหนักจนไม่สามารถให้บริการได้อีกต่อไป โดยไม่สนใจคุณภาพการเชื่อมต่ออินเทอร์เน็ต
การโจมตีแบบ BlackNurse เรียกได้ว่าเป็นเทคนิคการโจมตีแบบดั้งเดิมที่รู้จักในฐานะการโจมตีแบบ Ping Flood โดยจะใช้การร้องขอแบบ ICMP Type 3 (Destination Unreachable) Code 3 (Port Unreachable) แทน ICMP Type 8 Code 0 แบบ Ping Flood ปกติ ซึ่งทราฟฟิคมีขนาดเล็กมาก ประมาณ 15 – 18 Mbps หรือ 40,000 – 50,000 Packets per second เท่านั้น แตกต่างจาก IoT-based DDoS Attack ที่โจมตีบริษัทโฮสติ้งฝรั่งเศส OVH ที่มีขนาดใหญ่ถึง 1.1 Tbps โดยสิ้นเชิง
ล่ม Firewall ด้วย ICMP Packet ขนาด 40K – 50K
อย่างไรก็ตาม ปริมาณทราฟฟิคไม่ใช่ประเด็นสำคัญแต่อย่างใด นักวิจัยจาก TDC ระบุว่าปัญหาใหญ่ของการโจมตีนี้คือสตรีมของ ICMP Packets ขนาด 40,000 – 50,000 Packets ต่อวินาทีตะหาก ซึ่งด้วยปริมาณ Packet เท่านี้ก็เพียงพอต่อการล่มอุปกรณ์บนระบบเครือข่ายที่ต้องการแล้ว
“ผลกระทบที่พวกเราเห็นบน Firewall หลายยี่ห้อคือ CPU Load ที่สูงผิดปกติ ขณะการโจมตีกำลังดำเนินไป ผู้ใช้จากภายในเครือข่าย LAN จะไม่สามารถรับส่งทราฟฟิคกับอินเทอร์เน็ตภายนอกได้ Firewall ทุกยี่ห้อจะกลับมาใช้งานได้ตามปกติเมื่อหยุดการโจมตี” — TDC ระบุในรายงาน
นั่นหมายความว่าการโจมตี BlackNurse ใช้ได้ผลดีกับอุปกรณ์บนระบบเครือข่ายไม่เว้นแม้แต่ Firewall เนื่องจากการโจมตีดังกล่าวไม่ใช่การทำ Flooding ด้วยทราฟฟิคปริมาณมหาศาล แต่เป็นการเพิ่มภาระการทำงานบน CPU จะไม่สามารถให้บริการได้ ต่อให้อุปกรณ์ดังกล่าวจะมี Network Capacity ขนาดใหญ่ก็ตาม
อุปกรณ์บนระบบเครือข่ายที่ได้รับผลกระทบ
การโจมตีแบบ BlackNurse ส่งผลกระทบต่ออุปกรณ์ดังต่อไปนี้
- Cisco ASA 5506, 5515, 5525 (ตั้งค่าดั้งเดิมจากโรงงาน)
- Cisco ASA 5550 และ 5515-X
- Cisco Router 897
- SonicWall
- Palo Alto Networks บางรุ่น (ยังไม่ได้รับการยืนยันแน่ชัด)
- Zyxel NWA3560-N (โจมตีผ่าน Wireless ผ่านฝั่ง LAN)
- Zyxel Zywall USG50
รับมือกับการโจมตีแบบ BlackNurse
TDC ออก SNORT Rules สำหรับตรวจจับการโจมตี BlackNurse ดังนี้
alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:”TDC-SOC – Possible BlackNurseattack from external source “; itype:3; icode:3; detection_filter:track by_dst, count 250, seconds 1; reference:url, soc.tdc.dk/blacknurse/blacknurse.pdf; metadata:TDC-SOC-CERT,18032016; priority:3; sid:88000012; rev:1;)
alert icmp $HOME_NET any -> $EXTERNAL_NET any (msg:”TDC-SOC –Possible BlackNurse attack from internal source”; itype:3; icode:3; detection_filter:track by_dst, count 250, seconds 1; reference:url, soc.tdc.dk/blacknurse/blacknurse.pdf; metadata:TDC-SOC-CERT,18032016; priority:3; sid:88000013; rev:1;)
นอกจากนี้ ผู้ดูแลระบบสามารถใช้โค้ดของทีมวิศวกรจาก OVH สำหรับ PoC การโจมตีดังกล่าวได้ ซึ่งสามารถดาวน์โหลดได้ผ่านทาง GitHub
สำหรับการป้องกันอุปกรณ์บนระบบเครือข่ายจากการโจมตีแบบ BlackNurse ผู้ดูแลระบบควรระบุ Trusted Sources ที่อนุญาตให้ส่ง ICMP Packet มาได้ อย่างไรก็ตาม วิธีที่ดีที่สุดในการรับมือกับการโจมตีดังกล่าวคือยกเลิกการใช้ ICMP Type 3 Code 3 ที่มาจาก WAN Interface
อ่านรายงานการโจมตีแบบ BlackNurse ฉบับเต็มได้ที่: http://soc.tdc.dk/blacknurse/blacknurse.pdf
รายละเอียดเชิงลึกจาก NETRESEC: http://www.netresec.com/?page=Blog&month=2016-11&post=BlackNurse-Denial-of-Service-Attack
ที่มา: http://thehackernews.com/2016/11/dos-attack-server-firewall.html
