Breaking News

BlackNurse Attack: คอมพิวเตอร์เครื่องเดียวก็ล่ม Firewall และ Server ได้

นักวิจัยด้านความมั่นคงปลอดภัยจากศูนย์ TDC Security Operation Center พบเทคนิคการโจมตีรูปแบบใหม่ ที่ช่วยให้แฮ็คเกอร์ซึ่งมีทรัพยากรจำกัด คือ โน๊ตบุ๊ค 1 เครื่อง และลิงค์อินเทอร์เน็ตอย่างต่ำ 15 Mbps สามารถล่ม Server หรือ Firewall ระดับใช้งานในองค์กรขนาดใหญ่ได้อย่างง่ายดาย โดยไม่จำเป็นต้องใช้กองทัพ IoT Botnet แต่อย่างใด

blacknurse_attack_1

BlackNurse การโจมตี Ping of Death แบบ Low-rate

การโจมตีดังกล่าวมีชื่อว่า BlackNurse หรือก็คือ “Ping of Death” แบบ Low-rate ซึ่งเป็นเทคนิคการโจมตีแบบ DoS ขนาดเล็กหลายๆ ครั้ง ผ่านการส่ง ICMP Packet แบบพิเศษ เพื่อให้หน่วยประมวลผลบน Server และ Firewall เช่น Cisco และ Palo Alto Networks รับภาระหนักจนไม่สามารถให้บริการได้อีกต่อไป โดยไม่สนใจคุณภาพการเชื่อมต่ออินเทอร์เน็ต

การโจมตีแบบ BlackNurse เรียกได้ว่าเป็นเทคนิคการโจมตีแบบดั้งเดิมที่รู้จักในฐานะการโจมตีแบบ Ping Flood โดยจะใช้การร้องขอแบบ ICMP Type 3 (Destination Unreachable) Code 3 (Port Unreachable) แทน ICMP Type 8 Code 0 แบบ Ping Flood ปกติ ซึ่งทราฟฟิคมีขนาดเล็กมาก ประมาณ 15 – 18 Mbps หรือ 40,000 – 50,000 Packets per second เท่านั้น แตกต่างจาก IoT-based DDoS Attack ที่โจมตีบริษัทโฮสติ้งฝรั่งเศส OVH ที่มีขนาดใหญ่ถึง 1.1 Tbps โดยสิ้นเชิง

ล่ม Firewall ด้วย ICMP Packet ขนาด 40K – 50K

อย่างไรก็ตาม ปริมาณทราฟฟิคไม่ใช่ประเด็นสำคัญแต่อย่างใด นักวิจัยจาก TDC ระบุว่าปัญหาใหญ่ของการโจมตีนี้คือสตรีมของ ICMP Packets ขนาด 40,000 – 50,000 Packets ต่อวินาทีตะหาก ซึ่งด้วยปริมาณ Packet เท่านี้ก็เพียงพอต่อการล่มอุปกรณ์บนระบบเครือข่ายที่ต้องการแล้ว

“ผลกระทบที่พวกเราเห็นบน Firewall หลายยี่ห้อคือ CPU Load ที่สูงผิดปกติ ขณะการโจมตีกำลังดำเนินไป ผู้ใช้จากภายในเครือข่าย LAN จะไม่สามารถรับส่งทราฟฟิคกับอินเทอร์เน็ตภายนอกได้ Firewall ทุกยี่ห้อจะกลับมาใช้งานได้ตามปกติเมื่อหยุดการโจมตี” — TDC ระบุในรายงาน

นั่นหมายความว่าการโจมตี BlackNurse ใช้ได้ผลดีกับอุปกรณ์บนระบบเครือข่ายไม่เว้นแม้แต่ Firewall เนื่องจากการโจมตีดังกล่าวไม่ใช่การทำ Flooding ด้วยทราฟฟิคปริมาณมหาศาล แต่เป็นการเพิ่มภาระการทำงานบน CPU จะไม่สามารถให้บริการได้ ต่อให้อุปกรณ์ดังกล่าวจะมี Network Capacity ขนาดใหญ่ก็ตาม

อุปกรณ์บนระบบเครือข่ายที่ได้รับผลกระทบ

การโจมตีแบบ BlackNurse ส่งผลกระทบต่ออุปกรณ์ดังต่อไปนี้

  • Cisco ASA 5506, 5515, 5525 (ตั้งค่าดั้งเดิมจากโรงงาน)
  • Cisco ASA 5550 และ 5515-X
  • Cisco Router 897
  • SonicWall
  • Palo Alto Networks บางรุ่น (ยังไม่ได้รับการยืนยันแน่ชัด)
  • Zyxel NWA3560-N (โจมตีผ่าน Wireless ผ่านฝั่ง LAN)
  • Zyxel Zywall USG50

รับมือกับการโจมตีแบบ BlackNurse

TDC ออก SNORT Rules สำหรับตรวจจับการโจมตี BlackNurse ดังนี้

alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:”TDC-SOC – Possible BlackNurseattack from external source “; itype:3; icode:3; detection_filter:track by_dst, count 250, seconds 1; reference:url, soc.tdc.dk/blacknurse/blacknurse.pdf; metadata:TDC-SOC-CERT,18032016; priority:3; sid:88000012; rev:1;)

alert icmp $HOME_NET any -> $EXTERNAL_NET any (msg:”TDC-SOC –Possible BlackNurse attack from internal source”; itype:3; icode:3; detection_filter:track by_dst, count 250, seconds 1; reference:url, soc.tdc.dk/blacknurse/blacknurse.pdf; metadata:TDC-SOC-CERT,18032016; priority:3; sid:88000013; rev:1;)

นอกจากนี้ ผู้ดูแลระบบสามารถใช้โค้ดของทีมวิศวกรจาก OVH สำหรับ PoC การโจมตีดังกล่าวได้ ซึ่งสามารถดาวน์โหลดได้ผ่านทาง GitHub

สำหรับการป้องกันอุปกรณ์บนระบบเครือข่ายจากการโจมตีแบบ BlackNurse ผู้ดูแลระบบควรระบุ Trusted Sources ที่อนุญาตให้ส่ง ICMP Packet มาได้ อย่างไรก็ตาม วิธีที่ดีที่สุดในการรับมือกับการโจมตีดังกล่าวคือยกเลิกการใช้ ICMP Type 3 Code 3 ที่มาจาก WAN Interface

อ่านรายงานการโจมตีแบบ BlackNurse ฉบับเต็มได้ที่: http://soc.tdc.dk/blacknurse/blacknurse.pdf

รายละเอียดเชิงลึกจาก NETRESEC: http://www.netresec.com/?page=Blog&month=2016-11&post=BlackNurse-Denial-of-Service-Attack

ที่มา: http://thehackernews.com/2016/11/dos-attack-server-firewall.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

VMware Enterprise PKS 1.6 เข้าสู่สถานะ General Availability แล้ว

สัปดาห์ที่ผ่านมา VMware ได้ออกมาประกาศให้ VMware Enterprise PKS 1.6 เข้าสู่สถานะ GA แล้วอย่างเป็นทางการ โดยมุ่งเน้นการเสริมความสามารถใหม่ๆ ให้มีการติดตั้งและการดูแลรักษาระบบ Kuberntes ได้ง่ายดายยิ่งขึ้น ดังนี้

Cisco ออกรายงาน Cisco 2020 Global Networking Trends Report ฉบับล่าสุด

Cisco ผู้ให้บริการโซลูชันด้านเครือข่ายและ Data Center ชั้นนำของโลก ออกราย Cisco 2020 Global Networking Trends Report ฉบับล่าสุดฉบับล่าสุด โดยสำรวจ IT …