Microsoft Azure by Ingram Micro (Thailand)

BlackNurse Attack: คอมพิวเตอร์เครื่องเดียวก็ล่ม Firewall และ Server ได้

นักวิจัยด้านความมั่นคงปลอดภัยจากศูนย์ TDC Security Operation Center พบเทคนิคการโจมตีรูปแบบใหม่ ที่ช่วยให้แฮ็คเกอร์ซึ่งมีทรัพยากรจำกัด คือ โน๊ตบุ๊ค 1 เครื่อง และลิงค์อินเทอร์เน็ตอย่างต่ำ 15 Mbps สามารถล่ม Server หรือ Firewall ระดับใช้งานในองค์กรขนาดใหญ่ได้อย่างง่ายดาย โดยไม่จำเป็นต้องใช้กองทัพ IoT Botnet แต่อย่างใด

blacknurse_attack_1

BlackNurse การโจมตี Ping of Death แบบ Low-rate

การโจมตีดังกล่าวมีชื่อว่า BlackNurse หรือก็คือ “Ping of Death” แบบ Low-rate ซึ่งเป็นเทคนิคการโจมตีแบบ DoS ขนาดเล็กหลายๆ ครั้ง ผ่านการส่ง ICMP Packet แบบพิเศษ เพื่อให้หน่วยประมวลผลบน Server และ Firewall เช่น Cisco และ Palo Alto Networks รับภาระหนักจนไม่สามารถให้บริการได้อีกต่อไป โดยไม่สนใจคุณภาพการเชื่อมต่ออินเทอร์เน็ต

การโจมตีแบบ BlackNurse เรียกได้ว่าเป็นเทคนิคการโจมตีแบบดั้งเดิมที่รู้จักในฐานะการโจมตีแบบ Ping Flood โดยจะใช้การร้องขอแบบ ICMP Type 3 (Destination Unreachable) Code 3 (Port Unreachable) แทน ICMP Type 8 Code 0 แบบ Ping Flood ปกติ ซึ่งทราฟฟิคมีขนาดเล็กมาก ประมาณ 15 – 18 Mbps หรือ 40,000 – 50,000 Packets per second เท่านั้น แตกต่างจาก IoT-based DDoS Attack ที่โจมตีบริษัทโฮสติ้งฝรั่งเศส OVH ที่มีขนาดใหญ่ถึง 1.1 Tbps โดยสิ้นเชิง

ล่ม Firewall ด้วย ICMP Packet ขนาด 40K – 50K

อย่างไรก็ตาม ปริมาณทราฟฟิคไม่ใช่ประเด็นสำคัญแต่อย่างใด นักวิจัยจาก TDC ระบุว่าปัญหาใหญ่ของการโจมตีนี้คือสตรีมของ ICMP Packets ขนาด 40,000 – 50,000 Packets ต่อวินาทีตะหาก ซึ่งด้วยปริมาณ Packet เท่านี้ก็เพียงพอต่อการล่มอุปกรณ์บนระบบเครือข่ายที่ต้องการแล้ว

“ผลกระทบที่พวกเราเห็นบน Firewall หลายยี่ห้อคือ CPU Load ที่สูงผิดปกติ ขณะการโจมตีกำลังดำเนินไป ผู้ใช้จากภายในเครือข่าย LAN จะไม่สามารถรับส่งทราฟฟิคกับอินเทอร์เน็ตภายนอกได้ Firewall ทุกยี่ห้อจะกลับมาใช้งานได้ตามปกติเมื่อหยุดการโจมตี” — TDC ระบุในรายงาน

นั่นหมายความว่าการโจมตี BlackNurse ใช้ได้ผลดีกับอุปกรณ์บนระบบเครือข่ายไม่เว้นแม้แต่ Firewall เนื่องจากการโจมตีดังกล่าวไม่ใช่การทำ Flooding ด้วยทราฟฟิคปริมาณมหาศาล แต่เป็นการเพิ่มภาระการทำงานบน CPU จะไม่สามารถให้บริการได้ ต่อให้อุปกรณ์ดังกล่าวจะมี Network Capacity ขนาดใหญ่ก็ตาม

อุปกรณ์บนระบบเครือข่ายที่ได้รับผลกระทบ

การโจมตีแบบ BlackNurse ส่งผลกระทบต่ออุปกรณ์ดังต่อไปนี้

  • Cisco ASA 5506, 5515, 5525 (ตั้งค่าดั้งเดิมจากโรงงาน)
  • Cisco ASA 5550 และ 5515-X
  • Cisco Router 897
  • SonicWall
  • Palo Alto Networks บางรุ่น (ยังไม่ได้รับการยืนยันแน่ชัด)
  • Zyxel NWA3560-N (โจมตีผ่าน Wireless ผ่านฝั่ง LAN)
  • Zyxel Zywall USG50

รับมือกับการโจมตีแบบ BlackNurse

TDC ออก SNORT Rules สำหรับตรวจจับการโจมตี BlackNurse ดังนี้

alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:”TDC-SOC – Possible BlackNurseattack from external source “; itype:3; icode:3; detection_filter:track by_dst, count 250, seconds 1; reference:url, soc.tdc.dk/blacknurse/blacknurse.pdf; metadata:TDC-SOC-CERT,18032016; priority:3; sid:88000012; rev:1;)

alert icmp $HOME_NET any -> $EXTERNAL_NET any (msg:”TDC-SOC –Possible BlackNurse attack from internal source”; itype:3; icode:3; detection_filter:track by_dst, count 250, seconds 1; reference:url, soc.tdc.dk/blacknurse/blacknurse.pdf; metadata:TDC-SOC-CERT,18032016; priority:3; sid:88000013; rev:1;)

นอกจากนี้ ผู้ดูแลระบบสามารถใช้โค้ดของทีมวิศวกรจาก OVH สำหรับ PoC การโจมตีดังกล่าวได้ ซึ่งสามารถดาวน์โหลดได้ผ่านทาง GitHub

สำหรับการป้องกันอุปกรณ์บนระบบเครือข่ายจากการโจมตีแบบ BlackNurse ผู้ดูแลระบบควรระบุ Trusted Sources ที่อนุญาตให้ส่ง ICMP Packet มาได้ อย่างไรก็ตาม วิธีที่ดีที่สุดในการรับมือกับการโจมตีดังกล่าวคือยกเลิกการใช้ ICMP Type 3 Code 3 ที่มาจาก WAN Interface

อ่านรายงานการโจมตีแบบ BlackNurse ฉบับเต็มได้ที่: http://soc.tdc.dk/blacknurse/blacknurse.pdf

รายละเอียดเชิงลึกจาก NETRESEC: http://www.netresec.com/?page=Blog&month=2016-11&post=BlackNurse-Denial-of-Service-Attack

ที่มา: http://thehackernews.com/2016/11/dos-attack-server-firewall.html

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

เอชพี เปิดตัวพอร์ตโฟลิโอที่หลากหลายที่สุดในกลุ่มผลิตภัณฑ์ AI PCs [PR]

เอชพี เปิดตัวพอร์ตโฟลิโอที่หลากหลายที่สุดในกลุ่มผลิตภัณฑ์ AI PCs ขับเคลื่อน ด้วยขุมพลัง AI ยกระดับประสิทธิภาพการทำงาน การสร้างสรรค์ และประสบการณ์ของผู้ใช้ในสภาพแวดล้อม การทำงานแบบไฮบริด

Microsoft ยกเลิกการใช้ 1024-bit RSA Key บน Windows แล้ว

Microsoft ประกาศยกเลิกการใช้กุญแจเข้ารหัส 1024-bit RSA Key บน Windows แล้ว เปลี่ยนไปใช้กุญแจเข้ารหัสความยาว 2048-bit เป็นอย่างน้อย