Breaking News

พบ DDoS Attack แบบใหม่ใช้โปรโตคอล UPnP อำพรางพอร์ตต้นทางเลี่ยงการตรวจจับ

Imperva ได้รายงานพบ DDoS Attack แบบใหม่ที่ใช้โปรโตคอล UPnP ช่วยกำบังพอร์ตต้นทางเพื่อหลบเลี่ยงการป้องกันจากอุปกรณ์บรรเทาการโจมตีทั่วไป

credit : Bleepingcomputer.com

โปรโตคอล Universal Plug and Play หรือ UPnP ถูกออกแบบมาเพื่อให้อุปกรณ์ เช่น คอมพิวเตอร์ ปริ้นเตอร์ Internet gateway อุปกรณ์มือถือ หรือ AP ในเครือข่ายภายในสามารถค้นหากันได้อย่างง่ายดายผ่าน UDP พอร์ต 1900 และควบคุมอุปกรณ์ตาม TCP พอร์ตที่ต้องการได้ นอกจากนั้น UPnP ยังมีฟีเจอร์ที่สามารถส่งต่อการเชื่อมต่อจากอินเทอร์เน็ตเข้ามายังเครือข่ายภายในได้โดยการทำ Mapping พอร์ต รวมถึงอนุญาตการทำ NAT Traversal และให้ผู้ดูแลเข้าถึงบริการจากเครือข่ายภายในเท่านั้นเช่น เพิ่ม/ลบ การ Mapping port เป็นต้น โดย UPnP มีการใช้งานประโยชน์จาก HTTP, SOAP และ XML เพื่อให้บริการ รายละเอียด กิจกรรม การส่งข้อมูล เหตุการณ์ต่างๆ เช่น การ Request และ Advertisement ผ่านทาง HTTP บน UDP พอร์ต 1900 (วีดีโออธิบายเรื่อง UPnP)

อย่างไรก็ตามมีงานวิจัยที่เผยถึงช่องโหว่ของ UPnP เกี่ยวกับว่า SOAP API สามารถถูกใช้เพื่อเข้าไปตั้งค่าอุปกรณ์ผ่าน WAN หรือ Execute คำสั่งในการเพิ่มพอร์ตของการ Mapping ได้ โดยสาเหตุที่ Imperva เกิดความสงสัยเนื่องจากระหว่างการบรรเทาการโจมตี SSDP Amplification (SSDP มีพื้นฐานจาก UPnP) นั้นดันไปพบกับพอร์ตที่ไม่คาดหวังเพราะไม่ใช่พอร์ต 1900 นั่นเอง ด้วยทั้งหมดที่กล่าวมาทีมวิจัยจึงเริ่มทดลองการโจมตีด้วยขั้นตอนดังนี้

  • สแกนหา Router ที่เปิด UPnP ไว้ (บ้านที่ใช้ CCTV หลายที่แนะนำทำด้วยวิธีนี้เช่นกัน) ด้วยการร้องขอ SSDP โดยอาจจะผ่านทางบริการออนไลน์ เช่น Shodan.io ซึ่งมีเราเตอร์กว่า 1.3 ล้านตัวจากการค้นหาแต่ไม่ใช่ทั้งหมดที่ได้รับผลกระทบ
  • เข้าถึงไฟล์ XML ของอุปกรณ์ (rootDesc.xml) ผ่านทาง HTTP โดยใช้ IP ที่หามาได้ ซึ่งภายในไฟล์ XML นี้จะประกอบไปด้วยลิสต์ของบริการ UPnP ทั้งหมดและอุปกรณ์
  • เปลี่ยนแปลงการ Forward พอร์ตผ่านทางคำสั่งโดย Imperva กล่าวว่า “สามารถสร้าง SOAP Request ขึ้นมาเพื่อสร้างกฏการ Forward โดยเปลี่ยนแปลงแพ็กเกจ UDP ทั้งหมดที่เข้ามาทางพอร์ต 1337 ไปยัง DNS Server ไอพี 3.3.3.3 ผ่านพอร์ต 53 ได้” ในขั้นตอนนี้เองตามความคาดหวังคือการ Mapping ควรทำได้แค่ระหว่าง IP ภายนอกและภายใน แต่เราเตอร์ส่วนใหญ่มักไม่ได้ตรวจสอบว่า IP ที่เข้ามาเป็น Internal จริงหรือไม่ทำให้มันสามารถกลายเป็น Proxy จาก IP ภายนอกไปยัง IP ภายนอกได้

ในการโจมตีจริงนั้นตอนที่เริ่มต้นเรียก DNS จะต้องมีการ Spoof เป็น IP เหยื่อเสียก่อนเพื่อให้ข้อมูลกลับไปยังเหยื่อตัวจริง“–Imperva สาเหตุที่การอำพรางพอร์ตสามารถหลบเลี่ยงการตรวจจับได้นั้นเพราะ Amplification DDoS Attack แบบเดิมใช้การสะท้อนข้อมูลอันตรายกับเซิร์ฟเวอร์ทางไกลไปยัง IP ของเหยื่อ อย่างไรก็ตามพอร์ตก็คงเดิมซึ่งฝ่ายป้องกันนั้นจับทางได้แล้ว ดังนั้นด้วยเทคนิคใหม่ที่กล่าวมาทำให้การโจมตีมีพอร์ตแบบสุ่มเพื่อหลบเลี่ยงการป้องกันแบบเดิมๆ ได้นั่นเอง

ที่มา : https://www.securityweek.com/new-ddos-attack-method-obfuscates-source-port-data และ https://www.bleepingcomputer.com/news/security/ddos-attacks-leverage-upnp-protocol-to-avoid-mitigation/  




About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Sponsored Webinar: รู้จักกับ Rubrik ระบบ Data Protection สำหรับ Hyperconverged & Cloud Era โดย Rubrik

Rubrik ขอเรียนเชิญเหล่า IT Manager, Systems Engineer และผู้ที่เกี่ยวข้องกับการดูแล Data Center ภายในองค์กรทุกท่าน เข้าร่วมฟัง TechTalk Webinar ในหัวข้อเรื่อง “รู้จักกับ …

Intel เข้าซื้อกิจการ Vertex.AI ผู้พัฒนา PlaidML ระบบ Deep Learning Engine ที่รองรับ GPU ทุกค่าย

Intel ได้ประกาศเข้าซื้อกิจการของ Vertex.AI บริษัท Startup ผู้พัฒนาเทคโนโลยี Deep Learning Engine ชื่อ PlaidML ภายใต้แนวคิด Deep Learning for …