BlackNurse Attack: ຄອມພິວເຕີເຄື່ອງດຽວກໍ່ສາມາດລົ້ມ Firewall ແລະ Server ໄດ້
ຂໍ້ມູນທົ່ວໄປ
ນັກວິໄຈດ້ານຄວາມໝັ້ນຄົງປອດໄພຈາກສູນ TDC Security Operation Center ພົບເຫັນເຕັກນິກການໂຈມຕີຮູບແບບໃໝ່ ທີ່ຊ່ວຍໃຫ້ແຮັກເກີ ເຊິ່ງມີຊັບພະຍາກອນຈຳກັດຄື ໂນດບຸກ (Notebook) 1 ເຄື່ອງ ແລະ ລິ້ງອິນເຕີເນັດຢ່າງຕ່ຳ 15 Mbps ສາມາດລົ້ມ Server ຫຼື Firewall ລະດັບໃຊ້ງານໃນອົງກອນຂະໜາດໃຫຍ່ໄດ້ຢ່າງງ່າຍດາຍ ໂດຍບໍ່ຈຳເປັນຕ້ອງໃຊ້ກອງທັບ IoT Botnet ແຕ່ຢ່າງໃດ.
ຜົນກະທົບ
BlackNurse ການໂຈມຕີ Ping of Death ແບບ Low-rate
ການໂຈມຕີດັ່ງກ່າວມີຊື່ວ່າ BlackNurse ຫຼື ກໍ່ຄື “Ping of Death” ແບບ Low-rate ຊຶ່ງເປັນເຕັກນິກການໂຈມຕີແບບ DoS ຂະໜາດນ້ອຍຫຼາຍໆເທື່ອ ຜ່ານການສົ່ງ ICMP Packet ແບບພິເສດ ເພື່ອໃຫ້ໜ່ວຍປະມວນຜົນ Server ແລະ Firewall ເຊັ່ນ Cisco ແລະ Palo Alto Networks ຮັບພາລະໜັກຈົນບໍ່ສາມາດໃຫ້ບໍລິການໄດ້ອີກຕໍ່ໄປ ໂດຍບໍ່ສົນໃຈຄຸນນະພາບການເຊື່ອມຕໍ່ອິນເຕີເນັດ.
ການໂຈມຕີແບບ BlackNurse ເອີ້ນໄດ້ວ່າເປັນເຕັກນິກການໂຈມຕີແບບດັ້ງເດີມທີ່ຮູ້ຈັກໃນຖານະການໂຈມຕີແບບ Ping Flood ໂດຍຈະໃຊ້ການຮ້ອງຂໍແບບ ICMP Type 3 (Destination Unreachable) Code 3 (Port Unreachable) ແທນ ICMP Type 8 Code 0 ແບບ Ping Flood ປົກກະຕິ ຊຶ່ງການສົ່ງຂໍ້ມູນ (Traffic) ມີຂະໜາດນ້ອຍຫຼາຍ ປະມານ 15 – 18 Mbps ຫຼື 40,000 – 50,000 Packets per second ເທົ່ານັ້ນ ແຕກຕ່າງຈາກ IoT-based DDoS Attack ທີ່ໂຈມຕີໂຮສຕິ້ງ (Hosting) ຝຣັ່ງ ມີຂະໜາດໃຫຍ່ເຖິງ 1.1 Tbps ໂດຍສິ້ນເຊີງ.
ລົ້ມ Firewall ໂດຍ ICMP Packet ຂະໜາດ 40K – 50K
ຢ່າງໃດກໍ່ຕາມ, ປະລິມານການສົ່ງຂໍ້ມູນບໍ່ແມ່ນປະເດັນສຳຄັນແຕ່ຢ່າງໃດ ນັກວິໄຈຈາກ TDC ລະບຸວ່າບັນຫາໃຫຍ່ຂອງການໂຈມຕີນີ້ຄືສະຕຣີມ (Stream) ຂອງ ICMP Packets ຂະໜາດ 40,000 – 50,000 Packets ຕໍ່ວິນາທີຕ່າງຫາກ, ເຊິ່ງດ້ວຍປະລິມານ Packet ເທົ່ານີ້ກໍ່ພຽງພໍຕໍ່ການລົ້ມອຸປະກອນໃນລະບົບເຄືອຂ່າຍທີ່ຕ້ອງການແລ້ວ.
“ຜົນກະທົບທີ່ພວກເຮົາເຫັນໃນ Firewall ຫຼາຍຍີ່ຫໍ້ຄື CPU Load ທີ່ສູງຜິດປົກກະຕິ ຂະນະການໂຈມຕີກຳລັງດຳເນີນໄປ ຜູ້ໃຊ້ຈາກພາຍໃນເຄືອຂ່າຍ LAN ຈະບໍ່ສາມາດຮັບສົ່ງການສົ່ງຂໍ້ມູນ ກັບອິນເຕີເນັດພາຍນອກໄດ້ Firewall ທຸກຍີ່ຫໍ້ຈະກັບມາໃຊ້ງານໄດ້ຕາມປົກກະຕິເມື່ອຢຸດການໂຈມຕີ” — TDC ລະບຸໃນລາຍງານ.
ນັ້ນໝາຍຄວາມວ່າການໂຈມຕີ BlackNurse ໃຊ້ໄດ້ຜົນດີີກັບອຸປະກອນໃນລະບົບເຄືອຂ່າຍບໍ່ວ່າຈະເປັນ Firewall ເນື່ອງຈາກການໂຈມຕີດັ່ງກ່າວບໍ່ແມ່ນການເຮັດ Flooding ດ້ວຍການສົ່ງຂໍ້ມູນປະລິມານມະຫາສານ ແຕ່ເປັນການເພີ່ມພາລະການເຮັດວຽກຂອງ CPU ຈະບໍ່ສາມາດໃຫ້ບໍລິການໄດ້ ເຖິງວ່າອຸປະກອນດັ່ງກ່າວຈະມີ Network Capacity ຂະໜາດໃຫຍ່ກໍ່ຕາມ.
ລະບົບທີ່ໄດ້ຮັບຜົນກະທົບ
ການໂຈມຕີແບບ BlackNurse ສົ່ງຜົນກະທົບຕໍ່ອຸປະກອນດັ່ງຕໍ່ໄປນີ້
- Cisco ASA 5506, 5515, 5525 (ຕັ້ງຄ່າດັ້ງເດີມຈາກໂຮງງານ)
- Cisco ASA 5550 ແລະ 5515-X
- Cisco Router 897
- SonicWall
- Palo Alto Networks ບາງຮຸ້ນ (ຍັງບໍ່ໄດ້ຮັບການຢືນຢັນຊັດເຈນ)
- Zyxel NWA3560-N (ໂຈມຕີຜ່ານ Wireless ຜ່ານທາງດ້ານ LAN)
- Zyxel Zywall USG50
ຂໍ້ແນະນຳໃນການປ້ອງກັນ ແລະ ແກ້ໄຂ
TDC ອອກ SNORT Rules ສຳລັບກວດຈັບການໂຈມຕີ BlackNurse ດັ່ງນີ້:
alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:”TDC-SOC – Possible BlackNurseattack from external source “; itype:3; icode:3; detection_filter:track by_dst, count 250, seconds 1; reference:url, soc.tdc.dk/blacknurse/blacknurse.pdf; metadata:TDC-SOC-CERT,18032016; priority:3; sid:88000012; rev:1; )
alert icmp $HOME_NET any -> $EXTERNAL_NET any (msg:”TDC-SOC –Possible BlackNurse attack from internal source”; itype:3; icode:3; detection_filter:track by_dst, count 250, seconds 1; reference:url, soc.tdc.dk/blacknurse/blacknurse.pdf; metadata:TDC-SOC-CERT,18032016; priority:3; sid:88000013; rev:1; )
ນອກຈາກນີ້ ຜູ້ເບິ່ງແຍງລະບົບສາມາດໃຊ້ໂຄ້ດ (Code) ຂອງທີມວິສະວະກອນຈາກ OVH ສຳລັບ PoC ການໂຈມຕີດັ່ງກ່າວໄດ້ ເຊິ່ງສາມາດດາວໂຫຼດໄດ້ຜ່ານທາງ GitHub.
ສຳລັບການປ້ອງກັນອຸປະກອນໃນລະບົບເຄືອຂ່າຍຈາກການໂຈມຕີແບບ BlackNurse ຜູ້ເບິ່ງແຍງລະບົບຄວນລະບຸແຫຼ່ງທີ່ມາທີ່ເຊື່ອຖືໄດ້ (Trusted Sources) ທີ່ອະນຸຍາດໃຫ້ສົ່ງ ICMP Packet ມາໄດ້. ຢ່າງໃດກໍ່ຕາມທີ່ດີທີ່ສຸດໃນການຮັບມືກັບການໂຈມຕີດັ່ງກ່າວຄືຍົກເລີກການໃຊ້ ICMP Type 3 Code 3 ທີ່ມາຈາກ WAN Interface.
ອ່ານລາຍງານການໂຈມຕີແບບ BlackNurse ສະບັບເຕັມໄດ້ທີ່: http://soc.tdc.dk/blacknurse/blacknurse.pdf
ເອກະສານອ້າງອີງ:
ລາຍການຮູບ
