Oh no! Where's the JavaScript?
Your Web browser does not have JavaScript enabled or does not support JavaScript. Please enable JavaScript on your Web browser to properly view this Web site, or upgrade to a Web browser that does support JavaScript.

ລາວເຊີດລາວເຊີດລາວເຊີດ

ແຈ້ງເຕືອນ

BlackNurse Attack: ຄອມພິວເຕີ​ເຄື່ອງ​ດຽວ​ກໍ່ສາມາດລົ້ມ​ Firewall ແລະ​ Server ໄດ້​

BlackNurse Attack: ຄອມພິວເຕີ​ເຄື່ອງ​ດຽວ​ກໍ່ສາມາດລົ້ມ​ Firewall ແລະ​ Server ໄດ້​

ຂໍ້ມູນທົ່ວໄປ

ນັກ​ວິ​ໄຈດ້ານ​ຄວາມໝັ້ນຄົງ​ປອດ​ໄພ​ຈາກ​ສູນ​ TDC Security Operation Center ພົບເຫັນ​ເຕັກ​ນິກ​ການ​ໂຈມ​ຕີ​ຮູບ​ແບບ​ໃໝ່​ ທີ່​ຊ່ວຍ​ໃຫ້​ແຮັກ​ເກີ​ ເຊິ່ງ​ມີຊັບພະຍາກອນ​ຈຳ​ກັດ​ຄື​ ໂນດ​ບຸກ​ (Notebook) 1 ເຄື່ອງ​ ແລະ ລິ້ງອິນເຕີເນັດຢ່າງ​ຕ່ຳ​ 15 Mbps ສາມາດ​ລົ້ມ​ Server ຫຼື​ Firewall ລະ​ດັບ​ໃຊ້​ງານ​ໃນ​ອົງ​ກອນ​ຂະໜາດ​ໃຫຍ່​ໄດ້​ຢ່າງ​ງ່າຍ​ດາຍ​ ໂດຍ​ບໍ່​ຈຳ​ເປັນ​ຕ້ອງ​ໃຊ້​ກອງທັບ​ IoT Botnet ແຕ່​ຢ່າງ​ໃດ​.




ຜົນກະທົບ

BlackNurse ການ​ໂຈມ​ຕີ​ Ping of Death ແບບ​ Low-rate

ການ​ໂຈມ​ຕີ​ດັ່ງ​ກ່າວ​ມີ​ຊື່​ວ່າ​ BlackNurse ຫຼື ກໍ່ຄື​ Ping of Death” ແບບ​ Low-rate ຊຶ່ງ​ເປັນ​ເຕັກ​ນິກ​ການ​ໂຈມ​ຕີ​ແບບ​ DoS ຂະໜາດ​ນ້ອຍ​ຫຼາຍ​ໆ​ເທື່ອ​ ຜ່ານ​ການ​ສົ່ງ​ ICMP Packet ແບບ​ພິເສດ​ ເພື່ອ​ໃຫ້​ໜ່ວຍ​ປະມວນ​ຜົ​ນ​ Server ແລະ​ Firewall ເຊັ່ນ​ Cisco ແລະ​ Palo Alto Networks ຮັບ​ພາລະ​ໜັກ​ຈົນ​ບໍ່​ສາມາດ​ໃຫ້​ບໍລິການ​ໄດ້​ອີກ​ຕໍ່ໄປ​ ໂດຍ​ບໍ່​ສົນ​ໃຈ​ຄຸນນະພາບ​ການ​ເຊື່ອມ​ຕໍ່​ອິນ​ເຕີເນັດ​.

ການ​ໂຈມ​ຕີ​ແບບ​ BlackNurse ເອີ້ນໄດ້​ວ່າ​ເປັນ​ເຕັກ​ນິກ​ການ​ໂຈມ​ຕີ​ແບບ​ດັ້ງ​ເດີມ​ທີ່​ຮູ້​ຈັກ​ໃນ​ຖານະ​ການ​ໂຈມ​ຕີ​ແບບ​ Ping Flood ໂດຍ​ຈະ​ໃຊ້​ການ​ຮ້ອງ​ຂໍ​ແບບ​ ICMP Type 3 (Destination Unreachable) Code 3 (Port Unreachable) ແທນ​ ICMP Type 8 Code 0 ແບບ​ Ping Flood ປົກກະຕິ​ ຊຶ່ງ​ການສົ່ງຂໍ້ມູນ (Traffic) ​ມີ​ຂະໜາດ​ນ້ອຍຫຼາຍ​ ປະ​ມານ​ 15 – 18 Mbps ຫຼື 40,000 – 50,000 Packets per second ເທົ່າ​ນັ້ນ​ ແຕກ​ຕ່າງ​ຈາກ​ IoT-based DDoS Attack ທີ່​ໂຈມຕີໂຮສຕິ້ງ (Hosting) ຝຣັ່ງ ມີ​ຂະໜາດ​ໃຫຍ່​ເຖິງ​ 1.1 Tbps ໂດຍ​ສິ້ນ​ເຊີງ​.

ລົ້ມ Firewall ໂດຍ ICMP Packet ຂະໜາດ 40K – 50K

ຢ່າງໃດ​ກໍ່​ຕາມ​, ປະລິມານ​ການສົ່ງຂໍ້ມູນ​ບໍ່​ແມ່ນ​ປະ​ເດັນ​ສຳຄັນ​ແຕ່​ຢ່າງ​ໃດ​ ນັກ​ວິ​ໄຈ​ຈາກ​ TDC ລະ​ບຸ​ວ່າ​ບັນຫາ​ໃຫຍ່​ຂອງ​ການ​ໂຈມ​ຕີ​ນີ້​ຄື​ສະຕຣີມ (Stream) ຂອງ​ ICMP Packets ຂະໜາດ​ 40,000 – 50,000 Packets ຕໍ່​ວິ​ນາ​ທີ​ຕ່າງ​ຫາກ​, ເຊິ່ງ​ດ້ວຍ​ປະລິມານ​ Packet ເທົ່າ​ນີ້​ກໍ່​ພຽງ​ພໍ​ຕໍ່​ການລົ້ມ​ອຸປະກອນ​ໃນລະບົບ​ເຄືອ​ຂ່າຍ​ທີ່​ຕ້ອງ​ການ​ແລ້ວ​.

ຜົນ​ກະທົບ​ທີ່​ພວກ​ເຮົາ​ເຫັນ​ໃນ Firewall ຫຼາຍ​ຍີ່ຫໍ້​ຄື ​CPU Load ທີ່​ສູງ​ຜິດ​ປົກກະຕິ​ ຂະນະ​ການ​ໂຈມ​ຕີ​ກຳ​ລັງ​ດຳ​ເນີນ​ໄປ​ ຜູ້​ໃຊ້​ຈາກ​ພາຍ​ໃນ​ເຄືອ​ຂ່າຍ​ LAN ຈະ​ບໍ່​ສາມາດ​ຮັບ​ສົ່ງ​ການສົ່ງຂໍ້ມູນ ກັບ​ອິນ​ເຕີເນັດ​ພາຍນອກ​ໄດ້​ Firewall ທຸກ​ຍີ່ຫໍ້​ຈະ​ກັບ​ມາ​ໃຊ້​ງານ​ໄດ້​ຕາມ​ປົກກະຕິ​ເມື່ອ​ຢຸດ​ການ​ໂຈມ​ຕີ​” — TDC ລະ​ບຸ​ໃນ​ລາຍ​ງານ​.

ນັ້ນ​ໝາຍ​ຄວາມ​ວ່າ​ການ​ໂຈມ​ຕີ​ BlackNurse ໃຊ້​ໄດ້​ຜົນ​ດີີ​ກັບ​ອຸປະກອນ​ໃນລະບົບ​ເຄືອ​ຂ່າຍ​ບໍ່​ວ່າຈະເປັນ Firewall ເນື່ອງ​ຈາກ​ການ​ໂຈມ​ຕີ​ດັ່ງ​ກ່າວ​ບໍ່​ແມ່ນ​ການເຮັດ​ Flooding ດ້ວຍ​ການສົ່ງຂໍ້ມູນປະລິມານ​ມະຫາ​ສານ​ ແຕ່​ເປັນ​ການ​ເພີ່ມ​ພາລະ​ການ​ເຮັດ​ວຽກຂອງ​ CPU ຈະ​ບໍ່​ສາມາດ​ໃຫ້​ບໍລິການ​ໄດ້​ ເຖິງວ່າ​ອຸປະກອນ​ດັ່ງ​ກ່າວ​ຈະ​ມີ​ Network Capacity ຂະໜາດ​ໃຫຍ່​ກໍ່ຕາມ.​

ລະບົບທີ່ໄດ້ຮັບຜົນກະທົບ

ການ​ໂຈມ​ຕີ​ແບບ​ BlackNurse ສົ່ງ​ຜົນ​ກະທົບ​ຕໍ່​ອຸປະກອນ​ດັ່ງ​ຕໍ່ໄປ​ນີ້​

  • Cisco ASA 5506, 5515, 5525 (ຕັ້ງ​ຄ່າ​ດັ້ງ​ເດີມ​ຈາກ​ໂຮງ​ງານ​)
  • Cisco ASA 5550 ແລະ​ 5515-X
  • Cisco Router 897
  • SonicWall
  • Palo Alto Networks ບາງ​ຮຸ້ນ​ (ຍັງ​ບໍ່​ໄດ້ຮັບ​ການ​ຢືນຢັນ​ຊັດເຈນ​)
  • Zyxel NWA3560-N (ໂຈມ​ຕີ​ຜ່ານ​ Wireless ຜ່ານ​ທາງດ້ານ​ LAN)
  • Zyxel Zywall USG50

ຂໍ້ແນະນຳໃນການປ້ອງກັນ ແລະ ແກ້ໄຂ

TDC ອອກ​ SNORT Rules ສຳລັບ​ກວດ​ຈັບ​ການ​ໂຈມ​ຕີ​ BlackNurse ດັ່ງ​ນີ້​:

alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:”TDC-SOC – Possible BlackNurseattack from external source “; itype:3; icode:3; detection_filter:track by_dst, count 250, seconds 1; reference:url, soc.tdc.dk/blacknurse/blacknurse.pdf; metadata:TDC-SOC-CERT,18032016; priority:3; sid:88000012; rev:1; )

alert icmp $HOME_NET any -> $EXTERNAL_NET any (msg:”TDC-SOC –Possible BlackNurse attack from internal source”; itype:3; icode:3; detection_filter:track by_dst, count 250, seconds 1; reference:url, soc.tdc.dk/blacknurse/blacknurse.pdf; metadata:TDC-SOC-CERT,18032016; priority:3; sid:88000013; rev:1; )

ນອກ​ຈາກ​ນີ້​ ຜູ້​ເບິ່ງ​ແຍງ​ລະບົບ​ສາມາດ​ໃຊ້​ໂຄ້ດ​ (Code) ຂອງ​ທີມ​ວິສະວະກອນຈາກ​ OVH ສຳລັບ​ PoC ການ​ໂຈມ​ຕີ​ດັ່ງ​ກ່າວ​ໄດ້​ ເຊິ່ງ​ສາມາດ​ດາວ​ໂຫຼດ​ໄດ້​ຜ່ານ​ທາງ​ GitHub.

ສຳລັບ​ການ​ປ້ອງ​ກັນ​ອຸປະກອນ​ໃນລະບົບ​ເຄືອ​ຂ່າຍ​ຈາກ​ການ​ໂຈມ​ຕີ​ແບບ​ BlackNurse ຜູ້​ເບິ່ງ​ແຍງ​ລະບົບ​ຄວນ​ລະ​ບຸ​ແຫຼ່ງທີ່ມາທີ່ເຊື່ອຖືໄດ້ (Trusted Sources) ທີ່​ອະນຸຍາດ​ໃຫ້​ສົ່ງ​ ICMP Packet ມາ​ໄດ້​. ຢ່າງໃດ​ກໍ່​ຕາມທີ່​ດີ​ທີ່ສຸດ​ໃນ​ການ​ຮັບ​ມື​ກັບ​ການ​ໂຈມ​ຕີ​ດັ່ງ​ກ່າວ​ຄືຍົກ​ເລີກ​ການ​ໃຊ້​ ICMP Type 3 Code 3 ທີ່​ມາ​ຈາກ​ WAN Interface.

ອ່ານ​ລາຍ​ງານ​ການ​ໂຈມ​ຕີ​ແບບ​ BlackNurse ສະບັບ​ເຕັມ​ໄດ້​ທີ່​: http://soc.tdc.dk/blacknurse/blacknurse.pdf

ລາຍ​ລະອຽດ​ລົງເລິກ​ຈາກ​ NETRESEC: http://www.netresec.com/?page=Blog&month=2016-11&post=BlackNurse-Denial-of-Service-Attack

 

ເອກະສານອ້າງອີງ:

  1. https://www.techtalkthai.com/blacknurse-dos-attack-server-firewalls/

ລາຍການຮູບ

Porher 22 November 2016 915 Print