ແຈ້ງເຕືອນແລະຂໍ້ແນະນຳສຳຫລັບຊຽ່ວຊານ

BlackNurse Attack: ຄອມພິວເຕີ​ເຄື່ອງ​ດຽວ​ກໍ່ສາມາດລົ້ມ​ Firewall ແລະ​ Server ໄດ້​ 

ຂໍ້ມູນທົ່ວໄປ

ນັກ​ວິ​ໄຈດ້ານ​ຄວາມໝັ້ນຄົງ​ປອດ​ໄພ​ຈາກ​ສູນ​ TDC Security Operation Center ພົບເຫັນ​ເຕັກ​ນິກ​ການ​ໂຈມ​ຕີ​ຮູບ​ແບບ​ໃໝ່​ ທີ່​ຊ່ວຍ​ໃຫ້​ແຮັກ​ເກີ​ ເຊິ່ງ​ມີຊັບພະຍາກອນ​ຈຳ​ກັດ​ຄື​ ໂນດ​ບຸກ​ (Notebook) 1 ເຄື່ອງ​ ແລະ ລິ້ງອິນເຕີເນັດຢ່າງ​ຕ່ຳ​ 15 Mbps ສາມາດ​ລົ້ມ​ Server ຫຼື​ Firewall ລະ​ດັບ​ໃຊ້​ງານ​ໃນ​ອົງ​ກອນ​ຂະໜາດ​ໃຫຍ່​ໄດ້​ຢ່າງ​ງ່າຍ​ດາຍ​ ໂດຍ​ບໍ່​ຈຳ​ເປັນ​ຕ້ອງ​ໃຊ້​ກອງທັບ​ IoT Botnet ແຕ່​ຢ່າງ​ໃດ​.

News Images: blacknurse.jpg

ຜົນກະທົບ

BlackNurse ການ​ໂຈມ​ຕີ​ Ping of Death ແບບ​ Low-rate

ການ​ໂຈມ​ຕີ​ດັ່ງ​ກ່າວ​ມີ​ຊື່​ວ່າ​ BlackNurse ຫຼື ກໍ່ຄື​ Ping of Death” ແບບ​ Low-rate ຊຶ່ງ​ເປັນ​ເຕັກ​ນິກ​ການ​ໂຈມ​ຕີ​ແບບ​ DoS ຂະໜາດ​ນ້ອຍ​ຫຼາຍ​ໆ​ເທື່ອ​ ຜ່ານ​ການ​ສົ່ງ​ ICMP Packet ແບບ​ພິເສດ​ ເພື່ອ​ໃຫ້​ໜ່ວຍ​ປະມວນ​ຜົ​ນ​ Server ແລະ​ Firewall ເຊັ່ນ​ Cisco ແລະ​ Palo Alto Networks ຮັບ​ພາລະ​ໜັກ​ຈົນ​ບໍ່​ສາມາດ​ໃຫ້​ບໍລິການ​ໄດ້​ອີກ​ຕໍ່ໄປ​ ໂດຍ​ບໍ່​ສົນ​ໃຈ​ຄຸນນະພາບ​ການ​ເຊື່ອມ​ຕໍ່​ອິນ​ເຕີເນັດ​.

ການ​ໂຈມ​ຕີ​ແບບ​ BlackNurse ເອີ້ນໄດ້​ວ່າ​ເປັນ​ເຕັກ​ນິກ​ການ​ໂຈມ​ຕີ​ແບບ​ດັ້ງ​ເດີມ​ທີ່​ຮູ້​ຈັກ​ໃນ​ຖານະ​ການ​ໂຈມ​ຕີ​ແບບ​ Ping Flood ໂດຍ​ຈະ​ໃຊ້​ການ​ຮ້ອງ​ຂໍ​ແບບ​ ICMP Type 3 (Destination Unreachable) Code 3 (Port Unreachable) ແທນ​ ICMP Type 8 Code 0 ແບບ​ Ping Flood ປົກກະຕິ​ ຊຶ່ງ​ການສົ່ງຂໍ້ມູນ (Traffic) ​ມີ​ຂະໜາດ​ນ້ອຍຫຼາຍ​ ປະ​ມານ​ 15 – 18 Mbps ຫຼື 40,000 – 50,000 Packets per second ເທົ່າ​ນັ້ນ​ ແຕກ​ຕ່າງ​ຈາກ​ IoT-based DDoS Attack ທີ່​ໂຈມຕີໂຮສຕິ້ງ (Hosting) ຝຣັ່ງ ມີ​ຂະໜາດ​ໃຫຍ່​ເຖິງ​ 1.1 Tbps ໂດຍ​ສິ້ນ​ເຊີງ​.

ລົ້ມ Firewall ໂດຍ ICMP Packet ຂະໜາດ 40K – 50K

ຢ່າງໃດ​ກໍ່​ຕາມ​, ປະລິມານ​ການສົ່ງຂໍ້ມູນ​ບໍ່​ແມ່ນ​ປະ​ເດັນ​ສຳຄັນ​ແຕ່​ຢ່າງ​ໃດ​ ນັກ​ວິ​ໄຈ​ຈາກ​ TDC ລະ​ບຸ​ວ່າ​ບັນຫາ​ໃຫຍ່​ຂອງ​ການ​ໂຈມ​ຕີ​ນີ້​ຄື​ສະຕຣີມ (Stream) ຂອງ​ ICMP Packets ຂະໜາດ​ 40,000 – 50,000 Packets ຕໍ່​ວິ​ນາ​ທີ​ຕ່າງ​ຫາກ​, ເຊິ່ງ​ດ້ວຍ​ປະລິມານ​ Packet ເທົ່າ​ນີ້​ກໍ່​ພຽງ​ພໍ​ຕໍ່​ການລົ້ມ​ອຸປະກອນ​ໃນລະບົບ​ເຄືອ​ຂ່າຍ​ທີ່​ຕ້ອງ​ການ​ແລ້ວ​.

ຜົນ​ກະທົບ​ທີ່​ພວກ​ເຮົາ​ເຫັນ​ໃນ Firewall ຫຼາຍ​ຍີ່ຫໍ້​ຄື ​CPU Load ທີ່​ສູງ​ຜິດ​ປົກກະຕິ​ ຂະນະ​ການ​ໂຈມ​ຕີ​ກຳ​ລັງ​ດຳ​ເນີນ​ໄປ​ ຜູ້​ໃຊ້​ຈາກ​ພາຍ​ໃນ​ເຄືອ​ຂ່າຍ​ LAN ຈະ​ບໍ່​ສາມາດ​ຮັບ​ສົ່ງ​ການສົ່ງຂໍ້ມູນ ກັບ​ອິນ​ເຕີເນັດ​ພາຍນອກ​ໄດ້​ Firewall ທຸກ​ຍີ່ຫໍ້​ຈະ​ກັບ​ມາ​ໃຊ້​ງານ​ໄດ້​ຕາມ​ປົກກະຕິ​ເມື່ອ​ຢຸດ​ການ​ໂຈມ​ຕີ​” — TDC ລະ​ບຸ​ໃນ​ລາຍ​ງານ​.

ນັ້ນ​ໝາຍ​ຄວາມ​ວ່າ​ການ​ໂຈມ​ຕີ​ BlackNurse ໃຊ້​ໄດ້​ຜົນ​ດີີ​ກັບ​ອຸປະກອນ​ໃນລະບົບ​ເຄືອ​ຂ່າຍ​ບໍ່​ວ່າຈະເປັນ Firewall ເນື່ອງ​ຈາກ​ການ​ໂຈມ​ຕີ​ດັ່ງ​ກ່າວ​ບໍ່​ແມ່ນ​ການເຮັດ​ Flooding ດ້ວຍ​ການສົ່ງຂໍ້ມູນປະລິມານ​ມະຫາ​ສານ​ ແຕ່​ເປັນ​ການ​ເພີ່ມ​ພາລະ​ການ​ເຮັດ​ວຽກຂອງ​ CPU ຈະ​ບໍ່​ສາມາດ​ໃຫ້​ບໍລິການ​ໄດ້​ ເຖິງວ່າ​ອຸປະກອນ​ດັ່ງ​ກ່າວ​ຈະ​ມີ​ Network Capacity ຂະໜາດ​ໃຫຍ່​ກໍ່ຕາມ.​

ລະບົບທີ່ໄດ້ຮັບຜົນກະທົບ

ການ​ໂຈມ​ຕີ​ແບບ​ BlackNurse ສົ່ງ​ຜົນ​ກະທົບ​ຕໍ່​ອຸປະກອນ​ດັ່ງ​ຕໍ່ໄປ​ນີ້​

  • Cisco ASA 5506, 5515, 5525 (ຕັ້ງ​ຄ່າ​ດັ້ງ​ເດີມ​ຈາກ​ໂຮງ​ງານ​)
  • Cisco ASA 5550 ແລະ​ 5515-X
  • Cisco Router 897
  • SonicWall
  • Palo Alto Networks ບາງ​ຮຸ້ນ​ (ຍັງ​ບໍ່​ໄດ້ຮັບ​ການ​ຢືນຢັນ​ຊັດເຈນ​)
  • Zyxel NWA3560-N (ໂຈມ​ຕີ​ຜ່ານ​ Wireless ຜ່ານ​ທາງດ້ານ​ LAN)
  • Zyxel Zywall USG50

ຂໍ້ແນະນຳໃນການປ້ອງກັນ ແລະ ແກ້ໄຂ

TDC ອອກ​ SNORT Rules ສຳລັບ​ກວດ​ຈັບ​ການ​ໂຈມ​ຕີ​ BlackNurse ດັ່ງ​ນີ້​:

alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:”TDC-SOC – Possible BlackNurseattack from external source “; itype:3; icode:3; detection_filter:track by_dst, count 250, seconds 1; reference:url, soc.tdc.dk/blacknurse/blacknurse.pdf; metadata:TDC-SOC-CERT,18032016; priority:3; sid:88000012; rev:1;)

alert icmp $HOME_NET any -> $EXTERNAL_NET any (msg:”TDC-SOC –Possible BlackNurse attack from internal source”; itype:3; icode:3; detection_filter:track by_dst, count 250, seconds 1; reference:url, soc.tdc.dk/blacknurse/blacknurse.pdf; metadata:TDC-SOC-CERT,18032016; priority:3; sid:88000013; rev:1;)

ນອກ​ຈາກ​ນີ້​ ຜູ້​ເບິ່ງ​ແຍງ​ລະບົບ​ສາມາດ​ໃຊ້​ໂຄ້ດ​ (Code) ຂອງ​ທີມ​ວິສະວະກອນຈາກ​ OVH ສຳລັບ​ PoC ການ​ໂຈມ​ຕີ​ດັ່ງ​ກ່າວ​ໄດ້​ ເຊິ່ງ​ສາມາດ​ດາວ​ໂຫຼດ​ໄດ້​ຜ່ານ​ທາງ​ GitHub.

ສຳລັບ​ການ​ປ້ອງ​ກັນ​ອຸປະກອນ​ໃນລະບົບ​ເຄືອ​ຂ່າຍ​ຈາກ​ການ​ໂຈມ​ຕີ​ແບບ​ BlackNurse ຜູ້​ເບິ່ງ​ແຍງ​ລະບົບ​ຄວນ​ລະ​ບຸ​ແຫຼ່ງທີ່ມາທີ່ເຊື່ອຖືໄດ້ (Trusted Sources) ທີ່​ອະນຸຍາດ​ໃຫ້​ສົ່ງ​ ICMP Packet ມາ​ໄດ້​. ຢ່າງໃດ​ກໍ່​ຕາມທີ່​ດີ​ທີ່ສຸດ​ໃນ​ການ​ຮັບ​ມື​ກັບ​ການ​ໂຈມ​ຕີ​ດັ່ງ​ກ່າວ​ຄືຍົກ​ເລີກ​ການ​ໃຊ້​ ICMP Type 3 Code 3 ທີ່​ມາ​ຈາກ​ WAN Interface.

ອ່ານ​ລາຍ​ງານ​ການ​ໂຈມ​ຕີ​ແບບ​ BlackNurse ສະບັບ​ເຕັມ​ໄດ້​ທີ່​: http://soc.tdc.dk/blacknurse/blacknurse.pdf

ລາຍ​ລະອຽດ​ລົງເລິກ​ຈາກ​ NETRESEC: http://www.netresec.com/?page=Blog&month=2016-11&post=BlackNurse-Denial-of-Service-Attack

 

ເອກະສານອ້າງອີງ:

  1. https://www.techtalkthai.com/blacknurse-dos-attack-server-firewalls/