UPnP프로토콜을 이용한 DDoS 공격 주의! DDoS 보안장비도 우회 가능

최근 보안 연구원들은 해커들이 DDoS 보안장비를 우회하기 위해 새로운 공격 수단, 즉 UPnP 프로토콜을 이용한다는 점을 확인하였습니다. 

어떻게 UPnP( Universal Plug and Play ) 프로토콜을 이용하나?

<이미지 출처 : https://www.bleepingcomputer.com/news/security/ddos-attacks-leverage-upnp-protocol-to-avoid-mitigation/>

문제는 UPnP 프로토콜에 있습니다. 

UPnP 프로토콜은 홈 네트워크에 있는 네트워크 장치들이 서로 연동될 수 있도록 하는 범용 표준 프로토콜로, 네트워크에 연결될 수 있는 정보들을 홈 네트워크로 전달, 즉 연결 정보를 홈 네트워크에 매핑 시켜주는 기능을 갖고 있습니다. 

이 기능은 NAT를 우회할 때 사용될 수도 있으며, 네트워크 관리자들이 원격에서 내부망의 서비스에 접근할 때 사용되기도 합니다. 

그러나 Imperva 연구자들은 "실제로 제공된 내부 IP가 실제로 내부적이며 모든 전달 규칙을 준수하는지 확인하기는 어렵다"고 말했습니다.

이는 즉, 만약 공격자가 포트의 매핑 테이블을 감염시킨다면, 공격자는 라우터를 프록시처럼 활용하며, 그 IP를 리다이렉션 시킬 수 있다는 것입니다. 

실제로, UPnP를 이용한 공격은 새로운 것이 아닙니다. Akamai역시 UPnProxy라고 명명된 공격을 소개한 적도 있습니다. 

UPnProxy로 무엇을 할 수 있나?

이 기술은 DDoS 공격에 사용될 수 있으며, 그 사용 목적은 증폭 공격(반사공격이라고도 부름)의 Source port를 숨기는데 있습니다. 

증폭공격에서 공격자가 발송한 패킷들은 가짜 IP를 통해 희생자에게 전송되어야 합니다. 

전통적인 DDoS 증폭공격 중, Source port는 항상 공격을 증폭시키는 서비스의 포트 입니다. 예를들어, DNS 증폭 공격의 경우 DNS 서버에서 나온 패킷의 Source port는 53번이며, NTP 증폭공격의 Source port는 123번 입니다. 

기본적으로 이러한 원리로 공격이 진행되기 때문에, DDOS 장비들은 지정된 Soure port를 차단함으로서 공격을 저지할 수 있는 것입니다. 

하지만 만약 공격자가 UPnProxy를 사용한다면, 매핑테이블의 포트를 바꿀 수 있으며, 랜덤으로 매핑테이블 포트를 바꿀 수 있기 때문에 DDoS 장비들의 우회가 가능한 것입니다. 

Imperva 연구원은 PoC 스크립트를 공개를 통해 DDoS 공격을 재현히 보기도 하였습니다. 

이 PoC 코드를 이용하면 rootDesc.xml 파일이 공개되어 있는 라우터들을 찾을 수 있습니다. 이 문서에는 매핑 테이블 설정 내용이 포함되어 있으며, 스크립트를 이용하여 숨겨진 Source port에 임의로 설정한 Source ip 규칙을 몰래 추가한 후 DDoS 증폭 공격을 진행할 수 있습니다. 

UPnP 프로토콜을 이용하여 DDoS 공격을 진행하면 만족스러운 효과를 얻을 수 있기 때문에, 이 방법은 해커들의 큰 관심을 받을것입니다. 

그렇기 때문에 사용자들은, 자신의 라우터가 DDoS 공격에 사용되지 않도록 UPnP 기능을 비활성화 시켜 놓아야 하겠습니다. 

출처 :

https://www.bleepingcomputer.com/news/security/ddos-attacks-leverage-upnp-protocol-to-avoid-mitigation/