DTLS 서버를 악용하여 공격을 증폭시키는 DDoS booter

 

 

DDoS booters now abuse DTLS servers to amplify attacks

 

서비스형 DDoS에서 DDoS 공격을 증폭시키기 위해 잘못 구성되었거나 오래된 DTLS(Datagram Transport Layer Security) 서버를 악용하고 있는 것으로 나타났습니다.

 

DTLS는 UDP 기반 TLS 프로토콜로 딜레이에 민감한 앱 및 서비스에서 도청 및 변조를 방지합니다.

 

단일 및 다중 벡터 DDoS 공격에서 이미 악용돼

 

12월 공개된 보고서에 따르면, 한 DDoS 공격이 취약한 Citrix ADC 기기에서 트래픽을 증폭시키기 위해 DTLS를 사용했습니다. 해당 기기는 이러한 악용을 통한 공격을 차단하기 위해 설계된 ‘HelloClientVerify’ 안티 스푸핑 메커니즘 없이 DTLS 구성을 사용하고 있었습니다.

 

독일의 DDoS 보호 업체인 Link11은 DTLS를 사용한 DDoS 공격은 증폭 계수 35에 도달할 수 있다고 밝혔으며, Netscout은 증폭률이 37.34:1이라 밝혔습니다.

 

하지만 2달 후 Netscout는 인터넷상에서 접근이 가능한 DTLS 서버가 약 4,200대 이상이라고 밝히며 반사/증폭 DDoS 공격에 악용될 가능성이 높다고 밝혔습니다.

 

Netscout 측은 최대 44.6 Gbps 단일 벡터 DTLS 증폭 DDoS 공격과 최대 206.9 Gbps의 다중 벡터 공격을 목격했습니다.

 

DDoS booter 서비스에서 사용해

 

Stresser, booter로 알려진 서비스형 DDoS 플랫폼에서도 이제 공격자가 DTLS를 증폭 벡터로 사용하기 시작했습니다.

 

Booter 서비스는 주로 투자할 시간이 없거나 자체 DDoS 인프라를 구축할 능력이 없는 공격자, 핵티비스트 또는 그저 장난을 좋아하는 사람들이 사용합니다.

 

이들은 Stresser 서비스를 대여해 타깃 서버나 사이트를 다운시키거나, 다양한 수준의 방해를 유발하는 서비스 거부 상태(DoS)를 촉발시키는 DDoS 공격을 실행합니다.

 

“새로운 DDoS 공격 벡터와 같이 맞춤형 DDoS 공격 인프라에 접근이 가능한 수준 높은 공격자를 고용하고 DTLS 반사/증폭을 무기화해 서비스형 DDoS인 ‘booter/stresser’의 무기고에 추가하여 일반적인 공격자 집단이 사용할 수 있었습니다.”

 

관리자가 이러한 공격을 완화하기 위해서는 인터넷에 노출된 서버에서 불필요한 DTLS 서비스를 비활성화 하거나 HelloVerifyRequest 안티스푸핑 메커니즘을 통해 DTLS 증폭 벡터를 제거하도록 패치할 수 있습니다.

 

DHS-CISA는 DDoS 공격을 탐지하는 방법과 공격을 받을 경우 취해야하는 조치에 대한 지침을 공개했습니다.

 

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/ddos-booters-now-abuse-dtls-servers-to-amplify-attacks/

https://www.netscout.com/blog/asert/datagram-transport-layer-security-dtls-reflectionamplification

https://us-cert.cisa.gov/ncas/tips/ST04-015