상세 컨텐츠

본문 제목

해커들, TCP Middlebox 반사 무기화를 통한 증폭된 DDoS 공격 실행해

국내외 보안동향

by 알약4 2022. 3. 3. 09:00

본문

Hackers Begin Weaponizing TCP Middlebox Reflection for Amplified DDoS Attacks

 

‘TCP 미들박스 반사(TCP Middlebox Reflection)’라는 새로운 증폭 기술을 활용하는 DDoS 공격이 발견되었습니다. 이 공격은 새로운 공격 메커니즘에 대한 이론이 나온지 6개월 만에 처음으로 탐지되었습니다.

 

Akamai 연구원들은 지난 화요일 보고서를 발표해 아래와 같이 밝혔습니다.

 

"이 공격은 취약한 방화벽과 콘텐츠 필터링 시스템을 악용해 피해자 시스템에 대한 TCP 트래픽을 반사 및 증폭시켜 강력한 DDoS 공격을 생성해 냅니다."

 

"이러한 공격 유형은 DDoS 공격의 난이도를 위험할 정도로 낮춥니다. 공격자는 경우에 따라 1/75만큼 적은 대역폭을 필요로 하기 때문입니다.”

 

분산 반사 서비스 거부(DRDoS)는 공개적으로 접근이 가능한 UDP 서버와 대역폭 증폭 계수(BAF)를 사용하여 대량의 UDP를 통해 피해자의 시스템을 과부하시키는 DDoS 공격의 한 형태입니다.

 

공격자는 위조된 소스 IP 주소를 포함하는 DNS flood 또는 NTP 요청을 타깃 자산으로 전송해 타깃 서버가 타깃 서버에 발행된 대역폭을 소진하는 증폭된 방식으로 스푸핑된 주소에 있는 호스트에 응답을 다시 전달하도록 합니다.

 

 

< 이미지 출처 : https://thehackernews.com/2022/03/hackers-begin-weaponizing-tcp-middlebox.html>

 

 

이 공격은 지난 2021 8월에 발표된 미들박스 및 검열 인프라에서 TCP 프로토콜 구현에 존재하는 취약점을 악용하여 타깃에 반사된 DoS 증폭 공격을 수행하는 새로운 공격 벡터에 관한 연구 이후로 발생했습니다.

 

연결이 필요없는 프로토콜의 특성으로 인해, 일반적으로 DoS 증폭 공격에서는 UDP 반사 벡터를 악용했지만 이 새로운 공격 기술은 TCP 기반 반사 증폭 공격을 준비하기 위해 DPI(심층 패킷 검사) 툴을 이용합니다.

 

이 기술을 악용하는 것으로 발견된 공격 캠페인의 첫 웨이브는 2 17일경 발생했습니다. 이는 은행, 여행, 게임, 미디어, 웹 호스팅 산업 등 다양한 분야의 Akamai 고객에게 초당 150만 패킷(Mpps)에서 11Gbps의 높은 트래픽을 퍼부었습니다.

 

Akamai의 보안 인텔리전스 연구 팀(SIRT)의 책임자인 Chad Seaman은 아래와 같이 전했습니다.

 

"이 벡터는 공격 규모가 서서히 증가하면서 단독으로, 다중 벡터 캠페인의 일부로 사용되는 것으로 나타났습니다."

 

TCP 기반 반사 공격의 핵심 아이디어는 특수하게 조작된 TCP 패킷을 전송해 체적 응답을 촉발시켜 검열 및 기업용 콘텐츠 필터링 정책에 사용되는 미들박스를 활용하는 것입니다.

 

실제로 해당 클라우드 보안 회사에서 발견한 공격 중 하나에서 33바이트 페이로드가 포함된 단일 SYN 패킷이 2,156바이트 상당의 응답을 트리거해 65(6,533%)의 증폭 계수를 효과적으로 달성할 수 있었습니다.

 

Seaman은 아래와 같이 결론지었습니다.

 

"새로운 벡터가 실제 공격에서 사용되기 시작했다는 점이 중요합니다.”

 

"이는 더 많은 공격자가 DDoS 공격을 위한 새로운 벡터를 활용하기 위해 툴을 제작하기 시작해 특정 벡터가 더욱 광범위하게 악용될 수 있다는 가능성을 보여주는 신호입니다.”

 

"공격을 방어하기 위해서는 해당 공격이 이론에서 실습으로 발전되었다는 점을 인식해야 하며, 곧 실제 공격에서도 적용될 것이기 때문에 새로운 벡터에 따른 수비 전략을 준비해야 합니다.”

 

 

 

출처:

https://thehackernews.com/2022/03/hackers-begin-weaponizing-tcp-middlebox.html

https://www.akamai.com/blog/security/tcp-middlebox-reflection

관련글 더보기

댓글 영역