1Tbps! OVH, 역사상 가장 큰 규모의 DDoS 공격 받아

1Tbps! OVH, 역사상 가장 큰 규모의 DDoS 공격 받아

OVH hosting hit by 1Tbps DDoS attack, the largest one ever seen

OVH는 호스팅 서비스를 제공하는 프랑스 기업 중 하나로, 16개 국가에서 약 70만명이 넘는 사용자에게 서비스를 제공하고 있습니다. OVH는 세계 3위의 호스팅 기업입니다. 이렇듯 세계적인 기업 OVH가 초당 1Tb의 대규모 DDoS 공격을 받았습니다. 

이번 대규모 DDoS 공격은 지난주에 발생했습니다. 공격 직후, OVH의 대표 Octave Klaba는 Twitter에 한 장의 캡쳐 이미지를 업로드했습니다. 해당 이미지를 통해 OVH의 여러 서버들이 동시에 1Tbps가 넘는 크기의 DDoS 공격을 받은 것을 확인할 수 있었습니다. 단일 처리량 공격은 최대 매초 9300만패킷으로, 그 크기는 799Gbps에 달했습니다.

Klaba의 분석에 따르면, 공격자는 사물인터넷, 즉 해킹당한 여러 대의 CCTV를 이용하여 봇넷을 형성한 후 공격을 실행한 것으로 보입니다.

이번 봇넷은 145,607개의 좀비 CCTV로 이루어져 있었으며, 각각 CCTV에서는 한 개의 IP주소를 향해 매 초 1~30M 크기의 패킷을 보낼 수 있었습니다. 이를 모두 합하면 1.5Tb(초)가 넘는 DDoS 공격이 가능합니다. 공격 유형은 tcp/ack, tcp/ack+psh, tcp/syn 공격 등으로 파악되었습니다.

이러한 공격은 처음 발생한 것이 아니며, 올해 6월 보안 서비스회사 Sucuri의 전문가가 이러한 사물인터넷 이용 공격 방식을 발견한 적이 있었습니다. 

CCTV와 같은 사물인터넷 디바이스들은 대부분 보안설정이 되어있지 않습니다. 따라서 공격자들은 이러한 사물인터넷의 로그인 프로세스를 손쉽게 우회할 수 있습니다. 

최근 보안연구원은 사물인터넷 디바이스를 타겟으로 하는 Linux 계열의 악성코드인 Luabot 과 Bashlite를 발견하였습니다. 통계에 따르면, 9월 초 100만대가 넘는 사물인터넷 디바이스들이 Bashlite에 감염되었습니다. 공격자들은 이를 이용하여 거대한 봇넷을 만들어 악성 공격을 시도하였습니다. 특히, 감염된 디바이스들 중 95%가 카메라 및 DVR이었으며, 4%는 라우터, 1%는 리눅스 서버인 것으로 밝혀졌습니다. Bashlite악성코드는 Linux 시스템을 감염시키기 때문에 사물인터넷 디바이스를 DDoS 공격을 실행하는 데에 쉽게 악용할 수 있습니다.

알약에서는 해당 악성코드들에 대해 Linux.Trojan.LuaBot.*, Backdoor.Linux.Gafgyt.*, Trojan.Linux,Gafegyt.*등으로 탐지하고 있습니다.

출처 :

http://securityaffairs.co/wordpress/51640/cyber-crime/tbps-ddos-attack.html

http://www.securityweek.com/bashlite-botnets-ensnare-1-million-iot-devices