단 한 대의 컴퓨터로 거대한 서버들을 다운시킬 수 있는 BlackNurse 공격 발견

단 한 대의 컴퓨터로 거대한 서버들을 다운시킬 수 있는 BlackNurse 공격 발견

Even A Single Computer Can Take Down Big Servers Using BlackNurse Attack

TDC Security Operations Center의 연구원들이 제한적인 리소스를 가진 공격자가 거대한 서버들을 오프라인 상태로 만들 수 있는 새로운 공격 기술을 발견했습니다.

해당 기술은 BlackNurse 또는 낮은 확률의 “Ping of Death” 공격으로 명명되었습니다. 이는 특별히 제조한 Internet Control Message Protocol(ICMP) 패킷 또는 Cisco, Palo Alto Networks 등의 방화벽으로 보호된 서버의 프로세서를 뒤덮는 ‘핑’들을 보내어 몇 건의 저규모 DoS 공격을 실행하는데 사용될 수 있습니다.

이번주 발행된 기술 보고서 [PDF]에 따르면, BlackNurse 공격은 기존에는 “ping flood 공격”으로 더 많이 알려져 있습니다. 이는 ICMP Type 3(목표 접근 불가) Code 3(포트 접근 불가) 요청을 기반으로 하고 있습니다. 이 요청들은 타겟의 포트가 ‘접근이 불가능’할 경우, 핑을 보낸 근원지로 되돌아가는 packet reply입니다.

BlackNurse 공격 동작 방식

공격자는 Type 3 ICMP 패킷을 Code 3으로 보내 인터넷 연결의 퀄리티에 상관 없이 특정 타입 서버 방화벽의 CPU를 과열시켜 DoS 상태를 야기시킬 수 있습니다. BlackNurse 트래픽의 규모는 15Mbps에서 18Mbps(또는 초당 4만~5만 패킷)로 아주 작습니다.

TDC는 해당 이슈가 피해자의 네트워크 장비에 도달하여 기기를 다운시키는 40K ~ 50K의 ICMP를 꾸준히 흘려 보내는 것이기 때문에 규모는 문제가 되지 않는다고 밝혔습니다.

연구원들은 “공격이 실행 중일 때, LAN 쪽 사용자들은 인터넷으로 또는 인터넷으로부터 트래픽을 받거나 보낼 수 없다. 우리가 확인한 모든 방화벽들은 공격이 멈춘 후 복구되었다.”고 말했습니다.

이 소규모 DoS 기술은 방화벽을 트래픽으로 뒤덮어버리는 것이 아니라, CPU를 high load 시키기 때문에 효율적입니다. 이는 엄청난 규모의 네트워크 역량을 가진 서버라도 쉽게 오프라인으로 만들 수 있다는 의미입니다. 연구원들은 BlackNurse가 일반적인 핑 트래픽인 ICMP Type 8 Code 0을 기반으로 한 ping flood 공격과 혼동 되어서는 안된다고 설명했습니다. 

TDC는 “BlackNurse가 흥미로운 이유는 자사의 anti-DDoS 솔루션에서 트래픽 스피드와 초당 패킷 수가 매우 낮았음에도 불구하고 이 공격이 자사 고객의 시스템을 지속적으로 다운시켰기 때문이다.”라며, “심지어 대규모의 인터넷 업링크 및 대규모 기업용 방화벽을 갖춘 고객들에게도 해당 공격이 적용되었다. 우리는 전문적인 방화벽 장비들이 이 공격을 차단할 수 있을 것으로 기대했다.”라고 밝혔습니다.

영향을 받은 장비들

BlackNurse 공격은 아래 장비들에 영향을 미칩니다.

Cisco ASA 5506, 5515, 5525 (디폴트 세팅)

Cisco ASA 5550 (legacy) and 5515-X (최신 세대)

Cisco Router 897 (완화 가능)

SonicWall (잘못 된 설정을 변경해 완화 가능)

Palo Alto 제품군 일부

Zyxel NWA3560-N (LAN 측으로부터의 무선 공격)

Zyxel Zywall USG50

BlackNurse 공격 완화법

다행인 것은, BlackNurse 공격에 대응할 방법이 있다는 것입니다.

TDC는 공격 완화법과 BlackNurse 공격을 탐지하는데 사용될 수 있는 SNORT IDS 룰을 제안했습니다. 네트워크 관리자들은 OVH 보안 연구원이 GitHub에 올린 PoC 코드로 자신들의 장비에 BlackNurse 공격을 테스트해볼 수 있습니다.(▶PoC 코드 보러가기)

방화벽이나 기타 장비에 가해지는 BlackNurse 공격을 완화시키기 위해서는 ICMP를 허용할 수 있는 소스리스트를 설정해야 합니다. 또한 WAN 인터페이스에서 ICMP Type 3 Code 3을 비활성화 시키는 효과적인 방법도 있습니다.

Palo Alto Networks에서도 공지를 통해 고객들에게 권고사항 일부를 알렸습니다. 그러나 Cisco에서는 이를 보안 이슈로 분류하지 않는다는 입장입니다. 그들은 “ICMP 접근 불가능 메시지 타입(type 3)에 권한을 부여하기를 권고한다. ICMP 접근 불가능 메시지를 거부하게 되면 ICMP Path MTU의 발견을 비활성화해 IPSec과 PPTP 트래픽을 멈추게 된다.”고 경고했습니다.

출처 :

http://thehackernews.com/2016/11/dos-attack-server-firewall.html

http://soc.tdc.dk/blacknurse/blacknurse.pdf