BlackNurse攻撃が単一のノートパソコンを大規模なサーバーキラーに変える

分散型サービス拒否攻撃（DDoS）について聞くと、私たちは何千、あるいは何百万ものゾンビコンピュータやIoT接続デバイス（最新のDynのケースが示すように）が特定のウェブサイトやサービスをクラッシュさせるために大量のデータパケットを送信していると考えます。一般的に、DDoSツールやストレッサーは、大規模な攻撃を実施するために何千ものゾンビが必要であり、DDoS保護されたウェブサイトをダウンさせることができると考えられています。しかし、新しい研究によると、新しい攻撃は単一のノートパソコンを使用して、大規模なDDoS攻撃を実施し、高度に保護されたサーバーをオフラインにすることができることが証明されています。

デンマークに拠点を置くTDCセキュリティオペレーションセンターのセキュリティ研究者たちは、この新しい攻撃手法をBlackNurseと名付けました。BlackNurse攻撃は、Cisco Systemsや他のメーカーが製造した特定のファイアウォールによって保護されている大規模サーバーをオフラインにするために、非常に限られたリソースを使用します。

BlackNurse攻撃は、サイバー犯罪者が脆弱なサーバーのインターネット接続を切断するために、わずか15メガビット、または毎秒約40,000パケットを使用して、ウェブサイトに対してシンプルなサービス拒否攻撃を実行することを容易にします。最近のDyn攻撃でBlackNurse攻撃が使用されていたら、どのようなことが起こったか想像してみてください。視点を変えると、10月21日に中西部と東部のアメリカ全体をダウンさせた未知のハッカーは、IoTボットネットを使用し、毎秒1テラバイトの無駄なデータパケットを送信して混乱を引き起こし、Reddit、Twitter、Spotifyなどのサービスをオフラインにしました。

水曜日に公開されたブログ記事で、研究者たちは次のように書いています：

BlackNurse攻撃は私たちの注意を引きました。なぜなら、私たちのDDoS対策ソリューションでは、トラフィック速度とパケット数が非常に低いにもかかわらず、この攻撃が顧客の運用をダウンさせることができることを経験したからです。これは、大規模なインターネットアップリンクと大規模な企業ファイアウォールを持つ顧客にも当てはまりました。私たちは、プロフェッショナルなファイアウォール機器が攻撃を処理できると予想していました。

目次

• BlackNurseが単一のノートパソコンを使用して大規模なDDoS攻撃を実施する方法
• BlackNurse攻撃の懸念
• BlackNurse攻撃に対する緩和策

BlackNurseが単一のノートパソコンを使用して大規模なDDoS攻撃を実施する方法

研究者たちは、BlackNurse攻撃が、ルーターや他のネットワークデバイスがエラーメッセージを送受信するために使用するメッセージの抜け穴であるインターネット制御メッセージプロトコル（ICMP）を利用していることを発見しました。ICMPがそのようなメッセージの送受信に対する保護や制限がないため、BlackNurse攻撃は特定のタイプのICMPパケット、具体的にはコード3のタイプ3 ICMPパケットを送信することで、Ciscoや他の企業が製造したファイアウォールで保護されたCPUやサーバーに不要な負荷をかけることができます。

研究中に、15 Mbpsから18 Mbpsの閾値に達すると、ターゲットとなるファイアウォールは非常に多くのパケットをドロップし、サーバーをオフラインにすることがわかりました。

同じ無駄なICMPパケットを使用して、研究者たちは単一のノートパソコンを使用して180 Mbpsを送信し、サーバーをダウンさせるBlackNurse攻撃を実施しました。

1 Gbit/sのインターネット接続があっても関係ありません。異なるファイアウォールで見られる影響は通常、高いCPU負荷です。攻撃が進行中のとき、[ローカルエリアネットワーク]サイトのユーザーはもはやインターネットへのトラフィックを送受信できなくなります。私たちが見たすべてのファイアウォールは、攻撃が停止すると回復します。

BlackNurse攻撃の懸念

懸念すべきことは、研究者たちがBlackNurse攻撃が実際に使用されていることを発見したことです。彼らは過去2年間に約95件のDDoS攻撃を発見しました。報告書には、ICMP攻撃が新たに発見されたBlackNurse攻撃に基づいているのか、コード0のタイプ8パケットを送信する以前から知られているICMP攻撃に基づいているのかは記載されていません。

BlackNurse攻撃に対する緩和策

TDCセキュリティと共同で研究を行ったセキュリティ企業Netresecの研究者によると、この攻撃はCisco Systems、Palo Alto Networks、SonicWall、Zyxelのファイアウォールを使用しているサーバーに対してのみ機能します。研究者たちは、このブログ記事でBlackNurse攻撃に脆弱な特定のモデルを示しています。Palo Alto Networksは、自社のデバイスが「非常に特定の、デフォルトではないシナリオで、ベストプラクティスに反する場合のみ脆弱である」と報告する独自のアドバイザリーを発表しました。

Ciscoは驚くべきことに、BlackNurse攻撃をセキュリティ問題とは見なしていませんが、その理由は説明していません。Sans Instituteは、ここで攻撃についての簡単な説明をしています。