블랙너스 공격, 단일 노트북을 큰 서버 킬러 머신으로 변모시키다

분산 서비스 거부 공격(DDoS)에 대해 이야기할 때마다 우리는 수천, 아니 수백만 대의 좀비 컴퓨터나 사물인터넷(IoT) 연결 장치(최신 Dyn 사례에서 보여주듯)가 특정 웹사이트나 서비스를 중단시키기 위해 대량의 데이터를 전송하고 있다고 생각합니다. 일반적으로 DDoS 도구나 스트레서로 알려진 것들은 대규모 공격을 수행하기 위해 수천 대의 좀비가 필요하다고 가정됩니다. 그러나 새로운 연구에 따르면, 새로운 공격 방식은 단일 노트북을 사용하여 대규모 DDoS 공격을 수행할 수 있으며, 이는 고도로 보호된 서버를 오프라인으로 전환할 수 있습니다.

덴마크에 본사를 둔 TDC 보안 운영 센터의 보안 연구원들은 이 새로운 공격 기법을 블랙너스라고 명명했습니다. 블랙너스 공격은 Cisco Systems 및 기타 제조업체가 만든 특정 방화벽으로 보호된 대형 서버를 오프라인으로 전환하기 위해 매우 제한된 자원을 사용합니다.

블랙너스 공격은 사이버 범죄자들이 단 15메가비트, 즉 초당 약 40,000개의 패킷만으로도 취약한 서버의 인터넷 연결을 차단할 수 있도록 간단한 서비스 거부 공격을 수행하는 것을 쉽게 만듭니다. 최근 Dyn 공격에서 블랙너스 공격이 사용되었다면 어떤 결과를 초래했을지 상상해 보십시오. 관점을 제공하기 위해, 10월 21일에 중서부와 동부 미국 전체의 인터넷을 중단시킨 알려지지 않은 해커들은 IoT 봇넷을 사용하여 초당 1테라바이트의 쓸모없는 데이터 패킷을 전송하여 Reddit, Twitter, Spotify 등의 서비스를 오프라인으로 전환했습니다.

수요일에 발표된 블로그 게시물에서 연구원들은 다음과 같이 썼습니다:

블랙너스 공격은 우리의 DDoS 방지 솔루션에서 트래픽 속도와 초당 패킷 수가 매우 낮음에도 불구하고 이 공격이 고객의 운영을 중단시킬 수 있다는 경험을 했기 때문에 우리의 주목을 끌었습니다. 이는 대형 인터넷 업링크와 대형 기업 방화벽을 갖춘 고객에게도 적용되었습니다. 우리는 전문 방화벽 장비가 이 공격을 처리할 수 있을 것이라고 예상했습니다.

목차

• 블랙너스는 단일 노트북을 사용하여 대규모 DDoS 공격을 어떻게 수행하는가
• 블랙너스 공격의 두려움
• 블랙너스 공격에 대한 완화

블랙너스는 단일 노트북을 사용하여 대규모 DDoS 공격을 어떻게 수행하는가

연구원들은 블랙너스 공격이 라우터 및 기타 네트워킹 장치가 오류 메시지를 전송하고 수신하는 데 사용하는 메시지 루프홀 인터넷 제어 메시지 프로토콜(ICMP)을 사용한다는 것을 발견했습니다. ICMP가 이러한 메시지를 전송하거나 수신하는 데 보호나 제한이 없기 때문에 블랙너스 공격은 해커가 Cisco 및 기타 회사가 만든 방화벽으로 보호된 CPU와 서버에 원치 않는 부하를 주기 위해 사용할 수 있는 코드 3의 유형 3 ICMP 패킷이라는 특별한 유형의 ICMP 패킷을 전송하여 이를 활용합니다.

연구 중에 그들은 15Mbps에서 18Mbps의 임계값에 도달한 후, 목표 방화벽이 너무 많은 패킷을 드롭하여 서버가 오프라인으로 전환된다는 것을 발견했습니다.

같은 쓸모없는 ICMP 패킷을 사용하여 연구원들은 단일 노트북을 사용하여 180Mbps를 전송하여 블랙너스 공격을 수행하고 서버를 중단시켰습니다.

1 Gbit/s 인터넷 연결이 있더라도 상관 없습니다. 우리가 다양한 방화벽에서 보는 영향은 일반적으로 높은 CPU 부하입니다. 공격이 진행 중일 때, [로컬 영역 네트워크] 사이트의 사용자들은 더 이상 인터넷으로 트래픽을 전송/수신할 수 없습니다. 우리가 본 모든 방화벽은 공격이 중단되면 복구됩니다.

블랙너스 공격의 두려움

우려스러운 점은 연구원들이 블랙너스 공격이 실제로 사용되고 있다는 것을 발견했다는 것입니다. 그들은 지난 2년 동안 약 95건의 DDoS 공격을 발견했습니다. 보고서에서는 ICMP 공격이 새롭게 발견된 블랙너스 공격에 기반한 것인지, 코드 0의 유형 8 패킷을 전달하는 이전에 알려진 ICMP 공격에 기반한 것인지 언급하지 않았습니다.

블랙너스 공격에 대한 완화

TDC 보안과 협력한 보안 회사 Netresec의 연구원들에 따르면, 이 공격은 Cisco Systems, Palo Alto Networks, SonicWall 및 Zyxel의 방화벽을 사용하는 서버에 대해서만 작동합니다. 연구원들은 이 블로그 게시물에서 블랙너스 공격에 취약한 특정 모델을 제시했습니다. Palo Alto Networks는 자사의 장치가 “매우 특정한 비기본 시나리오에서 최선의 관행을 위반하는 경우에만 취약하다”고 보고하는 자체 권고를 발표했습니다.

놀랍게도 Cisco는 블랙너스 공격을 보안 문제로 간주하지 않지만 그 이유를 설명하지 않았습니다. Sans Institute는 이 공격에 대한 간단한 설명을 여기에 작성했습니다.