|
DDoS 부팅 프로그램은 이제 DTLS 서버를 악용하여 공격 확대 침해사고분석팀 2021.03.24 |
|
|
DDoS-for-hire 서비스는 현재 DDoS 공격을 확대하기 위해 잘못 구성되었거나 오래된 데이터그램 전송 계층 보안(D/TLS) 서버를 적극적으로 활용하고 있다.
DTLS는 UDP 기반 버전의 전송 계층 보안 프로토콜로, 지연에 민감한 앱과 서비스의 도청과 변경을 방지한다.
12월 발표된 보고서에 따르면 DDoS 공격은 DTLS를 사용하여 이러한 남용을 차단하도록 설계된 'HelloClientVerify' 안티 스푸핑 메커니즘 없이 DTLS 구성을 사용하는 취약한 Citrix ADC 장치의 트래픽을 증폭시켰다.
DTLS를 사용한 DDoS 공격은 Link11에 따르면 35의 증폭 계수에 도달하거나 Netscout의 정보에 따라 37.34 : 1의 증폭 비율에 도달 할 수 있다.
Citrix는 지난 1월 영향을 받는 NetScaler ADC 기기에서 증폭 벡터를 제거하는 픽스를 출시했으며, 공격 벡터를 제거하기 위한 'HelloVerifyRequest' 설정을 추가했다.
그러나 두 달 후, Netscout은 4,200대 이상의 DTLS 서버가 여전히 인터넷을 통해 접속할 수 있으며 DDoS 공격에 대한 남용 될 가능성이 높다고 말했다.
Netscout은 최대 약 44.6Gbps의 단일 벡터 DTLS 증폭 DDoS 공격과 최대 ~ 206.9Gbps의 다중 벡터 공격을 관찰했다.
Stresser 또는 Booter 라고도 하는 DDoS-for-hire 플랫폼은 이제 덜 정교한 공격자의 손에 들어가는 증폭 벡터로 DTLS를 사용하고 있다.
Booter 서비스는 자체 DDoS 인프라를 구축하기 위해 투자자나 기술을 투자할 시간 없이 위협 행위자, 장난꾸러기 또는 해커들에 의해 사용된다.
이들은 Stresser 요인 서비스를 임대하여 DDoS 공격을 개시하여 일반적으로 대상 서버나 사이트를 다운시키거나 다양한 수준의 중단을 초래하는 서비스 거부를 유발한다.
"새로운 DDoS 공격 벡터는 통상적으로 그러하듯이, 고급 공격자가 초기 고용 기간 동안 맞춤형 DDoS 공격 인프라에 액세스한 후 D/TLS 반사/증폭을 무기화하여 이른바 'Booter/Stresser' DDoS-임용 서비스의 비축에 추가한 것으로 보인다."라고 Netscout은 덧붙였다.
이러한 공격을 완화하기 위해 관리자는 인터넷에 노출된 서버에서 불필요한 DTLS 서비스를 비활성화하거나 HelloVerifyRequest 안티 스푸핑 메커니즘을 사용하여 DTLS 증폭 벡터를 제거하도록 해당 서비스를 패치/구성할 수 있다.
DHS-CISA는 또한 DDoS 공격을 탐지하는 방법과 DDoSed 상태에서 취해야 할 조치에 대한 지침을 제공한다.
출처 https://www.bleepingcomputer.com/news/security/ddos-booters-now-abuse-dtls-servers-to-amplify-attacks/ |
