보안정보

글로벌 정보보안 리더 윈스
증폭공격AmplificationSNMPNTP

NTP / SNMP Amplification(증폭) DDoS Attack

침해사고분석팀 2017.06.28

 

 

 

2017년 6월, 세계적으로 다양한 보안 이슈가 강조되지만 이번 달은 특히 DoS(Denial of Service) 공격에 대해 전세계 보안 담당자들이 촉각을 곤두세우고 있다. DoS 공격은 타 해킹에 비해 비교적 많이 발생하게 된다. 다른 해킹에 비하여 공격 방식도 간단하고 공격 툴 또한 구하기 어렵지 않기 때문에 악의적인 목표로 공격하는 해커 뿐 아니라 호기심에 공격하는 사람도 존재하기 때문에 상대적으로 다른 공격보다는 자주 발생한다.

 

국제 해커 집단인 어나니머스(Anonymous)가 각국 중앙은행에 DDoS(Distribute DoS) 공격을 예고했으며, 공격 명단에는 우리나라 중앙은행인 한국은행도 포함되어 있다. 또한, 미국 정부가 북한의 사이버 공격 조직 히든 코브라(Hidden Cobra)를 2009년 이후 발생한 글로벌 해킹 사태의 배후로 지목하며 사이버 경계령을 발표했다. 히든 코브라는 DeltaCharlie DDOS 봇넷을 활용하여 미국 및 전세계의 미디어, 항공 우주, 금융 및 핵심 인프라 분야를 겨냥하고 있다.

 

 

[그림1] US-CERT HIDDEN COBRA - DDoS Botnet

 

 

* Hidden Cobrak - DeltaCharlie DoS Attack 분석 보고서 SecureCast 개시 (WE17-0020)

 

 

DDoS 중에 해커들에게 자주 사용되는 공격인 Amplification DDoS Attack에 대해 알아보자.

공격 개념은 간단하다. 공격자가 '1' 크기의 공격을 하면 Victim은 20 ~ 200, 혹은 그 이상의 공격을 받게 되는 공격이다. 쉽게 말해 내가 하나의 돌을 던진다면 맞는 사람은 돌 200개 이상을 맞게 되는 셈이다. 설명만 듣더라도 매우 매력적인 공격 방법이 아닐 수가 없다. 공격자 입장에서는 저비용 고효율의 DDoS 공격이기 때문에 자주 발생하는 DDoS 공격이다. 이론상 30Mbyte 인터넷이 가능한 30명이 DDoS 공격한다면 좀비 PC 1만대의 효과를 가져올 수 있다.

 

 

 

무작정 DDoS 공격한다고 해당 패킷이 증폭이 되는 것은 아니다. Amplification DDoS Attack 진행에 앞서 필요한 준비물이 하나 존재한다. 바로 공격을 증폭시켜 주는 중간자가 역할이 필요하다. 여러가지 증폭 중간자 중 'NTP'와 'SNMP'를 활용한 Amplification DDoS Attack을 살펴보자. 

 

* NTP : 네트워크 타임 프로토콜(Network Time Protocol)은 데이터 네트워크를 통해 컴퓨터 시스템 간 시간 동기화를 위한 네트워크 프로토콜 (Port 123/UDP)

 

 - 사용 옵션: monlist (서버에 최근 접속한 도메인 리스트 출력, 최대 600개)

 

 

* SNMP : 간이 망 관리 프로토콜(Simple Network Management Protocol)은 IP 네트워크상의 장치로부터 정보를 수집 및 관리하는 인터넷 표준 프로토콜 (Port 161/UDP)

 

 - 사용 옵션: GetBulk (전송된 OID 아래 서브 트리에 있는 모든 변수 표시)

 

 

 

 

 

공격이 이루어지는 단계는 다음과 같다.

 1단계 : 상기 프로토콜에 증폭을 담당하는 옵션(monlist, GetBulk)을 추가해 전송한다.

 2단계 : 패킷 전송 시 응답 받을 IP를 Victim IP로 변경한다.

 3단계 : 해당 프로토콜은 응답에 대한 Data를 공격자가 아닌 Victim에 전달한다.

 

상기 옵션의 경우 요청 IP에 대한 검증 작업을 진행하지 않기 때문에 이를 이용한 공격이다.

 

 

NTP MON_GETLIST_1 옵션으로 Response IP를 Victim으로 변조해 NTP로 전송한다. 

 

 

응답 패킷은 길이 376byte로 Victim에게 전송되며, 해당 패킷이 최대 600개까지 전송된다.

 

 

 

 

 

 

SNMP getBulkRequest 옵션으로 Response IP를 Victim으로 변조해 SNMP로 전송한다. 

 

 

 

 

응답 패킷은 길이 655byte로 Victim에게 전송된다. 

 

 

상기 2가지의 DDoS 공격은 다른 옵션을 사용해 변조가 가능하기 때문에 패턴으로 막기에는 매우 제한적이다. 다른 옵션 또한 정상 행위 패킷이기 때문에 탐지 및 방어가 어렵다. DDoS는 이러한 특징 때문에 대응하기가 쉽지 않다. 

 

 

 

문제점을 찾지말고 해결책을 찾아라 - 헨리 포드

 

DDoS 공격은 다른 해킹처럼 취약점을 파고 드는 공격이라도 보긴 어렵다. 소프트웨어적으로 문제가 있어 공격을 당하는 것도 아니다. 그렇기 때문에 DDoS가 발생한 문제점을 찾기보단 빠르게 해결책을 찾아 대응하는 것이 더 필요하다고 생각한다. DDoS의 충분한 이해와 함께 자사에서 제공하는 룰이 더해진다면 어떤 DDoS 공격이라도 최소한의 피해로 막을 수 있다는 기대를 품어본다. 

 

 

 

대응 방안

UDP Source-IP Flooding

UDP Packet Flooding

UDP Flooding

NTP Ampification DDoS Attack

 

* 각 고객사마다 임계치 설정이 상이, 트래픽에 대한 모니터링 후 패턴 적용.

 

참고

[Tilte] http://www.informationsecuritybuzz.com/study-research/turning-point-ddos-attacks-q4-2016/

https://www.emaze.com/@AIOOWRWC/Media-Training---Part-2

https://ko.wikipedia.org/wiki/

http://blogs.it.ox.ac.uk/oxcert/2014/05/22/on-reflection-emerging-denial-of-service-attacks-and-you/

http://bsec.tistory.com/2
목록