セキュリティ

たった1台のノートPCでもサーバーをダウンさせられる脅威の「BlackNurse」


DoS攻撃でサーバーをダウンさせようとする場合、脆弱なサーバーでも毎秒4万パケットほどのボリュームを送信する必要があります。2016年に起きたDoS攻撃では、ドメインネームサービスプロバイダーの「Dyn 」やセキュリティサイトの「KrebsOnSecurity」、フランスのウェブホストである「OVH」などをターゲットにしたものが特に印象的で、従来のDoS攻撃よりも大規模な毎秒1テラビットを超える攻撃が行われ話題となりました。そんな中、制限のあるリソースしか持たないたったひとりのアタッカーが、シスコシステムズやその他メーカー製のファイアウォールで保護されている大規模サーバーをオフラインになるまで攻撃する、という驚くべき事案が発生しています。

BLACKNURSE it CAN bring you down
http://blacknurse.dk/

New attack reportedly lets 1 modest laptop knock big servers offline | Ars Technica
http://arstechnica.com/security/2016/11/new-attack-reportedly-lets-1-modest-laptop-knock-big-servers-offline/


デンマークを拠点とするセキュリティオペレーションセンターのTDCは、新しく「リソースがなくてもサーバーをダウンさせられる脅威の攻撃方法」を発見し、これを「BlackNurse」と名付けました。このBlackNurseを発見したTDCの研究者は、「我々のアンチDDoSソリューションが検知した攻撃(BlackNurse)は、トラフィック速度は遅く、毎秒のパケット量はとても軽かったのに、我々の顧客のオペレーションをダウンさせてしまいました。このことから、私たちはこの攻撃方法に興味を抱きました」と語っています。

BlackNurseは、ルーターや他のネットワークデバイスが使用するインターネット制御通知プロトコル(ICMP)ベースのデータを利用しています。その仕組みは、特別なICMPパケットを送信して特定タイプのファイアウォールが設置されたサーバーのCPUに素早く負担をかける、というもの。15Mbpsから18Mbpsの限界を超えたパケットを送信することで、ターゲットのファイアウォールを落とし、サーバーをインターネットから切断してしまうことができるとのことです。

By Torkild Retvedt

また、TDCの研究者は単体のノートPCで180mbpsのパケットを送信するBlackNurseの新しい手法も発見しています。TDCは「BlackNurseではインターネット接続が1Gbit/sである必要はありません。この攻撃による影響は、異なるファイアウォールで見られる『CPUへの高負荷』です。攻撃が実行されている最中は、サイトはインターネットに接続できなくなり、もはやトラフィックを送受信することはできなくなります。そして、全ての攻撃が終わったのち、ファイアウォールは回復します」と、BlackNurseの特徴を説明しています。

TDCによると、TDCの顧客をターゲットとしたICMPを活用した攻撃は、過去2年間で95件も報告されているそうです。なお、これらの攻撃が全てBlackNurseベースのものであるとは記載されていません。

なお、セキュリティ企業のNetresecの研究者によると、BlackNurseはシスコシステムズ、パロアルトネットワークス、SonicWall、Zyxel製のファイアウォールをターゲットとしているそうです。

・関連記事
毎秒1テラビットという史上空前のDDoS攻撃が発生、攻撃元はハッキングされた14万5000台ものウェブカメラ - GIGAZINE

世界中の防犯カメラを駆使して行われる大規模DDoS攻撃の存在が明らかに - GIGAZINE

45万台以上のスマートフォンがマルウェアに感染して1日45億リクエストのDDoS攻撃に荷担 - GIGAZINE

アノニマスのハッカー集団がDDoS攻撃「イカルス作戦」を実行して世界中の銀行をダウンさせていることが判明、今後の標的リストも明らかに - GIGAZINE

「ポケモンGO(Pokémon GO)のサーバーをダウンさせる」とハッカー集団が予告、丸1日Pokemon GOがプレイできない可能性も - GIGAZINE

in ソフトウェア,   セキュリティ, Posted by logu_ii