UPnPを使用した新しいDDoS攻撃が現在の防御策を無効にした
こんにちは。ジャスティンです。
今日は
https://www.imperva.com/blog/2018/05/new-ddos-attack-method-demands-a-fresh-approach-to-amplification-assault-mitigation/
より、DDos攻撃について興味深い記事を見つけたので私なりの理解を投稿致します。
[日本語]
UPnPを使用した新しいDDoS攻撃が現在の防御策を無効にした
増幅攻撃ベクトルを利用するDDoS攻撃は最近増加しています。増幅攻撃とは、公開されているインターネット上に公開されているリモートサーバーやデータベースを利用して、設定されているデータ量を拡大し、DDoS攻撃に変身させるものです。
今年の3月にGitHubは過去最大のDDoS攻撃のターゲットされました。攻撃者はmemcached(メモリー・キャッシュ)増幅法を使用して、1秒あたり1.3テラビットのトラフィックを8分間以上持続しました。こういった攻撃タイプに対する対策はほぼ完了しておりリスクはほぼ軽減されていますが、Impervaの研究者は、UPnPプロトコルが現在の防御方法をバイパスしていることを発見しました。
このような攻撃は通常、攻撃の大きさに比例した大きなボットネットが必要ですが、増幅ベクトルはある意味でのショートカットになっております。この攻撃タイプは、増幅ペイロードに対して予測可能なパターンが存在するため、ほとんどが対策はされています。報告書の作者Avishay Zawoznik、Johnathan Azaria、Igal Zeifmanは言います。「たとえば、ソース·ポート53を持つすべてのパケットをブロックすることは、DNS増幅攻撃を緩和するための実証済みの方法と考えられています。」
しかし、4月には1900ポートで期待されていなかった珍しいSSDP増幅攻撃が発見されました。SSDPは、UPnPデバイスがUDP(User Datagram Protocol)データをポート1900で共有するプロトコルです。
Impervaのレポートは、Shodan検索エンジンを使用して、 "rootDesc.xml"というファイルを取得することで利用可能なUPnPゲートウェイデバイスを見つけ出すことから始まるコンセプト証明を発表しました。このレポートには、 "rootDesc.xml"はUPnPのサービスとデバイスをカタログ化されています。
脆弱なデバイスを見つけると、そのデバイスがリモートで受け付けるすべてのコマンドを探せます。たとえば、「AddPortMapping」コマンドを使用して、ポート転送のルールを変更することができます。
このレポートでは、「ファイル内のスキームを使用すると、ポート1337に送信されたすべてのUDPパケットをポートUDP / 53経由で外部DNSサーバー(3.3.3.3)に再ルーティングする転送ルールを作成するSOAPリクエストを作成できます。」と言います。
攻撃者|1.1.1.1|---ソース Port: 80---(1)---先 Port: 1337--->UPnP Device |2.2.2.2|---ソース Port: 1337---(2)---先 Port: 53--->DNS Server |3.3.3.3|
被害者|4.4.4.4|<---ソース Port: 1337---(4)---先 Port: 80---UPnP Device |2.2.2.2|<---ソース Port: 53---(3)---先 Port: 1337---DNS Server |3.3.3.3|
攻撃者は、ポート(UDP / 1337)上のDNS要求をUPnPデバイスに送信して、難読化するDNSサーバ(UDP / 53)に送ります。 DNSサーバーはポート53に応答し、送信元ポートをUDP / 1337に戻します。
このコンセプト証明は、ソースIPとポート情報がもう攻撃防御とできるフィルタにならなくなりました。この研究は「増幅のペイロードを識別するために詳細なパケット検査を実行することが最も可能性が高いと言えます。」と結論付けます。更に「これは専用の緩和装置にアクセスすることなくインライン·レートで実行することが難しいし、よりリソース集約的なプロセスなのです。」とも示します。
現時点では、これらの攻撃に対して防御する明確な方法はなく、IoTデバイスのネットワークを脆弱にする可能性があります。
この弱点を発表する目的はユーザー達にUPnPプロトコルを使う事を気をつけるようにと促す事。つまり警告です。家にあるグーグル・ホーム的なIoTデヴァイスをリモート・アクセスをブロックすれば攻撃に使われることはなくなります。
[English]
New DDoS Attack Using UPnP Bypasses Current Defenses
There has been a rise in DDoS attacks that utilize amplification attack vectors. These are exploitations of remote servers and databases exposed on the public internet to magnify the amount of data being set to them and turning into a DDoS attack.
In March of this year, GitHub was a target of the largest DDoS attack to date. Attackers used a memcached amplification method to sustain a 1.3 terabits per second traffic for over eight minutes. Though these attacks have been largely mitigated, researchers at Imperva discovered that UPnP protocols bypasses current defense methods.
Such attacks usually require an equally large botnet but the amplification vectors allow for a bit of a shortcut for hackers. These types of assaults have been mostly remedied because there are predictable patterns to these amplification payloads. Co-authors of the report Avishay Zawoznik, Johnathan Azaria and Igal Zeifman wrote, “For example, blocking all packets with source port 53 is considered a tried-and-true method for mitigating DNS amplification attacks.”
But in April researchers spotted an unusual SSDP amplification attack which did not come from the port they were expecting, port 1900. SSDP is a protocol that UPnP devices use to share UDP (User Datagram Protocol) data on port 1900.
The Imperva report lays out their proof-of-concept which starts by finding exploitable UPnP gateway devices using the Shodan search engine to get a file called “rootDesc.xml.” The report states, “Cataloged in rootDesc.xml are all of the available UPnP services and devices.”
When they locate a vulnerable device, the file shows all the commands that the device will accept remotely. The “AddPortMapping” command, for example, can be used to change the rules for port forwarding.
The report stated, “Using the scheme within the file, a SOAP request can be crafted to create a forwarding rule that reroutes all UDP packets sent to port 1337 to an external DNS server (3.3.3.3) via port UDP/53.”
Attacker|1.1.1.1|---Source Port: 80---(1)---Destination Port: 1337--->UPnP Device |2.2.2.2|---Source Port: 1337---(2)---Destination Port: 53--->DNS Server |3.3.3.3|
Victim|4.4.4.4|<---Source Port: 1337---(4)---Destination Port: 80---UPnP Device |2.2.2.2|<---Source Port: 53---(3)---Destination Port: 1337---DNS Server |3.3.3.3|
The attacker sends a DNS request on port(UDP/1337) to the UPnP device to the DNS server to be obfuscated (UDP/53). The DNS server responds to port 53 and changes the source port back to UDP/1337.
This proof of concept shows that source IP and port information is no longer reliable filters for defending against attacks. The research suggest that “he most likely answer is to perform deep packet inspection to identify amplification payloads—a more resource-intensive process, which is challenging to perform at an inline rate without access to dedicated mitigation equipment.”
At the moment there are no clear cut approach against defending against these attacks which can leave networks with IoT devices vulnerable. The hope is by spreading the news of this exploit, it can help users be on the lookout for such attacks and reach those that may be able to find a solution.