[210201] 코로나와 함께 디도스 공격도 새로운 전성기

www.boannews.com/media/view.asp?idx=94599&page=1&mkind=1&kind=1

2020년, 코로나와 함께 디도스 공격도 새로운 전성기 맞았다

 

줄거리

디도스 공격의 횟수도 증가하였지만, 파괴력이 높아졌다. 150%가 넘는 증가세다.

최근에 나타난 공격: 랜섬 디도스

- 디도스 공격을 하겠다고 예고하거나 작은 규모의 디도스를 맛보기로 보여주고 돈을 요구하는 사이버 범죄 유형을 말한다.

클라우드플레어의 제품 관리자인 오메르 요치믹(Omer Yoachimik)도 “팬시 베어(Fancy Bear), 코지 베어(Cozy Bear), 라자루스(Lazarus)라고 스스로를 지칭하는 단체들이 전 세계 곳곳의 조직들을 알디도스(RDDoS) 기법으로 공격하기 시작했다”고 말한다.

2020년의 또 다른 특징으로 마이크로소프트의 RDP 프로토콜이 디도스에 널리 활용되었다는 것이다. 보안 업체 넷스카우트(Netscout)에 의하면 UDP 포트 3389번에 RDP가 활성화되었을 경우, 디도스 공격의 크기를 약 86배 정도 키울 수 있다고 한다.

디도스 공격을 막기 위해서 공격이 들어온다는 것을 빨리 탐지하는 것이 좋다. 또한 디도스 공격을 탐지해주는 보안 서비스들을 활용하는 것이 좋으며 웹 애플리케이션 방화벽도 좋은 성능을 발휘할 것이다.

 

알게 된 지식 

DDOS 공격(=서비스 거부 공격): 공격자가 여러 개의 손상된 또는 제어된 소스를 사용하여 공격을 생성한다.

- DDoS 공격은 공격 대상인 OSI(Open Systems Interconnection) 모델의 계층에 따라 분리되는데 네트워크, 전송, 표현, 애플리케이션 계층에서 많이 나타난다.

DDOS 공격 분류

- 인프라 계층 공격: 네트워크, 전송계층에서 발생하며, SYN Flood나 UDP Flood와 같은 반사 공격을 포함한다. 

--> 서버 용량에 과부하가 걸리게 하는 것을 목표로 한다.

- 애플리케이션 계층 공격: 표현, 애플리케이션 계층에서 발생하며, 애플리케이션 고가의 특정 부분을 집중적으로 공격하여 실제 사용자가 사용할 수 없도록 만든다. 로그인 페이지에 대한 HTTP 요청 Flood, Wordpress XML-RPC Flood가 있다.

--> HTTP 요청 Flood: 공격자가 정상적인 3-Way Handshake 후 동일한 동적 콘텐츠(URL)에 대한 HTTP GET 요청 전송을 대량으로 반복 수행하여 과도하게 사용하도록 한다. 훨씬 적은 개수의 패킷으로 효과적인 DDoS 공격을 수행한다.

 

랜섬 디도스(RDDoS): 랜섬 공격의 악의적인 공격자가 DDoS 공격으로 협박함으로써 돈을 탈취하려는 공격이다.

 

RDP(원격 데스크톱 프로토콜)

: Microsoft에서 개발한 프로토콜로 서버에서 실행되는 Windows 기반 응용 프로그램의 보안 네트워크 통신 프로토콜이다. 
- 시큐리티어페어스 보도에 따르면, 넷스카우트 연구원은 공격자가 UDP/3389에서 활성화될 경우 85.9:1의 증폭 비율로 UDP 반사/증폭 공격을 시작하도록 악용될 수 있다고 보고했다.

- 증폭된 공격 트래픽은 UDP/3389에서 공급되고 공격자가 선택한 대상 IP 주소 및 UDP 포트로 향하는 조각화되지 않은 UDP 패킷으로 구성된다. 공격자는 크기가 증폭 된 후 대상에 반사될 RDP 서버의 UDP 포트로 특수 제작된 UDP 패킷을 보낼 수 있다.

- 이런 종류의 공격으로 전송된 패킷의 길이는 1천260 바이트이고 0 문자열로 채워진다.

- 방지하기 위해서는 UDP 기반 서비스를 비활성화하거나 VPN 집중 장치 뒤에 윈도우 RDP 서버를 배포한다.

 

 

참고

aws.amazon.com/ko/shield/ddos-attack-protection/

DDOS 공격의 정의 및 공격으로부터 사이트를 보호하는 방법

www.dailysecu.com/news/articleView.html?idxno=119924

공격자들, DDoS 공격 확대 위해 윈도우 RDP 서버 악용 - 데일리시큐