새로운 증폭방식을 이용한 강력한 LDAP DDoS 공격 발견

• LDAP DDoS 공격은 경량 디렉토리 엑세스 프로토콜의 약자로 사이버 위협이 내재되어 있는환경에서 새로운 유형의 공격이며, DDoS 공격에서 악용될 수 있는 요소를 갖춤

※ LDAP은 네트워크에서 광범위한 디렉토리 정보를 접근하고 유지할 수 있도록 하는 개방형 표준 어플리케이션 프로토콜을 말함

 

• 10월 30일에 DDoS 솔루션 제공업체인 Corero Network Security社의 전문가들은 실제 침해사고 환경에서 LDAP DDoS 공격이 악용되는 것을 확인함

- 해당 공격은 CLDAP 제로데이 취약점을 노렸으며, 유사한 공격들이 지난 주에 확인됨. 또한, 전문가들은 해당 방식이 온라인 상에서 해커가 유용하게 활용 할 수 있는 무기 중 하나 될 것이라고 예측함

 - LDAP 프로토콜의 악용은 증폭율을 46배로 특정 환경에서는 55배에 달하는 최고치에 달할 것으로 예상함

 

• Corero社의 전문가들은 공격자들이 위조된 주소(피해자 IP주소) 비연결성 LDAP 서비스를 지원하는 취약한 리플렉터로 요청을 보낼 수 있다고 설명함

- 이 경우 CLDAP 서비스에서는 당연하게도 원본 쿼리보다 훨씬 더 커진 사이즈의 응답을 피해자(스푸핑된 IP주소)에게 전송

- Corero社의 블로그에서는 다음과 같이 언급함. '이 공격의 경우, 공격자가 CLDAP 서비스를 지원하는 취약한 리플렉터에 간단한 쿼리를 보내고 해당 쿼리가 예정된 희생자에게서 온 것으로 보이도록 주소 스푸핑을 사용합니다. CLDAP 서비스에서는 스푸핑된 주소에 응답을 보내는데, 공격자의 타깃에게 원치 않은 네트워크 트래픽을 보냅니다.
- 또한 Corero社의 전문가는“ 증폭 기술은 공격의 공격자가 공격 규모를 확장할 수 있도록 만들어 줍니다. LDAP 서버를 통해 발생한 응답은 공격자의 쿼리보다 훨씬 크기 때문입니다. 이때 LDAP 서비스 응답은 아주 높은 대역까지 뻗칠 수 있으며 우리는 평균 증폭률이 46배이고 최고치가 55배인 것을 본 적이 있습니다.”라고 언급

 

• 전문가들은 LDAP DDoS 공격은 심각한 피해를 발생시킬 수 있으며 전문가들은 다량의 트래픽에서 초당 수천 테라비트까지 이를 수 있다고 확신함

- 코레로 네트워크 시큐리티의 CTO이자 COO인 Dave Larson은 “IOT 봇넷 같은 방식과 결합한다면 우리는 오래지 않아 공격이 엄청난 충격을 선사하는, 상상조차 하기 힘든 규모에 도달하는 것을 볼 수 있을 것입니다. 테라비트 규모의 공격은 조만간 현실이 될 것이며 인터넷 가용성에 엄청난 충격을 선사할 것입니다. 특정 지역에서는 가용성이 저하되는 일마저 발생할 것입니다”라고 설명함

 
시사점
 

• 최근 IoT 봇넷을 이용한 Dyn社의 1.2Tbps급의 DDoS 공격 사례로 보아 IoT 장비에 대한 보안이슈 및 취약점에 대한 국가차원의 예방 및 조치가 시급함

 

• 추후 IoT를 악용한 DDoS공격의 사례를 통해 사물인터넷기기 모니터링 시스템 구축 및 악성코드 감염기기 치료법 등 구체적인 방안 모색 필요

[출처]
1. Security affairs, “Security experts observed attackers launching a powerful LDAP DDoS, the new amplification method could peak Terabit-Scale attacks.”, 2016.10.30.