Tin tặc giả mạo máy chủ DNS của Google để thực hiện tấn công DDOS thông qua SNMP

Trung tâm bảo mật Internet SANS đã công bố một báo cáo về việc tồn tại một hệ thống quét SNMP giả mạo máy chủ DNS của Google nhằm tìm kiếm các bộ định tuyến có lỗ hổng và các thiết bị có hỗ trợ giao thức SNMP để thực hiện tấn công DDoS.

Tấn công từ chối phân phối dịch vụ (DDoS) ngày càng trở nên tinh vi và phức tạp hơn. Theo các chuyên gia bảo mật, hướng tiếp theo của DDoS có thể là các cuộc tấn công khuếch đại SNMP (Simple Network Management Protocol).

Trung tâm SANS Internet Storm báo cáo về việc tồn tại một hệ thống quét SNMP giả mạo máy chủ DNS của Google nhằm tìm kiếm các bộ định tuyến dễ bị tấn công và các thiết bị có hỗ trợ giao thức SNMP đang kết kết nối tới Internet. Ông Johannes Ullrich, Trưởng khoa nghiên cứu của Viện Công nghệ SANS và là Giám đốc Trung tâm Internet Storm cho biết: “Chúng tôi nhận được một số báo cáo về hệ thống quét SNMP yêu cầu phản hồi có nguồn gốc từ một số DNS public server 8.8.8.8 của Google. Đây có thể là một phần của kế hoạch khởi động một cuộc tấn công DDoS nhằm chống lại Google bằng cách sử dụng SNMP như một bộ khuếch đại/phản xạ”.

Simple Network Management Protocol (SNMP) là một giao thức UDP được thiết kế để cho phép giám sát các thiết bị mạng kèm theo bằng cách truy vấn thông tin về cấu hình của chúng. Các thiết bị SNMP kích hoạt với cấu hình như vậy có thể được tìm thấy trong các hộ gia đình, doanh nghiệp; thường được sử dụng trong các thiết bị như máy in, thiết bị chuyển mạch (switch), tường lửa và bộ định tuyến.

ISC đang điều tra tầm quan trọng của các cuộc tấn công SNMP và phát hiện ra vài gói tin đã nhắm mục tiêu vào mật khẩu mặc định được sử dụng bởi SNMP.

SNMP sử dụng các cơ chế bảo mật đơn giản gồm: community string, view và SNMP access control list

Community String là một chuỗi ký tự được cài đặt giống nhau trên cả SNMP manager và SNMP agent, đóng vai trò như “mật khẩu” giữa 2 bên khi trao đổi dữ liệu. Community string có 3 loại : Read-community, Write-Community và Trap-Community.

Cuộc tấn công sử dụng các Community String mặc định “read/write” riêng tư, SNMP sử dụng các chuỗi này như là một mật khẩu và “private” ở đây là một mật khẩu mặc định thường được sử dụng.

Nếu tấn công thành công, nó sẽ thay đổi các biến cấu hình trong thiết bị bị ảnh hưởng. Thay đổi TTL (Time To Live) được thiết lập là 1 mà theo Ullrich, “sẽ khiến cổng không thể kết nối với các hệ thống khác mà không ở trên cùng một mạng liên kết”. Nó cũng đặt ra các biến chuyển tiếp đến 2 để tắt các chuyển tiếp IP.

Cũng giống như các giao thức khác dựa trên UDP (DNS và NTP), SNMP có một số truy vấn dẫn đến lượng phản hồi lớn và nó có thể được sử dụng như một bộ khuếch đại theo cách đó.

Cuộc tấn công DDoS quy mô lớn dựa trên kỹ thuật khuếch đại hoặc phản xạ nhằm làm tăng lưu lượng hướng vào một mục tiêu. Các cuộc tấn công DNS reflection là một phương tiện thử nghiệm về thời gian làm “sụp” mạng, trong đó tin tặc lợi dụng hàng triệu máy chủ phân giải DNS mở trên Internet để đạt được mức khuếch đại lên đến 100/1 cho mỗi byte dữ liệu được gửi đi.

Đầu năm nay, các bộ định tuyến của các hộ gia đình là mục tiêu trong các cuộc tấn công khuếch đại dựa trên DNS; hơn năm triệu người dùng bị ảnh hưởng chỉ trong tháng hai và đây được xem là điểm khởi đầu cho các cuộc tấn công DdoS.

Cũng vào đầu năm nay, tin tặc tìm thấy một điểm yếu trên máy chủ Network Time Protocol (NTP) cho phép đồng bộ thời gian cho các máy chủ trên Internet. Các cuộc tấn công Ddos dựa trên NTP, một số đạt tới 400 Gbps, làm ảnh hưởng dịch vụ quan trọng.

Nếu bạn nghĩ rằng NTP đã rất tồi tệ, SNMP có khả năng khuếch đại 650x về mặt lý thuyết, những bằng chứng cho thấy những kẻ tấn công đã bắt đầu thử nghiệm với việc sử dụng SNMP như là một mũi tấn công DDoS.

Trong khi đó, Ullrich cho biết ông đang tiếp tục nghiên cứu cuộc tấn công này và các quản trị viên nên xem xét các gói tin từ có nguồn từ máy chủ DNS của Google (8.8.8.8), với mục tiêu nhắm vào cổng UDP 161.

Threatpost