Akamai 安全情報反應團隊發現全新反射型攻擊手法

【2017年4月20日,台北】內容遞送網路(content delivery network;CDN)服務的全球領導廠商 Akamai Technologies, Inc.(NASDAQ:AKAM)發表該公司安全情報反應團隊(Security Intelligence Response Team;SIRT)的最新研究。Akamai 研究人員 Jose Arteaga 與 Wilber Majia 發現全新非連線式輕量型目錄存取通訊協定(Connection-less Lightweight Directory Access Protocol;CLDAP)反射型與放大型攻擊手法。根據 Akamai SIRT 的觀察,此攻擊手法持續產生超過 1 Gbps 流量的分散式阻斷服務(Distributed Denial Service;DDoS)攻擊,與網域名稱系統(Domain Name System;DNS)反射型攻擊不相上下。詳述 SIRT 研究結果的完整報告可由此下載:http://akamai.me/CLDAPAdvisory

概覽

相較於一般反射型攻擊手法可能需入侵上百萬台主機,Akamai 觀察到的 CLDAP 放大效果僅需少數主機就能產生大量的攻擊頻寬。

自 2016 年 10 月以來,Akamai 已偵測並緩解共 50 次CLDAP 反射型攻擊,其中33 次僅單獨使用 CLDAP 反射型攻擊做為單一的手法。2017 年 1 月 7 日,Akamai 緩解了一起 24 Gbps 的攻擊,為目前 SIRT 所觀測到單獨使用 CLDAP 反射型手法的最大型 DDoS 攻擊,而CLDAP 的平均攻擊頻寬為 3 Gbps。

遊戲產業通常為DDoS 攻擊的主要目標,然而 Akamai 觀察到軟體與科技產業為CLDAP 的主要攻擊目標,其他目標產業還包含網際網路和電信、媒體與娛樂、教育、零售和消費性產品以及金融服務。

就 Akamai 對攻擊的觀察,美國是CLDAP 反射器最大的集中地。

緩解

如同多數其他反射型與放大型攻擊,當企業適當地過濾輸入訊息,CLDAP 攻擊便不可能奏效。運用網際網路掃描並過濾使用者資料包通訊協定(User Datagram Protocol;UDP )目的連接埠 389,潛在受侵害的主機便無所遁形。

根據實際 CLDAP 反射型攻擊過程中所收集到的資料,Akamai 共觀察到 7,629 個不同的CLDAP 攻擊反射器,但是網際網路掃描結果顯示,可使用的 CLDAP 反射器數量更為龐大。除非企業有在網際網路上提供 CLDAP 的正當需求,否則應沒有理由暴露此通訊協定,惡化 DDoS 反射問題。一旦伺服器遭判定為 CLDAP 反射型攻擊的可用來源,Akamai 便會將其新增至已知的反射器清單中,避免伺服器後續遭到濫用。

Akamai 安全情報反應團隊 Jose Arteaga 解釋:「超過百分之五十的攻擊持續由 UDP 反射型攻擊組成。因為與 UDP 反射型攻擊指令碼極為相似,CLDAP 可能已經包含於完整的攻擊指令碼中,且整合至基礎架構內的激增工具(booter)或施壓工具(stresser)。如果現在尚未包含,我們之後可能會遭受更加嚴重的攻擊。」

Akamai 將持續監控並分析與當前威脅相關的資料。欲瞭解更多詳情,請至 http://akamai.me/CLDAPAdvisory免費下載威脅研究報告。