[2019.09.19] WS-Discovery 프로토콜을 이용한 DDoS 공격 탐지

요약

*WS-Discovery(Web Service Dynamic Discovery) 프로토콜 : 로컬 네트워크에서 서비스를 찾기 위해 멀티 캐스트 검색 프로토콜을 정의하는 기술 사양으로

 동일한 네트워크상의 장치 간에 통신을 가능케 하며, 모든 장치가 하나의 목적지로 ping을 전송하여 자신에 대한 세부정보를 제공할 수 있음.

  WS-Discovery는 내부 네트워크에서만 사용하기위한 목적이었으나, 인터넷에 노출된 최대 80만개의 장치가 WS-Discovery 명령을 수신할 수 있는 것으로

  추정 됨.  (→ 이는 일종의 롤 호출 요청인 ""Probes""를 전송하여 공격대상에서 데이터를 생성하고 지시할 수 있음)

*Probes: LAN에 연결된 장치를 연동하고, 설정하는데 사용 됨. Ex) 윈도우 기기가 네트워크에 연결된 프린터를 자동으로 찾고, 설정을 하는데 사용되고 있음.

- Akamai DDoS 대응팀 프롤렉식(Prolexic) 연구원들에 의해 게임 관련 산업 고객 한 명에게 초당 35Gigabit의 공격이 8월 말 탐지되었다고 공개.

  (Akamai가 경험한 DDoS 공격 중 4번째로 큰 공격임. 가장 큰 공격 크기 : 1Terabit/s)

- 공격자는 특수하게 조작된 악성 프로토콜 요청을 CCTV 카메라나 DVR과 같은 취약한 전송 장치에 전송하여 WS-Discovery를 조작할 수 있음.

- 5000개의 IP가 공격에 사용됨.

- 공격 특징

① High-Volume 공격이 가능하며 실제 바이트 크기의 15,300%에 달하는 DDoS 증폭 공격이 가능함.

    29바이트의 악성페이로드를 보내, WS-Discovery장비에 XML 에러 Response를 트리거 시킬 수 있음.

    (18바이트 페이로드로도 공격 가능. 18바이트 페이로드는 기본 Probe의 절반에 미치는 못하는 크기이며(43%), 

     허용되는 최소 probe 보다도 작은 크기임)

② WS-Discovery 기술이 다양한 장비에서 사용되고 있어 악용 시, 피해가 규모가 클 것으로 예상

    2008년부터 생산된 모든 HP 프린터, Vista 후속 버전의 모든 Windows 운영체제, IoT 장비를 포함 약 63만개의 장비들이 

    WS-Discovery 기술을 사용 중.

※현재 온라인에 노출된 WS-Discovery 관련 장비 수 : 671,633 한국 : 51,601>

 ③ UDP 프로토콜을 이용하므로 공격자는 IP주소를 스푸핑할 수 있어, 목표 대상에 Response를 보내도록 해 DDoS 공격 실시.

 ④ 기존에 사용되지 않았던 비교적 새로운 기술인 WS-Discovery 프로토콜을 이용.

- 과거 미라이 봇넷의 IoT 장비 공격 때처럼, 노출된 WS-Discovery 장비들이 공격에 사용될 시 큰 피해가 우려됨으로 관련 취약점에 대한 대비가 필요함.

- 관련 포트(3702)에 대한 스캔이 8월 중순부터 증가함 

 - 대응 방안 :  방화벽에서 UDP source port 3702를 사전차단하여 예방할 수 있으나, WS-Discovery를 사용하는 장치에 대해

                   ACL을 적용하는 것이 서비스 측면에서 효과적임.

영향성

방화벽에서 3702 포트에 대한 접근 제한이 없을 시, 공격에 취약할 수 있음

참고자료

출처 : https://www.wired.com/story/ddos-attack-ws-discovery

https://www.csoonline.com/article/3439442/misconfigured-ws-discovery-in-devices-enable-massive-ddos-amplification.html

https://zero.bs/new-ddos-attack-vector-via-ws-discoverysoapoverudp-port-3702.html

https://threatpost.com/massive-gaming-ddos-attack-widespread-technology/148443/