Black Nurse
Chwytliwa nazwa, prawda? Chciałbym uprzejmie uprzedzić przed wyszukiwaniem jej w internecie, ponieważ można natknąć się na sprośne filmy. Chociaż… każdy potrzebuje chwili relaksu. Wymyślił ją jeden z pracowników zespołu, który odkrył atak. Połączył on byłe zawody swoich współpracowników: jeden z członków był kowalem (blacksmith), a drugi pielęgniarzem (nurse).
Protokół ICMP
Wykorzystywany jest do diagnozowania działania sieci. Zwraca informacje o błędach oraz inne istotne informacje. Używa on typów i kodów. Zaimplementowanych jest 256 typów i 256 kodów.
DDoS
W dzisiejszych czasach, prawie każda firma ma w Internecie swoją stronę, czy sklep. Zespoły bezpieczeństwa starają się utrzymać usługi w sieci bezpieczne i stale dostępne. Do tego celu w infrastrukturze rozmieszczają firewalle, czyli zapory ogniowe oraz inne urządzenia podnoszące poziom bezpieczeństwa. Potrafią one w znacznym stopniu wyeliminować podstawowe typy ataków DDoS, takich jak „ping flood”, który jest dobrze znany atakującym. Polega on na zalaniu łącza internetowego pakietami ICMP Type 8, Code 0. Ale takie ataki wolumetryczne wymagają wysyłania kilku gigabitów danych na sekundę. Aby to osiągnąć trzeba wykorzystać wiele wektorów ataku. Jest to trudne do zrealizowania i wymaga sporych nakładów.
Dlaczego BlackNurse jest inny?
Jest on groźniejszy. Nie potrzebujesz botnetu składającego się z ogromnej ilości urządzeń (przykład: atak na Briana Krebsa z użyciem przejętych urządzeń IoT, którego maksymalną moc szacował na > 1.5Tbps), aby przeprowadzić skuteczny atak DDoS.
Zwyczajnie taki DDoS opiera się na natężeniu ruchu pochodzącym od atakującego, ale badacze z TDC Security Operations Center odkryli kilka ataków „low-volume DDoS”. Wykorzystują one pakiety ICMP Type 3, Code 3. Atakującemu do spowodowania Denial of Service (DoS) wystarczy pojedynczy komputer i łącze o przepustowości 15-18 Mbit/s. Efekt? Przeciążenie CPU urządzenia sieciowego. Użytkownicy sieci nie będą w stanie wysyłać ani odbierać pakietów z/do Internetu.
Mitigacja
BlackNurse stanowi wektor ataku, jeśli akceptujemy pakiety ICMP na zewnętrznym interfejsie firewalla. Więc jedną z metod jest wyłączenie ICMP Type 3, Code 3 na interfejsie WAN.
Bardzo łatwo się uchronić takim atakom poprzez odpowienie rulki Firewalla oraz posiadać urządzenie które nie jest tak podatne na taki atak.