요약
요약
2020년 5월 19일, Microsoft는 보안 공지 ADV200009를 발표했습니다. 이 공지는 이스라엘 연구원이 확인한 DNS 증폭 공격에 대해 설명합니다. NXNSAttack으로 알려진 이 공격은 DNS 영역에 대해 권한이 있는 Microsoft DNS 및 BIND 서버를 포함한 모든 DNS 서버를 대상으로 할 수 있습니다.
회사 인트라넷에 있는 DNS 서버의 경우 Microsoft는 이 악용의 위험을 낮게 평가합니다. 그러나 에지 네트워크에 있는 DNS 서버는 NXNSAttack에 취약합니다. 에지 네트워크에 있는 Windows Server 2016 이전 DNS 서버는 RRL(응답 속도 제한)을 지원하는 Windows Server 2016 이상 버전으로 업그레이드해야 합니다. RRL은 대상 DNS 확인자가 DNS 서버를 쿼리할 때 증폭 효과를 줄입니다.
증상
DNS 증폭 공격이 발생하면 영향을 받는 서버에서 다음 증상 중 하나 이상을 관찰할 수 있습니다.
-
DNS의 CPU 사용량이 증가합니다.
-
DNS 응답 시간이 증가하고 응답이 중지될 수 있습니다.
-
예기치 않은 수의 NXDOMAIN 응답이 인증 서버에서 생성됩니다.
공격 개요
DNS 서버는 항상 일련의 공격에 취약했습니다. 이러한 이유로 DNS 서버는 일반적으로 DMZ의 부하 분산 장치 및 방화벽 뒤에 배치됩니다.
공격자가 이 취약점을 악용하려면 여러 DNS 클라이언트를 가지고 있어야 합니다. 일반적으로 봇넷, 공격을 증폭할 수 있는 수십 또는 수백 개의 DNS 확인자에 대한 액세스, 특수 공격자 DNS 서버 서비스가 포함됩니다.
공격의 핵심은 공격자가 소유한 도메인에 대한 권한을 갖춘 특별히 빌드된 공격자 DNS 서버입니다. 공격이 성공하려면 DNS 확인자는 공격자의 도메인 및 DNS 서버에 도달하는 방법을 알아야 합니다. 이 조합은 재귀 확인자와 피해자의 신뢰할 수 있는 DNS 서버 간에 많은 통신을 생성할 수 있습니다. 그 결과 DDoS 공격이 발생합니다.
기업 인트라넷의 MS DNS 취약점
내부 개인 도메인은 루트 힌트 및 최상위 도메인 DNS 서버를 통해 확인할 수 없습니다. 모범 사례를 따를 경우 Active Directory 도메인과 같은 개인 내부 도메인에 대해 권한이 있는 DNS 서버는 인터넷에서 연결할 수 없습니다.
내부 네트워크에서 내부 도메인의 NXNSAttack은 기술적으로 가능하지만 내부 네트워크에서 악의적인 사용자가 내부 DNS 서버를 구성하여 공격자 도메인의 DNS 서버를 가리킬 수 있도록 관리자 수준 액세스 권한을 가지고 있어야 합니다. 또한 이 사용자는 네트워크에 악의적인 영역을 만들고 회사 네트워크에서 NXNSAttack을 수행할 수 있는 특수 DNS 서버를 배치할 수 있어야 합니다. 이러한 수준의 액세스 권한을 가진 사용자는 일반적으로 눈에 잘 띄는 DDoS 공격을 개시하여 자신의 존재를 알리는 것보다 은폐를 선호합니다.
에지 연결 MS DNS의 취약점
인터넷의 DNS 확인자는 루트 힌트와 TLD(최상위 도메인) 서버를 사용하여 알 수 없는 DNS 도메인을 확인합니다. 공격자는 이 공용 DNS 시스템을 통해 인터넷 연결 DNS 확인자를 사용하여 NXNSAttack 증폭을 시도할 수 있습니다. 증폭 벡터가 발견되고 나면 공용 DNS 도메인(피해자 도메인)을 호스팅하는 DNS 서버에 대한 DDoS(Denial of Service) 공격의 일부로 사용할 수 있습니다.
인터넷에서 시작되어 들어오는 원치 않는 DNS 쿼리가 허용되는 경우 확인자 또는 전달자 역할을 하는 에지 DNS 서버를 공격에 대한 증폭 벡터로 사용할 수 있습니다. 공용 액세스를 사용하면 악의적인 DNS 클라이언트가 전체 증폭 공격의 일부로 확인자를 사용할 수 있습니다.
공용 도메인에 대한 권한 있는 DNS 서버에서 루트 힌트 및 TLD DNS 인프라에서 재귀 조회를 하는 확인자로부터 들어오는 원치 않는 DNS 트래픽을 허용해야 합니다. 그렇게 하지 않으면 도메인에 액세스할 수 없습니다. 이렇게 하면 권한 있는 DNS 서버 내 모든 공용 도메인이 NXNSAttack의 잠재적 피해자가 될 수 있습니다. 에지 연결 Microsoft DNS 서버는 RRL을 지원하기 위해 Windows Server 2016 이상 버전을 실행해야 합니다.
해결 방법
이 문제를 해결하려면 적절한 서버 유형에 다음 방법을 사용하세요.
인트라넷과 연결되는 MS DNS 서버의 경우
이 악용의 위험은 낮습니다. 내부 DNS 서버에서 비정상적인 트래픽이 확인되는지 모니터링합니다. 발견되면 회사 인트라넷에 있는 내부 NXNSAttacker를 사용하지 않도록 설정합니다.
에지와 연결되는 권한 있는 DNS 서버의 경우
Windows Server 2016 이상 버전의 Microsoft DNS에서 지원하는 RRL을 사용하도록 설정합니다. DNS 확인자에 RRL을 사용하면 초기 공격 증폭이 최소화됩니다. 권한 있는 DNS 서버의 공용 도메인에 RRL을 사용하면 DNS 확인자에서 다시 반영되는 모든 증폭이 줄어듭니다. 기본적으로 RRL은 비활성화됩니다. RRL에 대한 자세한 내용은 다음 문서를 참조하세요.
|
기본값을 사용하여 RRL을 활성화하려면 SetDNSServerResponseRateLimiting PowerShell cmdlet을 실행합니다. RRL을 활성화하면 올바른 DNS 쿼리가 너무 엄격하게 조절되어 실패하게 됩니다. DNS 서버가 이전에 실패한 쿼리에 응답할 때까지만 응답 수/초 및 오류 수/초 매개 변수 값을 점진적으로 늘립니다.
다른 매개 변수를 사용하면 관리자가 RRL 설정을 더 잘 관리하는 데 도움이 될 수도 있습니다. 이러한 설정에는 RRL 예외가 포함됩니다.
자세한 내용은 다음 Microsoft Docs 문서를 참조하세요.
질문과 대답
질문 1: 여기에 요약된 완화가 모든 버전의 Windows Server에 적용됩니까?
대답 1: 아니요. 이 정보는 Windows Server 2012 또는 2012 R2에는 적용되지 않습니다. 이러한 레거시 버전의 Windows Server는 대상 DNS 확인자가 DNS 서버를 쿼리할 때 증폭 효과를 줄이는 RRL 기능을 지원하지 않습니다.
질문 2: Windows Server 2012 또는 Windows Server 2012 R2를 실행하는 에지 네트워크의 DNS 서버를 사용하는 경우 고객은 어떻게 해야 합니까?
대답 2: Windows Server 2012 또는 Windows Server 2012 R2를 실행하는 에지 네트워크에 있는 DNS 서버는 RRL을 지원하는 Windows Server 2016 이상 버전으로 업그레이드해야 합니다. RRL은 대상 DNS 확인자가 DNS 서버를 쿼리할 때 증폭 효과를 줄입니다.
질문 3: 적법한 DNS 쿼리가 RRL로 인해 실패하는지 여부를 확인하려면 어떻게 해야 합니까?
대답 3: RRL이 LogOnly 모드로 구성된 경우 DNS 서버는 모든 RRL 계산을 수행합니다. 그러나 서버는 응답 삭제 또는 자르기 등의 예방 조치를 취하는 대신 RRL을 사용 가능한 것처럼 잠재적 조치를 기록한 다음 일반적인 응답을 계속 제공합니다.
