保安: 分散SNSでの無差別フォロー・メンション・再帰取得によるDDoS攻撃

Mastodon/security
概要

2022-12-03 Sat 16:00 (JST) 頃から分散SNSの大型サーバーを中心にDDoS攻撃があったようで、話題でしたので紹介します。

概要は以下となります。

攻撃概要

攻撃手法1: 攻撃対象サーバーに登録されたボットアカウントによる疑惑ドメインユーザーへの、無差別フォロー+メンション+アカウント削除による負荷攻撃。

攻撃手法2: 攻撃元ユーザー投稿の検索による参照データの無限再帰取得による負荷攻撃。

攻撃元ドメイン

  • *.activitypub-troll.cf
  • *.misskey-forkbomb.cf
  • *.repl.co

対策1: 上記ドメインに対するドメインブロック。ボットアカウントの停止・登録拒否。

対策2: 攻撃元ドメインのユーザーを検索しない。Misskeyの場合、Misskey v12.119.1以上への更新。

分散SNSが通信を行うことを利用して、無差別フォローやメンションという通常操作を大量に行う負荷攻撃のようでした。サブドメインは無尽蔵に作成できることを利用して、これらのサブドメインの大量のサーバー・ユーザーに無差別フォロー・メンションができたようです。また、アカウント削除はサーバーへの負荷が大きいようです。

また、参照データ (返信ツリーなど) の再帰取得は最初にMisskeyで攻撃されて、それがMastodonにも適用されているようです (forkbomb DOS mitigation by mei23 · Pull Request #4214 · mei23/misskey · GitHub)。

このような外部から指示や制御を行う攻撃サーバーを使った C&C (Commannd and Control Server) 形式の攻撃というらしいです (C&Cサーバー | サイバーセキュリティ情報局)。

mstdn.jpなどが攻撃を受けて、500エラーにより一時アクセス困難になったようです。

以下の2投稿が今回の問題を一番端的に説明していたように感じます。

To all Mastodon-admins: seems like there’s an attack on all instances by troll accounts. Servers get slow because of it.
They use thousands of subdomains of activitypub-troll.cf. My ‘pull’ queues skyrocketed.

I now blocked the domain activitypub-troll.cf and all is back to normal. Please check if you’re hit too.
#mastoadmin #fediblock
Ruud: “To all Mastodon-admins: seems …” – Mastodon
Kris Nóva :nova: (nova@hachyderm.io)’s status on Monday, 05-Dec-2022 22:08:49 JSTKris Nóva :nova:Kris Nóva :nova:

特に2個目のこちらの投稿がレポート記事「Context – HackMD」を公開してくれており、助かりました。

1個目の投稿はおそらく一連の騒動の初期の告知と思われます。時差があるので、少々時系列がややこしいのですが…

なお、「Any idea to stop activitypub-troll.cf or likewise attacks? · Issue #21977 · mastodon/mastodon · GitHub」で対策が議論されています。根本的・決定的な解決はまだのようです。

告知

整理が少々難しいのですが、内容ごとに反響を紹介します。

まず、以下の投稿群で攻撃元や今回の事件のレポート、最初の告知元などが紹介されていました。

藤井太洋, Taiyo Fujii (taiyo@ostatus.taiyolab.com)’s status on Sunday, 04-Dec-2022 08:46:42 JST藤井太洋, Taiyo Fujii藤井太洋, Taiyo Fujii

昨日、マストドンサーバーに対する攻撃として注目を集めた activitypub-troll.cf ですが、他にも類似の攻撃を行うドメインがあるようです。

*.activitypub-troll.cf
*.misskey-forkbomb.cf
*.repl.co

hachyderm.io のアドミン @nova が報告しています。

https://hachyderm.io/@nova/109451690043405028

Kris Nóva :nova: (nova@hachyderm.io)’s status on Sunday, 04-Dec-2022 09:11:11 JSTKris Nóva :nova:Kris Nóva :nova:

The best advice for any is to “suspend” the following domains in their preferences>moderation>federation>add new domain block

*.activitypub-troll.cf
*.misskey-forkbomb.cf
*.repl.co

Kris Nóva :nova: (nova@hachyderm.io)’s status on Monday, 05-Dec-2022 21:25:28 JSTKris Nóva :nova:Kris Nóva :nova:
Kris Nóva :nova: (nova@hachyderm.io)’s status on Monday, 05-Dec-2022 21:44:16 JSTKris Nóva :nova:Kris Nóva :nova:

We are currently investigating DDoS attacks which involve . I will continue to post in the thread below.

Original thread about the attacks (Thanks to @ian for sharing) is here:

https://hachyderm.io/@dwarf/109449246766819991

Again – We currently suspect that the fediverse is being leveraged for a C&C style DDoS attack against arbitrary domains. We believe they are using wildcart certs to change DNS to point to their victims, and the fediverse is their new fleet of compute to do their dirty work.
Kris Nóva :ferris:: “Original thread about the atta…” – Hachyderm.io
中国での被害

以下の投稿で中国ユーザーの攻撃被害や、攻撃内容の概要が紹介されていました。

藤井太洋, Taiyo Fujii (taiyo@ostatus.taiyolab.com)’s status on Sunday, 04-Dec-2022 08:56:39 JST藤井太洋, Taiyo Fujii藤井太洋, Taiyo Fujii
草莓酱? :verified: (strawberry@m.cmx.im)’s status on Sunday, 04-Dec-2022 10:54:09 JST草莓酱? :verified:草莓酱? :verified:

Mastodon的ActivityPub实现中的一个安全漏洞被利用来攻击Mastodon网站,本站也受到影响——公共时间线在很长一段时间内持续充斥着垃圾帖子和用户,大大消耗了服务器资源。目前,我们已经封锁了恶意滥用该漏洞的域名及其28,000余个随机子域。根据用户反馈,该安全漏洞是由本站站内用户搜索恶意实例的用户引起的,每次都会返回2个随机用户名,由于Mastodon缺乏对递归的限制,导致服务器陷入无限抓取的循环。

Ref: https://fedibird.com/users/yustier/statuses/109448938246497764

HyoYoshikawa (hyoyoshikawa@toot.blue)’s status on Monday, 05-Dec-2022 21:27:38 JSTHyoYoshikawaHyoYoshikawa

@taiyo @strawberry

例によって機械翻訳を貼ります

MastodonのActivityPub実装のセキュリティバグがMastodonサイトを攻撃するために利用され、当サイトも影響を受けました。公共タイムラインは長い間ゴミ投稿とユーザーでいっぱいになり、サーバー資源を大幅に消費しました。現在、私たちはこの脆弱性を悪意的に悪用したドメインとその28,000個余りのランダムサブドメインをブロックしました。ユーザーのフィードバックによると、このセキュリティバグは当サイト内のユーザーが悪意のある実例を検索したユーザーによって引き起こされ、毎回2つのランダムユーザー名が返されます。Mastodonの再帰に対する制限がないため、サーバーが無限捕獲の循環に陥ります。

国内での発見

以下の投稿などで2022-12-03 16:00頃に発生したことが観測されたことが、日本での初観測だったのではないかと思われます。

ぽむ@深淵の底 (nippon@mstdn-dystopia.com)’s status on Monday, 05-Dec-2022 21:33:15 JSTぽむ@深淵の底ぽむ@深淵の底

なんかsocialの本家鯖とか連合経由であやしい連投botがどんどんToot送ってきて重くなってるみたいで多分jpもそれ食らったのではという見立て。( 

その他、今回の件について以下の投稿で警告告知されていました。

‮(dribideF) 碌藍‮ (yustier@fedibird.com)’s status on Saturday, 03-Dec-2022 19:35:47 JST‮(dribideF) 碌藍‮‮(dribideF) 碌藍‮

凝るなどした

仕組

今回の攻撃内容についていくつか考察がありました。

kphrx (kpherox@pl.kpherox.dev)’s status on Monday, 05-Dec-2022 22:47:21 JSTkphrxkphrx
activitypub-troll.cf開いたらnode.jsっぽいコードがテキストで表示されてて笑ってる

攻撃元ドメインにアクセスすると攻撃コードらしきものが表示されるそうです。コードの全文は以下でした。記録のために掲載します。

残り36097文字。続きはBronze/Free/Gold/Silver会員限定。

Free=0/Bronze=220/Silver=1100/Gold=1980円。

会員登録 (About Member)

Comments

Ads Blocker Image Powered by Code Help Pro

広告ブロッカー検知/Ads Blocker Detected

このサイトは会費と広告で運営されています。[Bronze=月220円以上に登録] するか、広告ブロッカーを無効にしてください。

This site is operated by membership and advertise. Please [register at least Bronze=220 JPY/month], or disable ads blocker.

Copied title and URL