포스팅 내용

국내외 보안동향

Memcached DDoS 익스플로잇 코드 및 취약한 서버 17,000대의 목록 공개 돼

Memcached DDoS Exploit Code and List of 17,000 Vulnerable Servers Released


Memcached 증폭 공격용 PoC 익스플로잇 코드 2개가 온라인에 공개 되었습니다. (▶ 관련 내용 자세히보기)


이번에 공개된 익스플로잇을 이용하면 해킹 초보들도 쉽게 UDP reflection을 사용해 대규모 DDoS 공격을 실행할 수 있게 됩니다.


첫번째 DDoS 툴은 C 프로그래밍 언어로 작성 되었으며, 미리 컴파일 된 취약한 Memcached 서버 목록을 사용합니다. 또한 이 툴의 설명에는 인터넷에 노출 된 Memcached 서버에 취약한 서버 약 17,000대의 목록이 포함 되어 있습니다.


두 번째 Memcached DDoS 공격 툴은 파이썬으로 작성 되었으며, Shodan 검색 엔진 API를 사용해 Memcached에 취약한 서버 목록의 최신 버전을 받아오며 스푸핑 된 source IDP 패킷을 각각의 서버에 보냅니다.


지난 주, 기록을 갱신하는 DDoS 공격이 2건이나 발생했습니다. 하나는 Github을 공격한 1.35Tbps, 두 번째는 이름을 밝히지 않은 미국 회사에 가해진 1.7Tbps 규모의 공격입니다. 이들은 모두 증폭/반사(amplification/reflection)라 불리는 기술을 사용한 공격입니다.


지난 주 Memcached 공격이 새로운 증폭/반사 공격으로 밝혀지자, 해킹 그룹들이 안전하지 않은 Memcached 서버들을 악용하기 시작한 것으로 보입니다.


하지만 현재 상황은 더욱 심각해져, PoC 익스플로잇 코드가 공개 되어 누구나 대규모 DDoS 공격을 실시할 수 있게 되었으며 이는 취약한 Memcached 서버가 모두 패치 되거나, 방화벽으로 11211 포트를 차단하거나, 완전히 오프라인으로 만들기 전에는 멈출 수 없게 되었습니다.


게다가 사이버 범죄자 그룹들이 거대 사이트들을 협박해 돈을 갈취하기 위해 이 새로운 DDoS 공격 기술을 무기화 하기 시작했습니다.


증폭/반사 공격이 새로운 것은 아닙니다. 공격자들은 이미 공격의 규모를 최대화 하기 위해 이 DDoS 공격 기술을 이용해 DNS, NTP, SNMP, SSDP, Chargen 등 기타 프로토콜의 결점을 악용해왔습니다.


공격을 완화하고 Memcached 서버들이 reflector로 악용 되는 것을 예방하는 가장 좋은 방법은 Memcached를 로컬 인터페이스에서만 사용 가능하도록 바인드 하거나, 사용하지 않을 경우에는 UDP 지원을 완전히 비활성화 하는 것입니다.





출처 :

https://thehackernews.com/2018/03/memcached-ddos-exploit-code.html

티스토리 방명록 작성
name password homepage