[ad_1]

Les attaquants se sont emparés d’une méthode relativement nouvelle pour exécuter attaques par déni de service distribué (DDoS) d’une puissance perturbatrice sans précédent, l’utilisant pour lancer des attaques DDoS record au cours de la semaine dernière. Aujourd’hui, des preuves suggèrent que cette nouvelle méthode d’attaque alimente des attaques numériques dans lesquelles les victimes sont invitées à payer une rançon pour annuler des cyberattaques paralysantes.

Le 1er mars, la société d’atténuation des attaques DDoS Akamaï révélé que l’un de ses clients a été victime d’une attaque DDoS qui a atteint 1,3 Tbps, ce qui en ferait la plus grande attaque DDoS jamais enregistrée publiquement.

Le type de méthode DDoS utilisé dans cette attaque record abuse d’un service légitime et relativement courant appelé « memcached » (prononcé « mem-cash-dee ») pour augmenter massivement la puissance de leurs attaques DDoS.

Installé par défaut sur de nombreux Linux versions du système d’exploitation, memcached est conçu pour mettre en cache les données et alléger la pression sur les magasins de données plus lourds, comme le disque ou les bases de données. On le trouve généralement dans les environnements de serveur cloud et il est destiné à être utilisé sur des systèmes qui ne sont pas directement exposés à Internet.

Memcached communique à l’aide du protocole de datagramme utilisateur ou UDP, qui permet des communications sans aucune authentification – à peu près n’importe qui ou n’importe quoi peut lui parler et lui demander des données.

Étant donné que memcached ne prend pas en charge l’authentification, un attaquant peut « usurper » ou falsifier l’adresse Internet de la machine effectuant cette demande afin que les serveurs memcached répondant à la demande répondent tous à l’adresse usurpée – la cible prévue de l’attaque DDoS.

Pire encore, memcached a une capacité unique à prendre une petite quantité de trafic d’attaque et à l’amplifier en une menace beaucoup plus grande. Les tactiques DDoS les plus populaires qui abusent des connexions UDP peuvent amplifier le trafic d’attaque 10 ou 20 fois – permettant, par exemple, à une demande de fichier de 1 Mo de générer une réponse qui inclut entre 10 Mo et 20 Mo de trafic.

Mais avec memcached, un attaquant peut forcer la réponse à être des milliers de fois la taille de la requête. Toutes les réponses sont envoyées à la cible spécifiée dans la demande falsifiée, et cela ne nécessite qu’un petit nombre de serveurs memcached ouverts pour créer d’énormes attaques en utilisant très peu de ressources.

Akamai estime qu’il existe actuellement plus de 50 000 systèmes memcached connus exposés à Internet qui peuvent être exploités à tout moment pour faciliter des attaques DDoS massives.

Les deux Akamaï et Qrateur – une société russe d’atténuation des attaques DDoS – a publié des articles de blog le 28 février avertissant de la menace accrue des attaques memcached.

« Cette attaque était la plus grande attaque jamais vue par Akamai, plus du double de la taille des attaques de septembre 2016 qui ont annoncé le botnet Mirai et peut-être la plus grande attaque DDoS divulguée publiquement », a déclaré Akamai. [link added]. « En raison des capacités de réflexion memcached, il est fort probable que cette attaque record ne sera pas la plus importante pendant longtemps. »

Selon Qrator, cette possibilité spécifique de permettre des attaques DDoS de grande valeur était dévoilé en 2017 par un groupe chinois de chercheurs de la cybersécurité Équipe 0Kee. Le concept plus large a été introduit pour la première fois en 2014 Chapeau noir Conférence américaine sur la sécurité intitulée « Injections Memcached.

DDOS VIA DEMANDE DE RANÇON

Jeudi, BreachTrace a entendu plusieurs experts de Cyberaison, une société de sécurité basée à Boston qui suit de près ces attaques memcached. Cybereason a déclaré que son analyse révèle que les attaquants intègrent une courte note de rançon et une adresse de paiement dans le trafic indésirable qu’ils envoient aux services memcached.

Cybereason a déclaré avoir vu des charges utiles d’attaque memcached qui consistent en un peu plus qu’une simple note de rançon demandant le paiement de 50 XMR (Monnaie virtuelle Monero) à envoyer à un compte Monero spécifique. Dans ces attaques, a découvert Cybereason, la demande de paiement est répétée jusqu’à ce que le fichier atteigne une taille d’environ un mégaoctet.

La demande de rançon (50 Monero) trouvée dans les attaques memcached de Cybereason jeudi.

Memcached peut accepter des fichiers et héberger des fichiers dans la mémoire temporaire pour être téléchargés par d’autres. Ainsi, les attaquants placeront le fichier de 1 Mo rempli de demandes de rançon sur un serveur avec memcached, et demanderont ce fichier des milliers de fois – tout en disant au service que les réponses doivent toutes aller à la même adresse Internet – l’adresse de l’attaque. cibler.

« La charge utile est la demande de rançon elle-même, encore et encore pour environ un mégaoctet de données », a déclaré Matt Ploessel, chercheur principal en renseignement de sécurité chez Cybereason. «Nous demandons ensuite la charge utile de la rançon memcached à plusieurs reprises, et à partir de plusieurs serveurs memcached pour produire un DDoS à volume extrêmement élevé avec un script simple et n’importe quelle connexion Internet normale du bureau à domicile. Nous observons des gens mettre en place ces charges utiles de rançon et DDoSser des gens avec eux.

Parce qu’il ne faut qu’une poignée de serveurs memcachés pour lancer un grand DDoS, les chercheurs en sécurité travaillant à réduire ces attaques DDoS ont concentré leurs efforts sur les fournisseurs de services Internet (FAI) et les fournisseurs d’hébergement Web pour bloquer le trafic destiné au port UDP utilisé par memcaché (port 11211).

Offre Gayerchef de produit senior chez société de sécurité Impervaa déclaré que de nombreux fournisseurs d’hébergement ont décidé de filtrer le trafic du port 11211 pour aider à atténuer ces attaques memcached.

« Les gros paquets ici sont très faciles à atténuer car il s’agit de trafic indésirable et tout ce qui vient de ce port (11211) peut être facilement atténué », a déclaré Gayer.

Plusieurs organisations différentes cartographient la répartition géographique des serveurs memcached qui peuvent être abusés dans ces attaques. Voici le monde en un coup d’œil, de nos amis de Shadowserver.org :

La répartition géographique des serveurs memcached exposés à Internet. Image : Shadowserver.org

Voici les 20 principaux réseaux qui hébergent actuellement le plus grand nombre de serveurs memcached accessibles au public, selon les données collectées par Cybereason :

Les FAI mondiaux avec le plus grand nombre de serveurs memcached accessibles au public.

Le site de surveillance DDoS ddosmon.net publie une liste en cours d’exécution des dernières cibles se faire bombarder de trafic dans ces attaques memcached.

Que nous disent les statistiques sur ddosmon.net ? Selon [email protected]les attaques memcached n’étaient pas très populaires comme méthode d’attaque jusqu’à très récemment.

« Mais les choses ont beaucoup changé depuis le 24 février 2018 », écrit netlab dans un article de blog du 1er mars, notant qu’en quelques jours seulement, les attaques DDoS basées sur memcached sont passées de moins de 50 événements par jour à 300-400 par jour. « Le nombre d’aujourd’hui a déjà atteint 1484, avec une heure à faire. »

Espérons que la communauté mondiale des FAI et des hébergeurs pourra s’unir pour bloquer ces attaques DDoS memcached. Je suis encouragé par ce que j’ai entendu et vu jusqu’à présent, et j’espère que cela pourra continuer sérieusement avant que ces attaques ne commencent à se généraliser et à être destructrices.

Voici la vidéo Cybereason à partir de laquelle cette image ci-dessus avec la demande de rançon XMR a été prise :

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *