DDoS攻擊風(fēng)暴來襲 Memcached成攻擊新寵

過去的一周，memcached反射攻擊（memcached reflection attacks）掀起了一場DDoS攻擊風(fēng)暴。各行各業(yè)已受到多次攻擊，其中針對(duì)Akamai客戶的攻擊就達(dá)到了破紀(jì)錄的1.3Tbps。Akamai觀察到，本次勒索攻擊使用的是Memcachedpayload。

勒索和DDoS

對(duì)DDoS世界來說，勒索并不陌生，而攻擊者利用它的方式一直都很有意思。諸如DD4BC的早期詐騙者會(huì)發(fā)送惡意電子郵件，其中含有攻擊和支付信息、日期和截止日期，并伴隨小型攻擊，同時(shí)還會(huì)威脅稱若受害者不合作，他們將發(fā)出更大規(guī)模的攻擊和索要更高的金額，逼迫受害者就范。隨后，一群Copycat（模仿者）和采用大范圍盲目撒網(wǎng)方法的團(tuán)體蜂擁而上，覬覦有人會(huì)上鉤來防范那些根本不存在的攻擊。跟隨者通常不改變付款或其它細(xì)節(jié)，他們只是把同樣的威脅電子郵件發(fā)送給幾個(gè)大企業(yè)。雖然那些郵件都是空頭威脅，但他們依然希望能夠利用企業(yè)的恐懼心理，快速騙得真金白銀。

勒索和Memcached

Memcached已成為DDoS世界中的新成員和攻擊者的新寵，頻頻對(duì)各行各業(yè)發(fā)起各種規(guī)模的攻擊。與威脅最大的攻擊一樣，攻擊者不需要太久就能找到方法將威脅轉(zhuǎn)化為商業(yè)機(jī)會(huì)。

帶有支付請求信息的Memcached DDoS數(shù)據(jù)包

這些攻擊payload是在針對(duì)Akamai Prolexic Routed平臺(tái)上多個(gè)客戶的實(shí)時(shí)攻擊期間捕獲的。如果仔細(xì)觀察，可以發(fā)現(xiàn)埋藏在攻擊流中的顯然就是勒索企圖。攻擊者堅(jiān)持要求受害者向郵件中明確提供的錢包地址支付50個(gè)（16,000美元）Monero（XMR）。這似乎與勒索電子郵件中使用的類似策略一致。他們?nèi)嫒鼍W(wǎng)，目的就是希望有受害人上當(dāng)支付贖金。

攻擊方式及原因

在發(fā)動(dòng)Memcached攻擊的情況下，攻擊者可以將payload拖放到他們計(jì)劃反射的Memcached服務(wù)器上。在攻擊者發(fā)送的信息中，大部分是毫無意義的垃圾信息，但是我們也可以看到，攻擊者其實(shí)已經(jīng)將贖金金額和錢包地址加載了進(jìn)去，希望絕望的受害者乖乖交錢了事。

不要支付贖金，請購買更多的帶寬

利用這種技術(shù)的攻擊者/團(tuán)體，會(huì)使用相同的攻擊技術(shù)、相同的金額和錢包地址來勒索多個(gè)行業(yè)的多名受害者。目前，尚無跡象表明他們正在積極跟蹤目標(biāo)對(duì)象對(duì)于攻擊的反應(yīng)，也沒有聯(lián)系人信息以及關(guān)于付款通知的詳細(xì)說明。我們甚至懷疑，如果受害者將所需金額存入勒索者指定的錢包地址，后者甚至有可能都不知道到底是哪個(gè)受害者付的款，更不用說他們真的會(huì)停止攻擊。即使他們能夠確定是誰付的款，我們也不認(rèn)為他們會(huì)停止攻擊受害者，因?yàn)楦揪筒淮嬖诠簟?/p>

背景

在此次GitHub攻擊事件中，Akamai利用Prolexic的通用DDoS防御基礎(chǔ)架構(gòu)進(jìn)行了有效防御，最近還針對(duì)源自Memcached服務(wù)器的一類DDoS攻擊實(shí)施了特定的防御措施。

Akamai的Prolexic可以全面防御各類DDoS攻擊和高帶寬、連續(xù)性的Web攻擊，保護(hù)數(shù)據(jù)中心的基礎(chǔ)設(shè)施免受攻擊，在DDoS攻擊到達(dá)您的應(yīng)用程序和基礎(chǔ)架構(gòu)之前在云端阻止惡意流量。

關(guān)于Akamai

Akamai是全球最大、最值得信賴的的云交付平臺(tái)，幫助客戶更加輕松地在任何時(shí)間、任何地點(diǎn)、任何設(shè)備上提供最佳、最安全的數(shù)字體驗(yàn)。憑借在130多個(gè)國家/地區(qū)部署的20多萬臺(tái)服務(wù)器，Akamai廣泛分布的平臺(tái)在規(guī)模上無與倫比，可以幫助客戶獲得卓越性能、抵御網(wǎng)絡(luò)威脅。出色的客戶服務(wù)和全天候監(jiān)測始終保障著Akamai的Web和移動(dòng)性能組合以及云安全、企業(yè)訪問和視頻交付解決方案。