piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

memcached を悪用したDDoS攻撃についてまとめてみた

2018年2月下旬にPort 11211に対するアクセス増加がみられるとしてJPCERT/CCが注意喚起を行いました。11211/udpポートはmemcachedでデフォルトで利用されているもので、JPCERT/CCは先の注意喚起で「memcached を踏み台として悪用したとみられる DDoS 攻撃の報告を受け取っています。」と攻撃への悪用についても報告しています。ここでは関連情報をまとめます。

タイムライン

日時 出来事
2018年2月21日頃 JPCERT/CCが11211/udpへのアクセス増加を確認。
同日頃から memcachedを用いたとみられるDoS攻撃が観測。
2018年2月28日 JPCERT/CCが11211/udpのアクセス制御に対する注意喚起を発表。
2018年3月1日 2時21分頃 Githubを対象にしたピーク時 1.35Tbps規模のDDoS攻撃が発生。(1回目)
同日 3時頃 Githubを対象にしたピーク時 400Gbps規模のDDoS攻撃が発生。(2回目)
2018年3月5日 ArborNetworksがピーク時 1.7Tbps規模の攻撃を観測したと報告。

memcachedを悪用したDoS攻撃

  • 送信元を偽装しUDPを用いて平均で9000〜10000倍に増幅したリフレクションによるDDoS攻撃
  • 増幅される幅としてUS-CERTの注意喚起では最大5.1万倍との表記もある。
  • インターネット上からアクセス可能なmemcachedは2月27日に約9万3千台が確認されている。
  • Public Memcached

memcachedを利用している場合

  • インターネットからmemcachedへのアクセス制御が適切に行われている(接続できないこと)ことを確認する。
三者がアクセス可能な状態で公開されている場合
  • DoS攻撃の送信に悪用される恐れがある。
  • キャッシュデータを参照され情報が漏えいする恐れがある。
Nmapを使った確認方法
  • nmapでは次のコマンドを用いて確認することが可能。
$ nmap TARGET -p 11211 -sU -sS --script memcached-info

攻撃観測

(2) セキュリティベンダが観測したピークの攻撃規模
報告したセキュリティベンダ 観測したDoS攻撃のピーク時最大規模
Akamai 190 Gbps超
CLOUDFLARE 257 Gbps
LINK11 460 Gbps
IMPPERVA 190 Gbps
Qrator Labs 480 Gbps
Alibaba Cloud 578.6 Gbps
(3) 国内の事例

ホスティングサービスを利用しているユーザーが踏み台とされたと報告している。

IIJの観測レポート

JPCERT/CCからの注意喚起にも記載されている、2月21日頃から件数が増加していることが確認出来ており、本攻撃に利用可能なホストを探索しているものと考えられます。

(4) GithubへのDDoS攻撃

  • Github.comで以下のサービス障害が発生した。
    • 2018年2月28日 17時21分〜17時26分(UTC)までの間、利用できない
    • 2018年2月28日 17時26分〜17時30分(UTC)までの間、断続的に利用できない

観測されたDDoS攻撃の状況

発生日時 ピーク時の攻撃規模 サービス影響
2018年3月1日 2時21分頃から発生 約1.35Tbps(毎秒126.9百万パケット) 約6分程度のサービス障害
2018年3月1日 3時頃から発生 約400Gbps 無し
  • DDoS攻撃memcachedを悪用したリフレクション攻撃であった。
  • 攻撃は数千種類のユニークなエンドポイントを通じ、1000を超えるASNから発生した。
  • DDoS攻撃への対応としてProlexicの軽減策が約6時間導入された動きが見られる。
日時 Githubの対応
2018年3月1日 2時21分頃 Github.comで障害検知。
Githubの施設の1つで使用されるインバウンドの帯域幅が100Gbpsを超過したことからアカマイへのトラフィック移動を決定。
2時26分頃 ChatOpsツールを用いてBGPアナウンスメントの取り消し、及びアカマイ経由とするコマンドを実行。
2時30分頃 サービスの障害が回復。
2時34分頃 Internet exchangeへのルートはフォローアップとして引き継ぎ。
(5) RansomDoSの動き
  • memcached DDoS攻撃の中で、身代金の要求メッセージが含まれたものが観測されている。
  • 要求されている暗号通貨はMonero。金額は50XMR。
  • 攻撃者はmemcachedサーバーにペイロードを落とすことができ、キャッシュ内に該当メッセージを含ませて送信している模様。

(6) Arbor Networksが1.7 Tbps規模の攻撃を観測

Today, NETSCOUT Arbor can confirm a 1.7Tbps reflection/amplification attack targeted at a customer of a U.S. based Service Provider has been recorded by our ATLAS global traffic and DDoS threat data system.

  • memcachedを悪用したDoS攻撃トラフィックでピーク時に1.7Tbps規模の攻撃を観測したと報告。
  • ATLASのグローバルトラフィックとDDoSの脅威データシステムにより記録されたもの。
  • ATLASは匿名化したトラフィックデータを共有する仕組み*1
  • 米国のサービスプロバイダーの顧客が対象となったもの。
  • 対策が行われていたことから接続障害は報告されなかった。

更新履歴

  • 2018年3月2日 AM 新規作成
  • 2018年3月2日 PM GithubDDoS攻撃に関連する情報を追記
  • 2018年3月3日 AM GithubDDoS攻撃の時間が一部UTCとなっていたのでJSTに修正
  • 2018年3月4日 AM RansomDoSの動きを追記
  • 2018年3月5日 AM Redhatのセキュリティ情報を追記
  • 2018n年3月7日 AM Arborの観測情報などを追記