2018年2月下旬にPort 11211に対するアクセス増加がみられるとしてJPCERT/CCが注意喚起を行いました。11211/udpポートはmemcachedでデフォルトで利用されているもので、JPCERT/CCは先の注意喚起で「memcached を踏み台として悪用したとみられる DDoS 攻撃の報告を受け取っています。」と攻撃への悪用についても報告しています。ここでは関連情報をまとめます。
タイムライン
日時 | 出来事 |
---|---|
2018年2月21日頃 | JPCERT/CCが11211/udpへのアクセス増加を確認。 |
同日頃から | memcachedを用いたとみられるDoS攻撃が観測。 |
2018年2月28日 | JPCERT/CCが11211/udpのアクセス制御に対する注意喚起を発表。 |
2018年3月1日 2時21分頃 | Githubを対象にしたピーク時 1.35Tbps規模のDDoS攻撃が発生。(1回目) |
同日 3時頃 | Githubを対象にしたピーク時 400Gbps規模のDDoS攻撃が発生。(2回目) |
2018年3月5日 | ArborNetworksがピーク時 1.7Tbps規模の攻撃を観測したと報告。 |
memcachedを悪用したDoS攻撃
- インターネット上からアクセス可能なmemcachedは2月27日に約9万3千台が確認されている。
- Public Memcached
memcachedを利用している場合
- インターネットからmemcachedへのアクセス制御が適切に行われている(接続できないこと)ことを確認する。
Nmapを使った確認方法
- nmapでは次のコマンドを用いて確認することが可能。
$ nmap TARGET -p 11211 -sU -sS --script memcached-info
注意喚起等
攻撃観測
(2) セキュリティベンダが観測したピークの攻撃規模
報告したセキュリティベンダ | 観測したDoS攻撃のピーク時最大規模 |
---|---|
Akamai | 190 Gbps超 |
CLOUDFLARE | 257 Gbps |
LINK11 | 460 Gbps |
IMPPERVA | 190 Gbps |
Qrator Labs | 480 Gbps |
Alibaba Cloud | 578.6 Gbps |
(3) 国内の事例
ホスティングサービスを利用しているユーザーが踏み台とされたと報告している。
IIJの観測レポート
JPCERT/CCからの注意喚起にも記載されている、2月21日頃から件数が増加していることが確認出来ており、本攻撃に利用可能なホストを探索しているものと考えられます。
(4) GithubへのDDoS攻撃
February 28th DDoS Incident Report by @samkottler https://t.co/TozCU6b1yN
— GitHub Engineering (@GitHubEng) 2018年3月1日
- Github.comで以下のサービス障害が発生した。
観測されたDDoS攻撃の状況
発生日時 | ピーク時の攻撃規模 | サービス影響 | |
---|---|---|---|
2018年3月1日 2時21分頃から発生 | 約1.35Tbps(毎秒126.9百万パケット) | 約6分程度のサービス障害 | |
2018年3月1日 3時頃から発生 | 約400Gbps | 無し |
- DDoS攻撃はmemcachedを悪用したリフレクション攻撃であった。
- 攻撃は数千種類のユニークなエンドポイントを通じ、1000を超えるASNから発生した。
- DDoS攻撃への対応としてProlexicの軽減策が約6時間導入された動きが見られる。
日時 | Githubの対応 | |
---|---|---|
2018年3月1日 2時21分頃 | Github.comで障害検知。 | |
: | Githubの施設の1つで使用されるインバウンドの帯域幅が100Gbpsを超過したことからアカマイへのトラフィック移動を決定。 | |
2時26分頃 | ChatOpsツールを用いてBGPアナウンスメントの取り消し、及びアカマイ経由とするコマンドを実行。 | |
2時30分頃 | サービスの障害が回復。 | |
2時34分頃 | Internet exchangeへのルートはフォローアップとして引き継ぎ。 |
(5) RansomDoSの動き
- memcached DDoS攻撃の中で、身代金の要求メッセージが含まれたものが観測されている。
- 要求されている暗号通貨はMonero。金額は50XMR。
- 攻撃者はmemcachedサーバーにペイロードを落とすことができ、キャッシュ内に該当メッセージを含ませて送信している模様。
related to this, Some Memcrashed server contains Ransom note which is server to the victim during the attack :O pic.twitter.com/ZST0JtZbdc
— Ug_0 Security (@Ug_0Security) 2018年3月2日
(6) Arbor Networksが1.7 Tbps規模の攻撃を観測
Today, NETSCOUT Arbor can confirm a 1.7Tbps reflection/amplification attack targeted at a customer of a U.S. based Service Provider has been recorded by our ATLAS global traffic and DDoS threat data system.
セキュリティベンダの観測情報等
- CLOUDFLARE Memcrashed - Major amplification attacks from UDP port 11211
- IMPERVA Inside a New DDoS Amplification Attack Vector via Memcached Servers
- ARBOR Networks memcached Reflection/Amplification Description and DDoS Attack Mitigation Recommendations
- Akamai MEMCACHED UDP REFLECTION ATTACKS
- Akamai memchachedを利用したUDPリフレクションDDoS
- Akamai MEMCACHED, NOW WITH EXTORTION!
- Akamai memcachedでついに脅迫が!
- LINK11 New High-Volume Vector: Memcached Reflection Amplification Attacks
- Qrator Labs The memcached amplification attacks reaching 500 Gbps
- senki memcached on port 11211 UDP & TCP being exploited
- 360 Netlab Memcache DDoS: A Little Bit More
- 360 Netlab Memcache UDP Reflection Amplification Attack II: The Targets, the Sources and Breakdowns
- Rapid7 The Flip Side of memcrashed
- 阿里云 758.6G每秒:阿里云成功防御国内最大规模Memcached DDoS反射攻击
その他の関連記事/情報
- Memcachedサーバーの脆弱性を突いたリフレクション攻撃が急増。JPCERTも注意喚起を実施。 - 忙しい人のためのサイバーセキュリティニュース
- Memcachedを悪用したDoS攻撃のペイロードにMoneroアドレスを挿入しランサム要求 - 忙しい人のためのサイバーセキュリティニュース
- AWSにおけるJP/CERT発行「memcachedのアクセス制御に関する注意喚起」の対応方法 | Developers.IO
- GitHubとmemcachedとDDoS攻撃とAkamaiの件。きちんと理解する。 - orangeitems’s diary
- New DDoS Reflection-Attack Variant - Schneier on Security
更新履歴
*1:memcached悪用のDDoS攻撃で1.7Tbpsを確認、米アーバーネット,日経xtech,2018年3月7日アクセス