2018년 4월 6일 금요일

멤캐시드(Memcached) DDoS 공격

 뉴딜코리아 홈페이지 

멤캐시드(Memcached) DDoS 공격


오픈소스 커뮤니티 '깃허브'에 사상최대 디도스 공격

1.35Tbps 규모 공격, 9만개 이상 시스템 공격 노출


멤캐시드(Memcached) 서버를 이용한 DDoS 공격으로, 수많은 좀비 PC를 감염시킨 뒤 일제히 공격 명령을 내려 목표를 마비시키는 기존 DDoS와는 달리 위장된 명령어를 멤캐시드 서버에 보내 공격을 ‘반사 및 증폭’ 시켜 막대한 양의 트래픽을 발생시키는 매우 위협적인 신종 공격

고유한 공격 방식 때문에 ‘멤캐시드 DRDoS’로도 불리는 이 공격은 멤캐시드 서버 IP주소의 기본 포트인 11211번 포트로 특정 명령의 UDP 패킷을 전송해 목표로 삼은 대상에게 원래 패킷보다 수배 증폭된 패킷을 보낸다.

이론상으로는 최대 5만 배까지도 증폭이 가능한 것으로 알려졌다.

이런 멤캐시드 서버 DDoS는 해외 오픈소스 소프트웨어(SW) 개발 커뮤니티‘깃허브(GitHub)’에 1.36Tbps 규모의 공격을 가했고, 얼마 전에는 해외의 한 기업에 1.7Tbps 규모의 공격을 가해 역대 최대 규모 DDoS 공격 기록을 갱신했다.




멤캐시드 서버에서 발생하는 UDP 반사 공격으로 현재 9만개 이상의 취약한 시스템이 이 공격에 노출, 이처럼 위협적인 멤캐시드 DDos 공격은 그동안 주로 기업의 대형 서버를 대상으로 이뤄져 각 기업들의 보안에 비상

Memcached 취약점을 이용한 DDoS 증폭 공격에 관련된 기사가 이어지는 가운데, 이 공격을 중단시킬 수 있는 킬스위치(Killswitch)가 발견되었다는 기사가 공개되었다.

Memcached의 취약점을 이용한 DDoS 공격이 나날이 신기록을 갱신하는 가운데, 누군가 증폭공격(amplification attack)의 개념증명(PoC, Proof-of-Concept)코드를 공개해 상황이 더 악화되는 것으로 보였다.

GitHub은 최초 공격대상으로 1.35Tbps의 DDoS를 겪었으며, 알려지지 않은 미국의 회사는 1.7Tbps라는 사상최고치의 DDoS 공격을 당했다.

그러나 이번에는 Coreno Network Security에서 Kill Switch를 발견했으며, 이 DDoS 공격을 예방할 수 있다고 밝혔다.

연구자들에 따르면, 이번에 확인된 킬 스위치는 악성 페이로드를 포함한 취약한 서버의 캐시를 무효화해서, DDoS 공격을 제어하기 위한 명령을 공격자의 서버로 되돌려보낸다.

Corero의 연구자들은 이미 공격 서버에 대해 테스트를 진행하고 100% 효과적임을 확인했다고 밝혔다.


■ 첨부 : 멤캐시드DDoS공격리포트

ISMS 인증컨설팅 | 취약점 진단 및 모의 침투 | 보안솔루션 공급
(070-7867-3721, ismsbok@gmail.com)



댓글 없음:

댓글 쓰기