过去的一周,memcached反射攻击(memcached reflection attacks)掀起了一场DDoS攻击风暴。各行各业已受到多次攻击,其中针对Akamai客户的攻击就达到了破纪录的1.3 Tbps。Akamai观察到,本次勒索攻击使用的是Memcached payload。
勒索和DDoS
对DDoS世界来说,勒索并不陌生,而攻击者利用它的方式一直都很有意思。诸如DD4BC的早期诈骗者会发送恶意电子邮件,其中含有攻击和支付信息、日期和截止日期,并伴随小型攻击,同时还会威胁称若受害者不合作,他们将发出更大规模的攻击和索要更高的金额,逼迫受害者就范。随后,一群Copycat(模仿者)和采用大范围盲目撒网方法的团体蜂拥而上,觊觎有人会上钩来防范那些根本不存在的攻击。跟随者通常不改变付款或其它细节,他们只是把同样的威胁电子邮件发送给几个大企业。虽然那些邮件都是空头威胁,但他们依然希望能够利用企业的恐惧心理,快速骗得真金白银。
勒索和Memcached
Memcached已成为DDoS世界中的新成员和攻击者的新宠,频频对各行各业发起各种规模的攻击。与威胁较大的攻击一样,攻击者不需要太久就能找到方法将威胁转化为商业机会。
图一、带有支付请求信息的Memcached DDoS数据包
这些攻击payload是在针对Akamai Prolexic Routed平台上多个客户的实时攻击期间捕获的。如果仔细观察,可以发现埋藏在攻击流中的显然就是勒索企图。攻击者坚持要求受害者向邮件中明确提供的钱包地址支付50个(16,000美元)Monero(XMR)。这似乎与勒索电子邮件中使用的类似策略一致。他们全面撒网,目的就是希望有受害人上当支付赎金。
攻击方式及原因
在发动Memcached攻击的情况下,攻击者可以将payload拖放到他们计划反射的Memcached服务器上。在攻击者发送的信息中,大部分是毫无意义的垃圾信息,但是我们也可以看到,攻击者其实已经将赎金金额和钱包地址加载了进去,希望绝望的受害者乖乖交钱了事。
不要支付赎金,请购买更多的带宽
利用这种技术的攻击者/团体,会使用相同的攻击技术、相同的金额和钱包地址来勒索多个行业的多名受害者。目前,尚无迹象表明他们正在积极跟踪目标对象对于攻击的反应,也没有联系人信息以及关于付款通知的详细说明。我们甚至怀疑,如果受害者将所需金额存入勒索者指定的钱包地址,后者甚至有可能都不知道到底是哪个受害者付的款,更不用说他们真的会停止攻击。即使他们能够确定是谁付的款,我们也不认为他们会停止攻击受害者,因为根本就不存在攻击。
背景
在此次GitHub攻击事件中,Akamai利用Prolexic的通用DDoS防御基础架构进行了有效防御,较近还针对源自Memcached服务器的一类DDoS攻击实施了特定的防御措施。
Akamai的Prolexic可以全面防御各类DDoS攻击和高带宽、连续性的Web攻击,保护数据中心的基础设施免受攻击,在DDoS攻击到达您的应用程序和基础架构之前在云端阻止恶意流量。 
