Slachtoffers van DDoS aanvallen met memcached servers afgeperst

Cybercriminelen zetten Distributed Denial of Service (DDoS) aanvallen met memcached servers in om slachtoffers af te persen. Memcached servers zijn servers bedoeld om data te cachen om laadtijden te verkorten. Doordat de servers geen authentificatie vereisen kunnen aanvallers echter het IP-adres van slachtoffers spoofen, waardoor zij de servers kunnen misbruiken om DDoS aanvallen op te zetten.

Dit meldt beveiligingsonderzoeker Brian Krebs op basis van bronnen binnen het beveiligingsbedrijf Cybereason. Akamai Technologies meldde onlangs dat één van zijn klanten is getroffen door een DDoS aanval met een capaciteit van 1,3Tbps, wat de aanval één van de zwaarste DDoS aanvallen ooit maakt. Hierbij werd gebruik gemaakt van memcached servers.

Wat is memcached?

Memcached is een service bedoeld om data te cachen en de laadtijd van geheugenintensieve diensten te verkorten. Memcached servers communiceren via het User Datagram Protocol (UDP) en vereisen geen communicatie. Dit stelt aanvallers in staat het IP-adres van een slachtoffer te spoofen om de reactie van memcached servers naar een slachtoffer te laten versturen.

Wat memcached servers extra interessant maakt voor cybercriminelen is dat memcached een amplificatiefactor van 50.000 biedt. Dit betekent in de praktijk dat een verzoek van 203 byte zich vertaald in een reactie van een memcached server van 100 megabyte. Door deze eigenschap kan een aanvaller met relatief weinig bandbreedte een grote hoeveelheid dataverkeer naar een slachtoffer te versturen.

Afpersing

Brian Krebs meldt op basis van verschillende experts bij het Amerikaanse beveiligingsbedrijf Cybereason dat aanvallers proberen slachtoffers af te persen door met behulp van memcached servers een DDoS aanval tegen hen op te zetten. Zo wijst het bedrijf op recente DDoS aanvallen waarbij in de verstuurde data een boodschap is verwerkt waarin slachtoffers de mogelijkheid krijgen geboden de DDoS aanval af te kopen door 50 Monero (XMR) te versturen naar een specifiek adres. Deze boodschap wordt een groot aantal keer herhaald, totdat het databestand een omvang heeft van ongeveer één megabyte.

Dit databestand wordt door aanvallers op een memcached server geplaatst. De aanvallers spoofen vervolgens het IP-adres van het slachtoffer en vragen het databestand duizenden malen op. "De payload is het verzoek om losgeld, dat continu wordt herhaald tot ongeveer een megabyte aan data", legt Matt Ploesel, principal security intelligence researcher bij Cybereason, uit aan Krebs. Ploesel geeft aan dat door meerdere memcached servers te misbruiken voor dit doeleinden een DDoS aanval met een extreem groot volume kan worden opgezet.

UDP-poort 11211 blokkeren

Naar schatting zijn ongeveer 50.000 memcached servers op internet beschikbaar. Aangezien slechts een klein aantal memcached servers nodig zijn om een DDoS aanval met een enorme capaciteit op te zetten is het onbegonnen werk dergelijke aanvallen te stoppen door memcached servers uit de lucht te halen. Memcached servers communiceren echter via UDP-poort 11211. Security experts die dergelijke DDoS aanvallen tot een einde proberen te brengen richten zich daarom vooral op het overtuigen van Internet Service Providers en webhosting providers om UDP-poort 11211 te blokkeren, meldt Krebs. Dit voorkomt dat verkeer vanaf memcached servers doelwitten kan bereiken.