安全公司认为勒索赎金是Memcached DDoS攻击背后的直接动机
在上周二,安全公司Cloudflare和Arbor Networks均发出了安全预警,称Memcached服务器已经了遭到网络犯罪分子的滥用,在他们的终端上使用非常少的计算资源发起大规模的分布式拒绝服务(DDoS)攻击。而在随后,已经有越来越多的安全公司发出了同样的安全警告。
Memcached是一套分布式的高速缓存系统,它最初是由综合型SNS交友网站LiveJournal的创建者美国程序员Brad Fitzpatrick开发的。在全球范围内,Memcached已经被许多网站持有者用来提升其网站的访问速度。CISSP培训尤其对于一些大型的或者需要频繁访问数据库的网站来说,CISSP培训其提升访问速度的效果十分显著。
根据多家安全公司的描述,我们看到了一种利用Memcached服务器实施反射式DDoS攻击的技术。攻击者通过向Memcached服务器IP地址的默认端口11211发送伪造受害者IP地址的特定指令UDP数据包(stats、set/get指令),以欺骗服务器向受害者IP地址返回比原始数据包大数倍的数据(理论最高可达5.12万倍),从而实现反射式DDoS攻击。
攻击者利用了大量在线暴露的Memcached服务器,根据Cloudflare使用网络空间搜索引擎Shodan的搜索结果来看,这些服务器大部分位于美国,其次是中国和法国。
国家互联网应急中心(CNCERT)的跟踪分析结果证实了Cloudflare的说法,基于Memcached服务器的DDoS攻击活动自2月21日开始在我国境内活跃,3月1日的攻击流量已超过传统反射攻击SSDP和NTP的攻击流量,而到了3月1日凌晨2点30分左右峰值流量高达1.94Tbps。
来自以色列网络安全公司Cyber??eason的最新消息称,攻击者的真实目的似乎已经开始展现了。在最新的攻击活动中,攻击者透露出了他们想要传达的信息:他们将1GB字节的数据专用于赎金票据,该票据提示受害者需要支付50个门罗币(约价值1.8万美元),包含在一行Python代码中,并重复多次出现。
在以往的DDoS攻击事件中,攻击者提出此类赎金需求并不少见CISSP培训。但在通常情况下,攻击者是在发起攻击之后通过电子邮件或其他方式向受害者发送勒索信息。Cyber??eason指出,这还是他们首次看到直接将勒索信息包含在攻击代码中一起发送的案例。
安全专家认为,出现这种情况最大的可能来自垃圾邮件保护机制普遍开始变得越来越强大,这使得通过电子邮件发送的勒索信息很可能被过滤掉,而不能被受害者看到。而直接将勒索信息包含在攻击代码中,则能够从侧面保障勒索的成功率。
另一方面,攻击者之所以选择门罗币而不是其他数字加密货币很大可能与门罗币的匿名性有关。与其他数字加密货币(如比特币)相比,门罗币对攻击者来说更有吸引力,因为它更加难以被追踪。