Memcached DoS攻撃を自動で緩和するツールがリリース。

f:id:nanashi0x:20180309155117p:plain

www.bleepingcomputer.com

セキュリティ研究者のAmir Khashayar Mohammadi氏は、Memcachedサーバー経由でDDoS攻撃を受ける犠牲者を支援する新しいツール「Memfixed」を発表した。

Pythonで書かれたこのツールは、開発者がMemcachedプロジェクトに提出した緩和手法をベースに開発された。

この緩和手法は、被害者のネットワークを攻撃しているMemcachedサーバに "flush_all"コマンドを送信することから成り立っている。

尚、DDoSの防御をサービスとするセキュリティ企業Coreroも検証済みである。

MemfixedはMemcached DDoS攻撃の防御を自動化

Mohammadi氏が開発したツールは、Memfixedを作成して緩和プロセスを自動化する。

被害者は、Memfixedを使用して、一部の各IP、または複数の攻撃IPのグループに「flush_all」コマンドを送信出来る。

flush_allコマンドは、DDoS攻撃を実行している悪意のあるペイロードを含むMemcachedサーバーのキャッシュメモリを消去する。

Memfixedは、攻撃側のサーバに「シャットダウン」コマンドを送信する機能もサポートするようだ。

しかし、実際には別のサーバをシャットダウンすると、誤って重要な操作に悪影響する可能性があるため、この方法の使用はお勧めできない。

Memfixedを使用するための簡単な手順

このツールを使用する最も一般的なシナリオは、複数の攻撃サーバーのリストにflush_allコマンドを送信することだ。

Memfixedを起動する前に、攻撃するIPのリストを作成し、ツールと同じフォルダにservers.txtという名前のファイルに保存する必要がある。

リストには、以下の形式のように、1行に1つのIPを保持しなければならない。

0.0.0.0

0.0.0.0

0.0.0.0

Memfixed起動すると、一連のプロンプトが表示される。

f:id:nanashi0x:20180309155522p:plain

(Memfixedを起動すると表示される画面。Bleeping Computerより引用。)

1つのIPアドレスまたは複数のIPアドレスに対してツールを使用するかどうかを尋ねる最初の質問では、「すべて」を選択する。

Memfixedは、Shodan APIを使用して攻撃対象のIPアドレスのリストを収集し、ローカルに保存されたデータ(別名servers.txtファイル)を表示する。

次に、CLIに "2"を入力してflush_allメソッドを選択する必要がある。

Memfixedは、迷惑メールトラフィックDDoS攻撃の一部)でインフラストラクチャに衝撃を与えているservers.txtファイルにあるすべてのIPにMemcached固有のflush_allコマンドを送信する。

開発者であるMohammadi氏は、Bleeping Computerに攻撃を緩和するMemfixedツールを示す以下のスクリーンショットを提供。

f:id:nanashi0x:20180309155413j:plain

(Mohammadi氏が提供したスクリーンショットBleeping Computerより引用。)

ちなみにMohammadi氏は、MemcachedをベースにしたDDoS攻撃を自動化するツール”Memcrashed”というPoCツールを以前にリリースしたのと同じセキュリティ研究者である。

(This article is a Japanese translation of ”Technique Discovered That Can Mitigate Memcached DDoS Attacks” written by Catalin Cimpanu at BleepingComputer.)