2024-03-29 19:30 (금)
멤캐시드 DDoS 익스플로잇 코드와 취약한 서버 1만7천대 목록 공개 돼
상태바
멤캐시드 DDoS 익스플로잇 코드와 취약한 서버 1만7천대 목록 공개 돼
  • 길민권 기자
  • 승인 2018.03.08 18:20
이 기사를 공유합니다

aaaa-1.jpg
멤캐시드(Memcached) 증폭 공격용 PoC 익스플로잇 코드 2개가 온라인에 공개 되었다.

이번에 공개된 익스플로잇을 이용하면 해킹 초보들도 쉽게 UDP reflection을 사용해 대규모 DDoS 공격을 실행할 수 있게 된다.

첫번째 DDoS 툴은 C 프로그래밍 언어로 작성 되었으며, 미리 컴파일 된 취약한 멤캐시드 서버 목록을 사용한다. 또한 이 툴의 설명에는 인터넷에 노출 된 멤캐시드 서버에 취약한 서버 약 1만7천대의 목록이 포함 되어 있다.

두 번째 멤캐시드 DDoS 공격 툴은 파이썬으로 작성 되었으며, 쇼단 검색 엔진 API를 사용해 멤캐시드에 취약한 서버 목록의 최신 버전을 받아오며 스푸핑 된 소스 IDP 패킷을 각각의 서버에 보낸다.

지난 주, 기록을 갱신하는 DDoS 공격이 2건이나 발생했다. 하나는 깃허브를 공격한 1.35Tbps, 두 번째는 이름을 밝히지 않은 미국 회사에 가해진 1.7Tbps 규모의 공격이다. 이들은 모두 증폭/반사(amplification/reflection)라 불리는 기술을 사용한 공격이다.

지난 주 멤캐시드 공격이 새로운 증폭/반사 공격으로 밝혀지자, 해킹 그룹들이 안전하지 않은 멤캐시드 서버들을 악용하기 시작한 것으로 보인다.

하지만 현재 상황은 더욱 심각해져, PoC 익스플로잇 코드가 공개 되어 누구나 대규모 DDoS 공격을 실시할 수 있게 되었으며 이는 취약한 멤캐시드 서버가 모두 패치 되거나, 방화벽으로 11211 포트를 차단하거나, 완전히 오프라인으로 만들기 전에는 멈출 수 없게 되었다.

게다가 사이버 범죄자 그룹들이 거대 사이트들을 협박해 돈을 갈취하기 위해 이 새로운 DDoS 공격 기술을 무기화 하기 시작했다.

증폭/반사 공격이 새로운 것은 아니다. 공격자들은 이미 공격의 규모를 최대화 하기 위해 이 DDoS 공격 기술을 이용해 DNS, NTP, SNMP, SSDP, Chargen 등 기타 프로토콜의 결점을 악용해왔다.

공격을 완화하고 멤캐시드 서버들이 reflector로 악용 되는 것을 예방하는 가장 좋은 방법은 멤캐시드를 로컬 인터페이스에서만 사용 가능하도록 바인드 하거나, 사용하지 않을 경우에는 UDP 지원을 완전히 비활성화 하는 것이다. [정보. 이스트시큐리티]

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★