São Paulo, março de 2018 – Nos últimos dias, uma nova técnica de ampliação da distribuição dos ataques de serviço negado (DDoS), trouxe um potencial ainda maior de estrago para ataques desse tipo.

De acordo com a Trend Micro - empresa especializada na defesa de ameaças digitais e segurança na era da nuvem – a técnica utilizada é denominada memcache e apareceu com bastante potência. O memcache é um protocolo usado para permitir o rápido armazenamento e recuperação de dados de um servidor, sem toda a complicada sobrecarga de um banco de dados no back-end. No entanto, isso se mostrou uma ótima fonte para os hackers ampliarem a gravidade de ataque do DDoS.

Nos últimos dias, a Cloudflare e a Github se tornaram as primeiras vítimas deste novo método de ampliação do DDoS. No caso da Github, a rede de telemetria de Akamai indicou que pelo menos uma onda do ataque atingiu mais de 1.35Tbps de entrada em seus servidores.

De acordo com a Trend Micro, parte deste tráfego não é realmente só um tráfego de ataque, mas também a sobrecarga adicional de redes (tentativas de handshaking, etc.) que, no fim das contas, ainda pode comprometer bastante o desempenho. Para contextualizar isso, de acordo com Akamai SIRT, este ataque foi duas vezes maior do que os ataques do Mirai em setembro de 2016.

Para usar o memcache, uma senha é enviada e o memcache responde com os dados associados a essa senha. Uma das vantagens é a capacidade de fazer solicitações ilimitadas em um único pedido.

Nos ataques recentes, os cibercriminosos fizeram solicitações de GETS no serviço do memcache para capturar todos os dados que pudessem com as senhas existentes. Mas, em muitos casos, os servidores memcached não estão protegidos e também permitem comandos de SET. Os criminosos podem usar isso para definir uma senha para o máximo permitido de conjuntos de dados e então fazer uma solicitação de GETS para essa senha específica para maximizar a extensão de seu ataque de reflexão contra a vítima.

Enquanto o memcache pode ser instalado tanto no TCP (de forma nativa) como no UDP, esses ataques serão primeiramente encontrados na UDP 11211. Isso porque o protocolo UDP permite falsificar o endereço de origem de forma muito mais fácil, o que o torna mais atraente para os ataques de reflexão DDoS.

De acordo com a Shodan, dos 120.458 (no momento em que este texto foi escrito) servidores de memcache ao redor do mundo, menos de 10 mil servidores usam o memcache no UDP. É interessante notar que quase um terço de tais servidores já observaram ataques ativos.

Um dos principais fatores que tornam a amplificação do memcache tão atrativa tem a ver com a resposta com o conjunto de dados. De modo geral, o número máximo de bytes destes dados é relativamente pequeno, mas em alguns provedores de hospedagem a configuração do memcache permite conjuntos de dados muito maiores (em alguns casos acima de 100G), assim aumentando o lucro com o ataque de ampliação de DDoS.

Ainda, segundo a Trend Micro, existem diversas ressalvas quanto às dimensões que esses ataques podem chegar. Em primeiro lugar, eles são limitados pelos links anexados ao servidor memcache usado para refletir o ataque. Um link de 1Gbps só vai enviar 1Gbps, não importa o tamanho do conjunto de dados criado pelo ataque.

E o mesmo ocorre para a placa de rede. Por fim, o protocolo só permite dois números de sequência de rede de oito bytes (o conjunto de dados precisa ser dividido em parte para serem enviados pela Internet). A numeração da sequência permite que o destino saiba como montar o quebra-cabeça.

Com apenas dois bytes, o número máximo de pacotes que o protocolo pode enviar é de 65.536. Em outras palavras, a solicitação/GETS pode ser muito grande, mas é restringida pelas limitações do sequenciamento de pacotes. Isso também nos faz questionar, como o memcache lida com os pacotes de dados que requerem um sequenciamento maior do que o padrão. O tratamento desses pacotes não parece ser especificado no protocolo.

Conclusões e boas práticas

Apesar de ainda ser cedo para entender todo o potencial técnico deste novo vetor de ataque, até mesmo com ataques de ampliação de NDP, SSDP e DNS, a Trend Micro não constatou uma invasão constante de ataques de DDoS em grande escala e é improvável que isso ocorra com o memcache. No entanto, poderá existir um aumento no tamanho dos ataques de DDoS?

Por isso, a Trend Micro compartilha boas práticas de como mitigar este tipo de ataque:

• Garanta o bom funcionamento das redes e um bom monitoramento do tráfego (tanto dentro quanto fora!) Usando ferramentas de intrusão de rede Trend (como DDI e TippingPoint);
• Procure se informar e ler sobre os ataques Memcache (Arbor e 360 Netlab contam com ótimas análises)
• Certifique-se de que seus provedores de rede implementaram anti-spoofing (como BCP38 e 84) para garantir que pacotes falsos, como os usados nos ataques de reflexão DDoS, não cheguem à sua rede!

 

Sobre a Trend Micro

A Trend Micro Incorporated, líder global em soluções de segurança cibernética, ajuda a proporcionar um mundo seguro para a troca de informação digital. Nossas soluções inovadoras para os consumidores, empresas e governos fornecem segurança em camadas para datacenters, ambientes em nuvem, redes e endpoints.

Otimizadas para os principais ambientes, incluindo a Amazon Web Services, Microsoft®, VMware® e outros mais, nossas soluções permitem que as organizações automatizem a proteção de informações valiosas contra as ameaças atuais.

Todos os nossos produtos trabalham em conjunto para facilitar o compartilhamento de inteligência de ameaças e fornecer uma defesa contra ameaças conectada com visibilidade e controle centralizados, permitindo uma melhor proteção melhor e mais rápida.

Dentre os clientes Trend Micro, estão 45 dos 50 principais da lista top 50 Fortune ® Global 500 companies e 100% das 10 maiores empresas globais dos setores automotivo, bancário, telecomunicações e petróleo

Com cerca de 6.000 funcionários em mais de 50 países e a mais avançada inteligência de ameaças globais do mundo, a Trend Micro permite que as organizações se mantenham seguras em um mundo conectado. Para mais informações, visite www.trendmicro.com.