นักวิจัยด้านความปลอดภัยของ Trend Micro ได้เปิดเผยถึงมัลแวร์ Mirai สายพันธุ์ใหม่ที่ทำการกำหนดเป้าหมายโดยใช้ช่องโหว่ CVE-2020-10173 ซึ่งเป็นช่องโหว่ในเร้าเตอร์ Comtrend VR-3033

หลังจาก Proof-of-concept (PoC) ของช่องโหว่ CVE-2020-10173 ได้รับถูกเผยแพร่สู่สาธารณะบอทเน็ตต่างๆ ได้ทำการหาประโยชน์จากช่องโหว่นี้ รวมไปถึง Mirai ตามที่นักวิจัยด้านความปลอดภัยของ Trend Micro ได้กล่าว มัลแวร์ Mirai จะใช้ปัญหาที่เกิดจากช่องโหว่ Authenticated Command Injection ของเร้าเตอร์เพื่อทำการโจมตีเครือข่ายจากระยะไกล โดยช่องโหว่นี้จะอยู่ในเร้าเตอร์ Comtrend VR-3033

Mirai ถูกค้นพบครั้งแรกในปี 2559 และมีการเปิดเผยซอร์สโค้ดในเดือนตุลาคมของปีเดียวกันโดย Mirai เป็นนั้นจัดเป็นบอทเน็ตแบบปฏิเสธบริการ (DDoS)

เพื่อเป็นการป้องกันผู้ใช้ควรทำการอัพเดตเฟิร์มแวร์ของอุปกรณ์เราเตอร์ทุกครั้งที่มีการอัพเดต ทั้งนี้ผู้ใช้งานควรทำการใช้ความระมัดระวังในการใช้งานอินเตอร์เน็ต ไม่เข้าเว็บไซต์และดาวน์โหลดไฟล์จากเเหล่งที่ไม่รู้จักเพื่อป้องกันการตกเป็นเหยื่อของมัลแวร์

ที่มา:

securityweek
blog.

“NXNSAttack” เทคนิคการโจมตี DDoS ที่มีขนาดใหญ่โดยสามารถเพิ่มขนาดการโจมตีได้ 2 ถึง 1,620 เท่า

ทีมนักวิชาการจากมหาวิทยาลัยเทลอาวีฟและศูนย์สหวิทยาการในเฮอร์ซลิยาประเทศอิสราเอลได้เปิดเผยถึงรายละเอียดเทคนิคการโจมตี DDoS ที่มีความรุนเเรงใหม่ โดยพวกเขาตั้งชื่อเทคนิคนี้ว่า “NXNSAttack” เทคนิคนี้ใช้ช่องโหว่ใน DNS server ซึ่งเทคนิคนี้จะสามารถทำให้เกิดการโจมตี DDoS ในสัดส่วนที่มหาศาลโดยมีอัตราส่วนขยายการโจมตี DDoS จากปกติเพิ่มเป็น 2 ถึง 1,620 เท่า

NXNSAttack เป็นช่องโหว่ที่เกิดขึ้นบน DNS resolver แบบ recursive ผู้โจมตีสามารถใช้ประโยชน์จากการส่ง request ไปยัง DNS resolver เป้าหมาย เมื่อเกิดการตอบสนองจาก DNS server ที่เป็นเป้าหมายเกิดความผิดผลาดและไม่ถูกต้องจาก DNS server จะทำให้เกิดการทำสำเนา DNS record ที่ถูกส่งมาและเพิ่มมากขึ้น

ซอฟต์แวร์ที่ได้รับผลกระทบคือ ISC BIND (CVE-2020-8616), NLnet labs Unbound (CVE-2020-12662), PowerDNS (CVE-2020-10995) และ CZ.NIC Knot Resolver (CVE-2020-12667) รวมไปถึงบริการ DNS server จากทั้ง Cloudflare, Google, Amazon, Microsoft, Oracle (DYN), Verisign, IBM Quad9 และ ICANN

ผู้ดูแลเซิร์ฟเวอร์ที่ใช้งาน DNS server แนะนำให้ทำการอัพเดต DNS Resolver เป็นเวอร์ชั่นล่าสุด

ผู้ที่สนใจเทคนิค "NXNSAttack" สามารถอ่านรายละเอียดเพิ่มเติมได้ที่: http://www.

นักวิจัยด้านความปลอดภัยของไซเบอร์จาก Bitdefender ค้นพบ IoT Botnet ชนิดใหม่ซึ่งถูกเรียกว่า Dark Nexus เพื่อใช้ทำการโจมตี DDoS ไปยังอุปกรณ์หลากหลายประเภท

Dark Nexus แพร่กระจายโดยใช้ช่องโหว่ CVE-2019-7256 ในการโจมตีอุปกรณ์ IoT ที่หลากหลายรวมเช่นเราท์เตอร์ ( Dasan Zhone, Dlink และ ASUS), กล้องวงจรปิดและกล้องจับความร้อน

CVE-2019-7256 เป็นช่องโหว่ Command-injection ใน Linear eMerge E3-Series และช่องโหว่การเรียกใช้โค้ดโจมตีจากระยะไกลโดยไม่ผ่านการตรวจสอบสิทธิ์ใน Netgear DGN1000 เราเตอร์

นักวิจัยพบความคล้ายคลึงของ Dark Nexus กับมัลแวร์ Qbot และ Mirai นักวิจัยยังกล่าวอีกว่า Dark Nexus บางเวอร์ชันมีคุณสมบัติ reverse proxy เพื่อให้เหยื่อทำหน้าที่เป็น proxy สำหรับสร้างโฮสต์ที่ติดเชื้อเป็นเซิร์ฟเวอร์ C2 ของผู้โจมตี เพื่อจัดเก็บไฟล์หรือ Payloads ที่จำเป็นในเครื่องแทนและใช้เป็นฐานโจมตีต่อไป ปัจจุบันพบ Dark Nexus มีมากกว่า 40 เวอร์ชัน

นักวิจัยจาก Bitdefender สันนิษฐานว่า Botnet ชนิดนี้อาจถูกสร้างขึ้นโดย greek.

แฮกเกอร์ข่มขู่จะโจมตีธนาคารในออสเตรเลียด้วย DDOS หากไม่จ่ายค่าไถ่
แฮกเกอร์ได้ทำการส่งอีเมลไปยังธนาคารในออสเตรเลียเพื่อเรียกค่าไถ่จำนวนมากใน Monero เเละจะทำการโจมตีด้วย DDoS หากไม่ได้ในสิ่งที่พวกเขาต้องการ ธนาคารและองค์กรอื่นๆ จากภาคการเงินของออสเตรเลียตกเป็นเป้าหมายของการขู่กรรโชกมากมายในช่วงสัปดาห์ที่ผ่านมา กลุ่มผู้คุกคามได้ส่งอีเมลถึงผู้ที่ตกเป็นเหยื่อของภัยคุกคามว่าจะโจมตีแบบ distributed denial of service (DDoS) จนกว่าองค์กรจะจ่ายค่าไถ่จำนวนมากใน cryptocurrency สกุล Monero (XMR)
ภัยคุกคามที่องค์กรออสเตรเลียได้รับในช่วงสัปดาห์ที่ผ่านมา เป็นส่วนหนึ่งของแคมเปญเรียกค่าไถ่ransom denial of service (RDoS) ซึ่งเริ่มขึ้นในเดือนตุลาคม 2562 ณ เวลานั้นความพยายามกรรโชกในครั้งแรกๆ มีธนาคารเป็นเป้าหมาย และบริษัทอื่นๆในภาคการเงิน ภัยคุกคามเหล่านี้มีความหลากหลาย และแฮกเกอร์ก็ตั้งเป้าไปที่กลุ่มอุตสาหกรรมอื่นๆด้วย
จากความต้องการเรียกค่าไถ่กับธนาคารในสิงคโปร์และแอฟริกาใต้, ภายหลังภัยคุกคามนี้ก็ได้ทำเเบบเดียวกัน กับบริษัทโทรคมนาคมในตุรกี,ผู้ให้บริการอินเทอร์เน็ตในแอฟริกาใต้ และการพนันออนไลน์ และพอร์ทัลการพนันออนไลน์ทั่วเอเชียตะวันออกเฉียงใต้ ,นี่เป็นเพียงรายชื่อเป้าหมายที่ถูกโจมตีไม่กี่ชื่อ การขู่กรรโชกยังคงดำเนินต่อไปในเดือนต่อๆ มา และแฮ็กเกอร์ขยายการดำเนินงานอย่างเป็นระบบ เพื่อกำหนดเป้าหมายหลายสิบประเทศจากทุกทวีปทั่วโลก
กลุ่มผู้อยู่เบื้องหลังการโจมตีนี้ มีการเปลี่ยนชื่อตามที่พวกเขาได้ลงนามไว้ ในอีเมลการขู่กรรโชกอย่างสม่ำเสมอ ตอนแรกพวกเขาใช้ชื่อ Fancy Bear หลังจากนั้นพวกเขาก็เปลี่ยนไปใช้ Cozy Bear, ชื่ออื่นที่ใช้ ได้แก่ Anonymous, Carbanak และ Emotet ทั้งหมดนี้เป็นชื่อของการแฮ็คและการปฏิบัติการอาชญากรรมไซเบอร์ที่เป็นที่รู้จัก ผู้คุกคามที่อยู่เบื้องหลังการโจมตีนี้ หวังว่าผู้ที่ตกเป็นเหยื่อจะค้นหาชื่อเหล่านี้ทางออนไลน์ หลังจากที่ได้รับภัยคุกคามทางอีเมลจากพวกเขา Google เเสดงผลลัพธ์การค้นหาหลายพันรายการสำหรับคำเหล่านี้ และแฮกเกอร์ก็หวังว่าสิ่งนี้จะช่วยสร้างความน่าเชื่อถือให้กับการคุกคามของพวกเขา และโน้มน้าวให้ผู้ที่ตกเป็นเหยื่อจ่ายค่าไถ่
ในการเเจ้งเตือนภัยคุกคามเมื่อปีที่แล้ว Radware ผู้ให้บริการบรรเทาสาธารณภัย DDoS แนะนำผู้ที่ตกเป็นเหยื่อที่ได้รับอีเมลการขู่กรรโชก DDoS ประเภทนี้ว่าไม่ต้องจ่าย แต่ให้ติดต่อบริษัทรักษาความปลอดภัยไซเบอร์แทน
Australian Signals Directorate's Australian Cyber Security Centre (ASCS) แนะนำให้องค์กรเตรียมพร้อมสำหรับการโจมตีล่วงหน้าก่อนที่จะเกิดขึ้น เพราะเหตุการณ์เช่นนี้อาจตอบสนองได้ยากเมื่อการโจมตีเริ่มต้นขึ้น องค์กรที่เตรียมตัวดีควรจะสามารถทำงานได้อย่างมีประสิทธิภาพแม้จะมีภัยคุกคามเหล่านี้ และ DoS ใดๆก็ตาม ที่อาจเกิดขึ้น ASCS กล่าว

ที่มา : zdnet

เมื่อวันที่ 20 มีนาคม 2562 ที่ผ่านมา ทาง Atlassian ได้ทำการปล่อยแพตช์แก้ไขช่องโหว่ที่มีระดับความรุนแรงสูงสุดคือ CVE-2019-3396 ส่งผลกระทบกับ Confluence Server และ Confluence Data Center โดยช่องโหว่นี้กำลังถูกโจมตีหลายแบบที่ Confluence Server เช่น ถูกวาง ransomware, ถูกใช้เพื่อหา cryptocurrency และถูกวางมัลแวร์ที่ใช้การโจมตีแบบ DDos

3 สัปดาห์ต่อมาจากการแพตช์ ทางนักวิจัยด้านความปลอดภัยรายงานว่าแฮกเกอร์ทำการโจมตีอีกครั้งโดยใช้ช่องโหว่เดิม พบว่าเป็นการโจมตีจาก IP ที่มาจากประเทศโรมาเนียที่พยายามวางมัลแวร์ชื่อ Dofloo DDoS

และในวันที่ 7 พฤษภาคม 2019 นักวิจัยได้พบรูปแบบการโจมตีใหม่โดยใช้ช่องโหว่เดียวกันนี้อีก โดยเป็นการแพร่มัลแวร์ Kerberods ที่มีความสามารถในการหา cryptocurrency และวาง rootkit การโจมตีแบบใหม่นี้จะเริ่มต้นจากการส่งคำสั่งเพื่อดาวน์โหลดคำสั่งถัดไปจาก Pastebin โดยจะดาวน์โหลดคำสั่งเป็นขั้นๆ หลายครั้งจนกว่าจะถึงคำสังที่ใช้ดาวน์โหลดมัลแวร์ Kerberods

เมื่อมัลแวร์ Kerberods ถูกติดตั้ง มันจะใช้ทรัพยากรของเครื่องเซิร์ฟเวอร์เพื่อหา cryptocurrency จากนั้นจะวาง rootkit เพื่อซ่อนการทำงานและแพร่กระจายตัวเองต่อไป จากข่าวรายงานว่า rootkit มาในรูปแบบการเข้ารหัสและได้รับการคอมไพล์เป็นไบนารีด้วยระบบ GNU Compiler Collection (GCC) โดย rootkit มีวิธีการแพร่กระจายด้วยตนเองหลายวิธีโดยใช้การเชื่อมต่อ SSH และโมดูล Metasploit สำหรับหาช่องโหว่ CVE-2019-1003001 ในเซิร์ฟเวอร์ Jenkins อัตโนมัติ

ผู้ดูแลระบบ Confluence ควรทำการอัปเดตแพตช์ CVE-2019-3396 เพื่อความปลอดภัย
ที่มา: bleepingcomputer.

Dream Market เว็บไซต์ตลาดใต้ดิน ประกาศปิดตัวเดือนหน้า

Dream Market คือ dark web ที่ได้รับความนิยนเป็นอันดับต้นๆ ได้ออกมาประกาศว่าจะปิดตัวลงภายในวันที่ 30 เมษายน โดยการประกาศนั้นก็ได้เกิดขึ้นวันเดียวกับที่ทาง Europol, FBI และเจ้าหน้าที่ DEA ประกาศว่ามีการจับกุมและปิดเว็บไซต์ผิดกฎหมายใต้ดินที่เกี่ยวข้องกับยาเสพติดหลายรายการ

จากรายงานกล่าวว่าหน้าเว็บเพจของ Dream Market และหน้าการลงทะเบียน มีการแสดงข้อความว่า การดำเนินการทั้งหมดของเว็บไซต์จะถูกโอนไปยัง partner company ที่เป็น URL ใหม่ เหตุผลการปิดตัวครั้งนี้อาจจะสืบเนื่องจากก่อนหน้านี้มีรายงานว่าแฮกเกอร์ได้นำข้อมูลผู้ใช้งานหลายล้านรายการออกมาขาย และเว็บไซต์ดังกล่าวถูกโจมตีด้วย DDos มาแล้วหลายครั้ง

ทั้งนี้จากรายงานล่าสุดพบว่า ทีมที่เป็นผู้ดูแลเว็บไซต์ Dream Market ได้มีการโพสต์บน social network ของกลุ่ม dark web ว่า สาเหตุที่ทำการปิดตัวเป็นเพราะว่าเว็บไซต์ถูกเรียกค่าไถ่เป็นเงิน $400,000 เพื่อแลกกับการหยุดโจมตีด้วย DDoS

ที่มา : zdnet

นักวิจัยด้านความปลอดภัยจาก NewSky Security ได้ค้นพบบอทเน็ตตัวใหม่ที่ถูกเรียกว่า "DemonBot" บน Apache Hadoop เซิร์ฟเวอร์ที่มีช่องโหว่ เพื่อเตรียมไว้ใช้โจมตีด้วย DDoS ในอนาคต บอทเน็ตดังกล่าวมีความสามารถของ C&C ด้วย ซึ่งขณะนี้พบว่ามีการติดตั้งบนเซิร์ฟเวอร์มากกว่า 70 ตัว

ผู้โจมตีจะทำการสแกนเพื่อค้นหาเซิร์ฟเวอร์ที่มีการติดตั้ง Hadoop ที่มีการใช้งานโมดูลที่ชื่อว่า "YARN" ที่มีการตั้งค่าที่ไม่ถูกต้อง (misconfiguration) YARN ซึ่งย่อมาจาก Yet Another Resource Negotiator เป็นองค์ประกอบหลักของ Apache Hadoop ซึ่งมักถูกใช้ในเครือข่ายองค์กรขนาดใหญ่หรือระบบคลาวด์ เมื่อพบเครื่องเป้าหมายบอตเน็ทจะพยายามใช้ประโยชน์ของ YARN ในการติดตั้ง "บอทเน็ต" ลงในระบบ Hadoop ที่มีช่องโหว่

ทั้งนี้จากรายงานของ Radware ที่เป็นบริษัทด้านความปลอดภัยพบว่า DemonBot กำลังเติบโตขึ้นอย่างรวดเร็วในช่วงเดือนที่ผ่านมา และพบความพยายามเพื่อค้นหา Apache Hadoop ที่มาช่องโหว่ของ YARN มากกว่า 1 ล้านครั้งต่อวัน

ที่มา : zdnet

Black Rose Lucy บอตเน็ตตัวใหม่จากรัสเซีย มีความสามารถในลอกเลียนแบบการกดปุ่มของผู้ใช้จึงสามารถป้องกันการทำ Factory reset บนอุปกรณ์แอนดรอยด์
จากการทำวิจัยของ checkpoint บอตเน็ตชื่อ Black Rose Lucy นี้ได้รับการพัฒนาจากกลุ่มแฮกเกอร์ที่ใช้ภาษารัสเชียในการสื่อสารหรือที่รู้จักกันชื่อ "The Lucy Gang" และได้ปล่อยตัวอย่างให้ผู้ที่กำลังมองหาบริการ Malware-as-a-Service (Maas) ได้เอาไปใช้งาน บอตเน็ตเป็นหนามยอกอกของบริษัทรักษาความปลอดภัยทางไซเบอร์ ผู้ให้บริการโฮสเว็บไซต์ หรือธุรกิจอื่นๆ ที่คล้ายกัน โดยระบบของบอตเน็ตทั่วไปสร้างขึ้นมาเพื่อยึดเครื่องเป้าหมายซึ่งรวมไปถึงโทรศัพท์, IOT, gadgets และคอมพิวเตอร์ แล้วรับคำสั่งจาก command-and-control (C2) เซิร์ฟเวอร์เช่นส่ง spam อีเมลล์หรือทำ DDos
Black Rose Lucy เองก็คล้ายกับบอตเน็ตอื่นๆ แต่มีความสามารถในการโจมตีอุปกรณ์ที่ใช้แอนดรอยโดยเฉพาะ โดยเมื่อถูกติดตั้ง จะส่งข้อความแจ้งเตือนผู้ใช้ให้เปิดสิทธิการใช้งานให้กับแอปที่ชื่อว่า Security of the system

หากผู้ใช้หลงเชื่อจะเป็นการให้สิทธิ์ระดับแอดมินของระบบให้กับ Black Rose Lucy ซึ่งจะทำการลอกเลียนแบบการกดปุ่มของผู้ใช้ และทำการติดตั้ง payload ที่ชื่อว่า "Black Rose Dropper" เพิ่มลงไปในอุปกรณ์แอนดรอยด์แล้วส่งข้อมูลกลับไปยังเชิฟเวอร์แฮกเกอร์ Dropper จะปลอมตัวเป็นไฟล์อัพเกรดระบบหรือไฟล์ภาพ
เนื่องจากบอตเน็ตดังกล่าวมีสิทธิ์แอดมิน จึงสามารถทำงานอยู่เบื้องหลังได้ รวมถึงสามารถสั่ง restart เครื่องที่ติดเชื้อเมื่อเครื่องถูกปิดได้ และยังมีกลไกป้องกันตัวเองที่จะตรวจสอบเครื่องมือเกี่ยวกับการป้องกันหรือเคลียร์ไฟล์หรือระบบป้องกันจากประเทศจีน เมื่อเจอเครื่องมือดังกล่าวบอตเน็ตจะปลอมการกดปุ่มของผู้ใช้ด้วยการกดปุ่มกลับหรือปุ่มโฮม เพื่อไม่ให้ผู้ใช้สามารถใช้เคืร่องมือเหล่านั้นได้ และป้องกันการทำ Factory reset ในทำนองเดียวกัน
มัลแวร์ดังกล่าวมีทั้งภาษารัสเซีย อังกฤษ และตุรกี ทำให้นักวิจัยคาดว่ามัลแวร์ตัวนี้วางแผนที่จะแพร่ไปทั่วโลก

ที่มา : zdnet

หลังจากที่ GitHub ถูกโจมตีด้วย DRDoS โดยใช้หลักการความแตกต่างระหว่าง request/response ที่ถูกส่งไปยังเซิร์ฟเวอร์ Memcached พร้อมกับการทำ IP spoofing ด้วยปริมาณข้อมูลถึง 1.3 Tbps ซึ่งเป็นสถิติของการโจมตี DDoS ที่ใหญ่ที่สุดของโลก เมื่อวันจันทร์ที่ผ่านมาสถิติกลับถูกทุบด้วยการโจมตีที่มีปริมาณใหญ่กว่าถึง 1.7 Tbps

สำหรับการโจมตีในครั้งนี้นั้นยังคงมีการใช้เซิร์ฟเวอร์ Memcached เพื่อทำการโจมตีแบบ DRDoS เช่นเดิม โดยเป้าหมายในครั้งเป็นผู้ให้บริการรายหนึ่ง อย่างไรก็ตามผลลัพธ์การโจมตีกลับไม่ได้ทำให้ระบบไม่สามารถให้บริการได้อันเนื่องมาจากการป้องกันและตอบสนองที่ดีพอ อ้างอิงจากรายงานของ Arbor Networks

เมื่อวันพุธที่ผ่านมา HackerNews มีการรายงานหลังจากที่ตรวจพบการเผยแพร่โปรแกรมสำหรับโจมตี DRDoS ใส่ระบบอื่นโดยการใช้เซิร์ฟเวอร์ Memcached อีกทั้งตัวโปรแกรมสำหรับโจมตีนั้นยังมีการแนบรายการของเซิร์ฟเวอร์ Memcached ที่สามารถใช้ในการโจมตีได้มาด้วยกว่า 17,000 รายการ

สคริปต์ที่มีการค้นพบนั้นมีอยู่ 2 เวอร์ชันคือเวอร์ชันที่ถูกพัฒนาด้วยภาษา C และอีกเวอร์ชันที่ถูกพัฒนามาจากภาษา Python โดยสำหรับสคริปต์โจมตีที่ถูกพัฒนาในภาษา Python มีการใช้บริการของ Shodan ในการหาเซิร์ฟเวอร์ Memcached ที่สามารถใช้โจมตีได้มาใช้งานด้วย

กลุ่มนักวิจัยจาก Corero Network Security ประกาศการค้นพบเทคนิคใหม่ที่ทำให้เหยื่อที่ถูกโจมตี DRDoS จากเซิร์ฟเวอร์ Memcached นั้นสามารถหยุดการโจมตีได้ทันที

Kill Switch ในรอบนี้นั้นคือการส่งคำสั่งเพื่อ flush ข้อมูลออกจากแคชของ Memcached เซิร์ฟเวอร์ด้วยการส่งคำสั่ง "shutdown\r\n" หรือ "flush_all\r\n" กลับไปที่เซิร์ฟเวอร์โดยตรงซึ่งอาจทำได้ผ่านโปรแกรม nc/netcat โดยใช้คำสั่ง nc x.x.x.x 11211 < "flush_all"

ที่มา : Theregister

อาชญากรไซเบอร์ที่อยู่เบื้องหลังการโจมตี DDoS ได้เพิ่มเทคนิคใหม่ช่วยให้สามารถโจมตีแบบ Amplify Attacks มากถึง 51,200x โดยใช้ Misconfigured Memcached Servers ที่สามารถเข้าถึงได้ผ่านทางอินเทอร์เน็ตสาธารณะ

เทคนิคนี้รายงานโดย Akamai, Arbor Networks และ Cloudflare เมื่อวันอังคารที่ผ่านมา มีการสังเกตเห็นการโจมตี DDoS โดยใช้แพคเก็ต User Datagram Protocol (UDP) เพื่อขยายทราฟฟิก Response ให้มีขนาดใหญ่กว่าทราฟฟิก Request โดยใช้ Memcached Servers

การโจมตีแบบ Reflection จะเกิดขึ้นเมื่อผู้โจมตีทำการปลอมหมายเลข IP ของเหยื่อแล้วส่ง Request ไปยังเครื่องจำนวนมาก ทำให้เกิด Response ขนาดใหญ่ถูกส่งกลับไปยังเป้าหมายตามหมายเลข IP ซึ่งจะทำให้เครือข่ายดังกล่าวล้มเหลว การโจมตี DDoS ประเภทนี้แตกต่างจากการโจมตี Amplification Attacks ในการโจมตีแบบ Amplification Attacks ผู้โจมตีจะส่งคำขอแพ็คเก็ต UDP ที่มีไบต์ขนาดเล็กไปยัง Memcached Server ที่เปิดใช้พอร์ต 11211

Majkowski กล่าวว่า “15 bytes ของ Request ที่ส่งมาทำให้เกิด Response ขนาด 134 KB นี่เป็นการโจมตี Amplification Factor ระดับ 10,000x! ในทางปฏิบัติ เราพบว่า Request ขนาด 15 bytes ทำให้เกิด Response ขนาด 750 KB (ขยายถึง 51,200x)”

Recommendation : การป้องการโจมตีควรกำหนดการตั้งค่า Firewall หรือปิดพอร์ต UDP 11211 ในกรณีที่ไม่มีการใช้งาน

ที่มา : Threatpost