دانشنامه

بات نت Mayhem در حال رشد است

حدود سه سال پیش محققان شرکت Yandex یک تروجان کشف کردند که به Mayhem  مشهور شد که با کامپایل خود به عنوان یک سرویس فعال در سرور قرار می دهد و به نرم افزار های مخرب اجازه می دهد که حتی تحت مجوزهای محدود (restricted privileges) هم اجرا شوند.

Mayhem اساسا یک ربات مخرب برای سرور های وب سایت ها می باشد که قابلیت دریافت دستورات متعدد از یک C&C یا همان مرکز فرماندهی و کنترل بات نت ها را دارد ؛ همچنین با ابزار های استفاده شده در فایل های پنهان سیستمی می تواند سایت های دیگر را جهت بررسی آسیب پذیری ها اسکن نماید، دست به حملات brute force  بزند و یا حتی بخشی از یک حمله DDoS باشد!

تشخیص معماری سرور

این بدافزار هر دو معماری x32 و x64 را هدف قرار می دهد و این قابلیت را دارد که بهترین نسخه سازگار با معماری سیستم را انتخاب و اجرا نماید، اگر چه بسیاری از بد افزار های دیگر هم روش هایی برای شناسایی معماری و نوع سیستم قربانی داشتند اما روش های مورد استفاده Mayhem برای این کار به روز شده اند و شیء مشترک مخرب (malicious shared object) کاهش یافته که احتمالا به منظور فریب آنتی ویروس ها و سیستم های نظارتی بوده است.

تغییر به شیء به اشتراک گذاشته شده

قطعه کدی در این بدافزار مسئول کپی و راه اندازی نرم افزارهای مخرب است.
بر خلاف نمونه های اصلی از سال 2014، هیچ اشاره ای به متغیر سیستم MAYHEM_DEBUG وجود ندارد.

همچنین، نام این shared object از libworker.so به jquery.so تغییر یافت ( استفاده از نام جی کوئری  به عنوان یک روش انحرافی).

نتیجه

این نوع بدافزار نشان می دهد که چگونه نویسندگان بدافزار وب سرورها را به عنوان یک هدف محبوب می بینند چرا که سرورهای وب قدرتمندتر از رایانه های شخصی هستند و اغلب کنترل های ضد ویروس کمتری دارند. که این امر نیاز به اقدامات پیشگیرانه ارائه دهندگان خدمات میزبانی و مدیران سرور ها برای نظارت بیشتر است.

برای جلوگیری از حمله هایی که قصد سو استفاده از آسیب پذیری های وب سایت شما را دارند و همچنین مقابله با حملات brute force و DDoS  پیشنهاد می کنیم با استفاده از فایروال کلود پروتکشن از وب سایت خود محافظت نمایید.

آمار حملات DDoS در سال 1394

با توجه به پایان سال 1394 تصمیم بر این گرفتیم که گزارش آمار حملات DDoS به شبکه های سنترال هاستینگ را طی سال گذشته منتشر کنیم.
طبق مقالات سایت های معتبر امنیتی بین المللی پیش بینی می شد که در شروع سال میلادی 2016 ( زمستان 1394) شاهد افزایش حملات DDoS خواهیم بود ؛ اما این سیر صعودی حملات بر روی وب سایت های فارسی زبان برای ما نیز کمی عجیب بود.

مطالب گذشته:
سال جدید با دنیای جدید هکر و انتظار افزایش جنگ های مجازی
افزایش حملات DDoS در ماه آخر میلادی
بازگشت جوخه مارمولک (Lizard Squad)
انجام حملات DDoS با سرویس های ابری

در زمستان 94 رکورد بزرگترین حملات به سرور های سنترال هاستینگ از زمان فعالیت ثبت شد؛ بزرگترین حمله به حجم 114گیگابیت بر ثانیه و حدود 9.800.000 پکت در ثانیه رخ داد و حدود یک ساعت به طول انجامید.
این حمله به قدری بزرگ محسوب می شود که واقعا می توان آن را به عنوان یک رکود در بین سایت های ایرانی ثبت کرد. این حجم حمله حدود 1/3 پهنای باند کل کشور است!

log2016-1

علاوه بر حمله فوق؛ حملات زیادی نیز با حجم ها و pps های بالا رخ داد که ما مجبور به ارتقا DDoS Protection شبکه برای جلوگیری از این حملات شده ایم.

همچنین علاوه بر افزایش فدرت حملات؛ شاهد افزایش کمی حملات نیز بوده ایم؛ ما در سال 1394 بالغ بر 10000 حمله DDoS را شناسایی کرده ایم. تصویر زیر نشان دهنده تعداد حملات DDoS در سال 1394 بر روی سرویس های سنترال هاستینگ است.

Book1

 

نکته: آمار حملات لایه 7 – HTTP در نمودار فوق حدودی می باشد و امکان ارائه آمار دقیق به دلیل مسایل فنی وجود نداشته ؛ این رقم یک حداقل است که بر اساس لاگ ها و شواهد به دست آمده است.

این حملات با شروع سال جدید میلادی در زمستان 94 به اوج خود رسید که گمان می رود به دلیل در دسترس قرار گرفتن ابزار های جدید و بوتر های کارامد تر است؛ همچنین با توجه به افزایش قدرت حملات UDP  پیشبینی می شود یک باگ جدید در سرویس دهندگان اینترنت توسط هکر ها کشف شده باشد که هنوز پتچ نشده است.
در سال 2012 وجود باگ در DNS سرور های شرکت ها و ISP های بزرگ منجر به استفاده ابزاری از آن سرور ها برای حملات بزرگ DDoS  می شد؛ به طوری که رکود بزرگترین حملات در آن سال شکست و تقریبا هیچ راه حلی برای این حملات وجود نداشت اما گروهی تصمیم به ایجاد پروژه ای عظیم گرفتند و نام آن را Open Resolver Project گذاشتند که در قالب تاسیس سایتی شروع به فعالیت کرد؛( جهت نمایش سایت اینجا کلیک کنید).همانطور که مشخص است وظیفه این سایت شناسایی و معرفی  DNS resolvers های باز بود که مورد سو استفاده قرار می گرفتند؛به مرور زمان این سایت به هدف نهایی خود رسید؛ افراد و شرکت هایی که مسئول این سرور ها بودند توسط این سایت و گزارش های کاربران متوجه وجود باگ های خود شدند آنها را برطرف نمودند و بعد از مدتی به صورت چشم گیری این حملات کاهش یافت اما آیا امکان دارد یک باگ جدید دوباره امنیت اینترنت را به خطر بی اندازد؟ احتمال اینکه یک باگ جدید دوباره شبکه ها و سرور ها را تهدید کند همیشه وجود دارد.

سال جدید با دنیای جدید هکر و انتظار افزایش جنگ های مجازی

سال ۲۰۱۵ اوج حملات هکر ها بوده است. از حملات به شبکه BBC گرفته تا Xbox ؛ در سال جدید گروه هکری جدیدی به نام New World Hacking اعلام وجود کرده است که مسئولیت حملات زیادی را به عهده گرفته است.

این گروه اهداف خود را علیه وب سایت ها و شبکه های گروه داعش می داند و به مبارزه با داعش در فضای مجازی می پرازد. از دیگر فعالیت های آنها می توان حمله به وب سایت دونالد ترامپ یکی از کاندیداهای ریاست جمهوری آمریکا نام برد که پیش از این نظرات جنجال برانگیز علیه مسلمانان داشته است.

لینک خبر:Donald Trump’s Campaign Website Targeted by DDoS Attack

این گروه هکرها که مسئولیت حملات DDoS به BBC را به عهده گرفته بود ابزار خود را با نام BangStresser رونمایی کرده است.

در حالی که قدرت حملات سایبری در طول زمان با پیشرفت تکنولوژی کاهش می یابد اما ظاهرا در خصوص حملات DDoS به نحو دیگری بوده است و شاهد افزایش قدرت این حملات در گذر زمان هستیم.

این مسئله پیش از پیش وب سایت ها و شبکه ها را برای محافظت از حملات دیداس ترغیب می کند. اما همیشه نمی توان امنیت را به ۱۰۰ درصد رساند؛وب سایت BBC به عنوان یکی از بزرگترین شبکه های خبری دنیا از قبل خود را برای این حملات آماده کرده بود و هزینه های بسیاری برای جلوگیری از حملات انجام داد است اما حملات اخیر DDoS بسیار بزرگتر از آن چیزی بود که BBC فکرش را کرده بود !

این گروه طی بیانیه ای اعلام کرده حملات ارسال شده می تواند تا ۶۰۲ گیگابیت در ثانیه قدرت داشته باشند که بسیار بزرگتر از حملاتی است که تا کنون رخ داده است ! رکورد بزرگترین حمله DDoS برابر با ۳۳۴ گیگابیت ثبت شده که این می تواند برای امنیت فضای مجازی یک فاجعه باشد !

شرکت امنیتی Staminus که در خصوص جلوگیری از حملات DDoS فعالیت دارد اعلام کرد نشانه هایی وجود دارد که با گسترش تکنولوژی و افزایش سخت افزارها و دستگاه های متصل به اینترنت باید منتظر موج بزرگی از حملات DDoS در سال ۲۰۱۶ باشیم.

در این میان گروه نو پای New World Hacking اظهار داشتند که خود را برای حملات جدی تری نسبت به گروه داعش و زیرساخت های شبکه های ترکیه آماده می کند که نشان از آمادگی هکر ها برای شروع یک جنگ تمام عیار سایبری دارد.

افزایش حملات DDoS در ماه آخر میلادی

همانطور که در خبر قبلی دیده اید وب سایت های بی بی سی طی یک حمله DDoS در روز آخر میلادی از دسترس خارج شد.

طاهرا حملات DDoS در ماه آخر میلادی به اوج خود رسیده بود ،حملات بزرگ DDoS گزارش شد و اهداف زیادی مورد حمله قرار گرفتند؛ حملات علیه وب سایت بی بی سی، ایکس باکس، PSN و یک سری وب سایت های دولتی در آمریکا و اروپا از مهم ترین این حملات بوده است.

اما ظاهرا طی خبر ها و آنالیز ها می توان حدس زد که تمامی این حملات از قبل برنامه ریزی شده اند؛ حملاتی که درست قبل از رسیدن به تعطیلات کریسمس باعث مسدود کردن خدمات دولتی؛ و سرویس های بازی و تفریحی و … کرده اند که به نوعی در ذهن مردم تداعی کننده این باشد که هنوز دولت قدرت کافی را برای برخورد با حملات سایبری را ندارد و به نوعی دلسردی در مردم در آستانه سال نو به وجود آورند.

به عنوان مثال، در اوایل هفته گذشته در شیکاگو، یک حمله بزرگ جهت ضرب زدن به زیر ساخت دولتی بوستون رخ داد:

به خواندن ادامه دهید

رکورد تکان دهنده بات ها و اسپیمر های ایران

بات ها به صورت کلی مفهومی از رایانه ها / سرور ها و دستگاه های متصل به اینترنت است که به صورت خواسته یا نا خواسته مورد استفاده جهت اعمالی قرار می گیرد که از نظر قوانین بین الملی و داخلی کشور ها غیر قانونی محسوب می شود. این اعمال از حملات DDoS گرفته تا هرزنامه می توانند باشند.

چندماه قبل در یک تحلیل آماری نشان دادیم که ایران با ۳۷۳۸۹۲ بات نت ؛در رده ۳۱ از بین ۲۵۱ کشور قرار دارد.

مطلب: خطر افزایش بات نت های ایرانی

البته این آمار و ارقام به صورت حدودی فقط در خصوص بات نت هایی می باشند که اقدام به حملات DDoS می نمایند.

پروژه Spamhaus یک سازمان غیر انتفاعی بین المللی است که در سال 1998 تاسیس شده است و ماموریت آن پیگیری و شناسایی عوامل هرزنامه ها و دیگر اقدامات غیر قانونی مشابه است و همچنین سرویس هایی را به صورت بلادرنگ (Realtime) برای حفظ امنیت به سازمان ها ارائه می دهد.

بسیاری از ارائه دهندگان خدمات ایمیل اینترنت، شرکت ها، دانشگاه ها، دولت ها و شبکه های نظامی از این سرویس استفاده می کنند که نشان دهنده اهمیت و اعتبار بالای اطلاعات آماری Spamhaus می باشد.

به خواندن ادامه دهید

معرفی حمله دیداس TCP FIN Flood

در ادامه معرفی حملات DDoS قصد داریم متود جدیدی از حملات DDoS با عنوان TCP FIN Flood را مورد بررسی قرار دهیم؛ این نوع حملات همانطور که مشخص است مبتنی بر یک ارتباط TCP به همراه بیت های FIN فعال است؛ روش عملکرد این نوع حمله DDoS مشابه حملات قبلی است که در آنها پکت های TCP بدون ایجاد یک اتصال TCP و بی هدف ارسال می شوند.
قبل از شروع معرفی باید با مراحل سه گانه اتصال TCP آشنا شوید:

اول کلاینت یک بسته SYN به سرور می فرستد.
دوم سرور یک بسته SYN ACK به کلاینت  می فرستد.
سوم کلاینت یک بسته ACK به سرور می فرستد.

هنگامی که این سه مرحله به اتمام برسد یک ارتباط مشروع و قانونی بین سرور و کلاینت برقرار می شود که می توانند به تبادل اطلاعات بپردازند. حمله TCP FIN Flood پکت های زیادی به صورت TCP ارسال می کند که شامل بیت های FIN فعال است؛ این نوع حمله بسیار شبیه حملات DDoS ACK Flood می باشد.

به خواندن ادامه دهید

متود های جدید حملات UDP تقویت شده : RIP و PORTMAP

حملات RIP amplification نوعی جدیدی از حملات UDP هستند که  عضو حملات تقویت شده UDP به حساب می آیند.
RIP یک پروتکل اطلاعات مسیریابی (Routing Information Protocol ) است که به صورت UDP و بر روی پورت 520 مورد استفاده قرار میگیرد.amplification rate یا نرخ تقویت این نوع پروتکل در یک حمله DDoS در کمترین حالت 55 برابر است؛ یعنی با استفاده از این باگ در سرور ها می توان یک حمله کوچک 100 مگابیتی را به 5500 مگابیت تبدیل کرد؛ البته در دیگر متود های حملات تقویت شده ممکن است نرخ تقویت بسیار بیشتر از این مقدار باشد مثل NTP یا DNS ولی باید این موضوع را در نظر گرفت که اکثر این باگ ها در سرویس دهندگان برطرف شده است اما مزیت متود RIP برای اتکر ها این است که این روش جدید است و هنوز توسط بسیاری از سرویس دهندگان پتچ نشده و به راحتی قابل استفاده برای راه اندازی حملات بزرگ است.

پروتکل Portmap نیز در حقیقت یک میانبر برای Port Mapper در سرویس دهندگان است؛ این پروتکل به صورت UDP  و  بر روی پورت 111 کار میکند. نرخ تقویت این متود جدید جمله DDoS کمتر از RIP است ؛ حدود 20 برابر ! اما این روش نیز جدید است و در بسیاری از سرویس دهندگان پتچ نشده است؛ تا زمان پتچ شدن این متود های جدید؛ آنها می توانند بسیار خطرناک و عاملی برای ایجاد حملات سنگین توسط اتکر ها باشند.

معرفی حمله TCP SYN ACK Flood

ddos-force-attack

در ادامه معرفی حملات قصد داریم متود جدیدی از حملات DDoS با عنوان TCP SYN ACK Flood را مورد بررسی قرار دهیم؛ این نوع حملات همانطور که مشخص است مبتنی بر یک ارتباط TCP به همراه SYN ACK فعال است؛ قبل از شروع معرفی باید با مراحل سه گانه اتصال TCP آشنا شوید:

اول کلاینت یک بسته SYN به سرور می فرستد.
دوم سرور یک بسته SYN ACK به کلاینت  می فرستد.
سوم کلاینت یک بسته ACK به سرور می فرستد.

هنگامی که این سه مرحله به اتمام برسد یک ارتباط مشروع و قانونی بین سرور و کلاینت برقرار می شود که می توانند به تبادل اطلاعات بپردازند. حمله TCP SYN ACK flood پکت های زیادی به صورت TCP ارسال می کند که شامل SYN و ACK فعال است؛ این نوع حمله بسیار شبیه به SYN flood است.

به خواندن ادامه دهید

کلودفلر از توپ جنگی چین محافظت خواهد کرد

به تازگی نیویورک تایمز اعلام کرد که CloudFlare قصد همکاری با غول جستجوی اینترنتی بایدو در چین برای ارائه Yunjia که یک سرویس مانند CloudFlare در چین است را دارد.

این سرویس برای بالا بردن سرعت اتصال به اینترنت و ارائه برخی سرویس های امنیتی برای مشتریان خود از جمله سرویس DDoS mitigation است؛ احتمال میرود از نظرات دیگر نیز این سرویس شبیه کلودفلر باشد.

baidu-china1نیویورک تایمز این را به عنوان مدل جدید برای شرکت های فناوری آمریکایی دانست که با توجه به انجام کسب و کار در زمینه های حساس و ظریف از صنعت فن آوری در چین وارد خواهند شد”

چین و اینترنت آن

بسیاری از کشور ها سطوح مختلفی از سانسور را در سطح اینترنت جهت کنترل بر جامعه ایجاد می کنند ؛ اما چین را واقعا می توان یک اسطوره در این زمینه شناخت! چرا که با وجود جمعیت 1 میلیارد و 400 میلیونی خود توانسته کل کشور را از چیزی که به آن محتوا نامناسب ( که بخش عمده آن محتوای خلاف نظر رژیم سیاسی کنونی چین است) محافظت نماید.

این واقعا یک چیز منحصر به فرد است؛ حجم داده هایی که از خارج و داخل چین در حال انتقال است بسیار بالا است؛ آنها موفق به کنترل این جریان با یک فایروال جامع شناخته شده به عنوان فایروال بزرگ شده اند که گاها از آن به عنوان سپر طلایی چین نام برده می شود. این یک سیستم دفاعی قدرتمند است.

به خواندن ادامه دهید

انجام حملات DDoS با سرویس های ابری

خدمات ابری رایگان در سال های اخیر محبوب شده اند. این خدمات در اختیار توسعه دهندگان پلت فرم ها برای تست نرم افزار، و یا همکاری با دیگر افراد به راحتی در دسترس قرار می گیرند. همچنین این سرویس ها برای تلفن های موبایل یک موفقیت چشم گیر به حساب می آید ولی در عین حال سرویس های ابری اگر به درستی ایمن سازی نشوند می توانند یک معدن طلا برای مهاجمان باشند . بسیاری از سرویس های ابری تنها نیاز به یک ایمیل برای ثبت نام دارند و ساخت ایمیل های جعلی و ساخت اکانت در این سرویس ها توسط روبات ها بسیار آسان است.
چند سال پیش هکر های کلاه سیاه در لاس وگاس، محققان امنیتی اسکار سالازار و راب راگان نشان دادند که این مراحل چه قدر آسان و شدنی است.

cloud-service-delivery

آنها موفق به ساخت 1000 اکانت در سرویس های ابری فقط در طول تعطیلات یک آخر هفته شدند؛ با این بات نت رایگانی که توسط این سرویس های ابری به وجود آورده بودند توانستند فعالیت ماینینگ (استخراج) لیت کویین را انجام دهند و در طول هر هفته فقط 1750 دلار سود خالص داشته باشند! (لینک)

این کار یک فعالیت مخرب نبود اما فکر کنید یک هکر بخواهد از این قدرت و منابع به نحو دیگری استفاده کند؛وی می تواند به راحتی با ساخت هزاران اکانت به اهداف پلید خود جهت راه اندازی یک حمله DDoS بزرگ از طریق آی پی های مورد تایید سرویس های معتبر برسد! مناسفانه در اکثر سرویس های رایگان ابری دور زدن تشخیص هویت بسیار آسان و راحت است و مدیران این شرکت ها باید مراحل سخت گیرانه تری جهت تایید هویت افراد به کار ببرند چرا که با استفاده از این سرویس ها می توانند فعالیت های مخربی همچون انجام اسکن توزیع شبکه؛ حملات توزیعی کرک رمز عبور (brute force)؛ حملات DDoS ؛ کلیک های تقلبی و … دست بزنند.

حرکت های رو به جلو و تکنولوژی های جدید نیاز مند طرح های امنیتی جدید تر است و قبل از تبدیل شدن به یک بحران باید از آن جلوگیری کرد.