بات نت Mayhem در حال رشد است

حدود سه سال پیش محققان شرکت Yandex یک تروجان کشف کردند که به Mayhem  مشهور شد که با کامپایل خود به عنوان یک سرویس فعال در سرور قرار می دهد و به نرم افزار های مخرب اجازه می دهد که حتی تحت مجوزهای محدود (restricted privileges) هم اجرا شوند.

Mayhem اساسا یک ربات مخرب برای سرور های وب سایت ها می باشد که قابلیت دریافت دستورات متعدد از یک C&C یا همان مرکز فرماندهی و کنترل بات نت ها را دارد ؛ همچنین با ابزار های استفاده شده در فایل های پنهان سیستمی می تواند سایت های دیگر را جهت بررسی آسیب پذیری ها اسکن نماید، دست به حملات brute force  بزند و یا حتی بخشی از یک حمله DDoS باشد!

تشخیص معماری سرور

این بدافزار هر دو معماری x32 و x64 را هدف قرار می دهد و این قابلیت را دارد که بهترین نسخه سازگار با معماری سیستم را انتخاب و اجرا نماید، اگر چه بسیاری از بد افزار های دیگر هم روش هایی برای شناسایی معماری و نوع سیستم قربانی داشتند اما روش های مورد استفاده Mayhem برای این کار به روز شده اند و شیء مشترک مخرب (malicious shared object) کاهش یافته که احتمالا به منظور فریب آنتی ویروس ها و سیستم های نظارتی بوده است.

تغییر به شیء به اشتراک گذاشته شده

قطعه کدی در این بدافزار مسئول کپی و راه اندازی نرم افزارهای مخرب است.
بر خلاف نمونه های اصلی از سال ۲۰۱۴، هیچ اشاره ای به متغیر سیستم MAYHEM_DEBUG وجود ندارد.

همچنین، نام این shared object از libworker.so به jquery.so تغییر یافت ( استفاده از نام جی کوئری  به عنوان یک روش انحرافی).

نتیجه

این نوع بدافزار نشان می دهد که چگونه نویسندگان بدافزار وب سرورها را به عنوان یک هدف محبوب می بینند چرا که سرورهای وب قدرتمندتر از رایانه های شخصی هستند و اغلب کنترل های ضد ویروس کمتری دارند. که این امر نیاز به اقدامات پیشگیرانه ارائه دهندگان خدمات میزبانی و مدیران سرور ها برای نظارت بیشتر است.

برای جلوگیری از حمله هایی که قصد سو استفاده از آسیب پذیری های وب سایت شما را دارند و همچنین مقابله با حملات brute force و DDoS  پیشنهاد می کنیم با استفاده از فایروال کلود پروتکشن از وب سایت خود محافظت نمایید.

بزرگترین حملات DDoS سال ۲۰۱۶

سال ۲۰۱۶ سال پر فراز و نشیبی در حوزه امنیت سایبری مخصوصا حملات DDoS بوده است که برجسته ترین موضوع آن استفاده از دستگاه های متصل به اینترنت(غیر تلفن های همراه و رایانه ها) به عنوان بات جهت حملات DDoS بوده است، که در این خصوص می توانید در پست قبلی ما آن را مطالعه کنید:
هکر ها با تستر آشپزخانه ها به جنگ می آیند
در این پست قصد داریم دو حمله بزرگ در سال ۲۰۱۶ را معرفی نماییم، این حملات نسبت به بزرگترین حملات سال ۲۰۱۵ رشد چند برابری داشته اند!

در تاریخ ۲۰ سپتامبر ۲۰۱۶ کاربران دیتاسنتر معروف و بزرگ OVH شاهد اختلالاتی در شبکه شدند که سرویس دهی را تا حدی با مشکل مواجه کرده بود، مشکلات حل شدند اما سوالی که مطرح شده بود این بود که مشکل چه بود؟

به خواندن ادامه دهید

پارس آنلاین قربانی حملات DDoS

مهار حملات DDoS لایه ۳ و ۴ شبکه همیشه جز اولویت های هر شرکت سرویس دهنده اینترنت می باشد، این حملات در سطوح بالا می توانند بسیاری از شبکه ها را با مشکل مواجه سازند، همانطور که حملات DDoS با قدرت ۶۰ گیگابیت در ۳ سال قبل توانسته بودند دیتا سنتر هتزنر را به کل از کار بی اندازند. البته بعد از آن حمله هتزنر با ارتقا شبکه خود توانست سطح بالاتری از امنیت را فراهم کنید، اما در ایران برای جلوگیری از این حملات چه تدبیری اندیشیده شده است؟

پارس آنلاین چند روز پیش طبق بیانیه ای اعلام کرد:

“با توجه به حملات سایبری DDOS با مبدا خارج از کشور، شبکه مرکز داده پارس آنلاین در چند روز گذشته دچار اختلال گردیده .

به اطلاع میرساند برای جلوگیری از این مشکل ، دو پروتکل UDP و ICMP از طریق شرکت زیرساخت بر روی شبکه پارس آنلاین به مدت محدودی بسته شده است.

بررسی و رفع این مشکل هم اکنون در اولویت کارشناسان فنی پارس آنلاین قرار داشته و تمام تلاش مرکز داده پارس در جهت رفع هر چه سریعتر این مشکل می باشد.”

البته همه می دانند که این مشکل برای اکثر سرویس دهندگان اینترنت ایرانی رخ می دهد ولی معمولا شرکتی دلیل اختلالات خود را اعلام نمی کند و همیشه با جملاتی مثل” مشکل سراسری است ” به کاربران خود پاسخ می دهند.

اولین قدم برای حل این مشکل نیاز به پهنای باند بالا است، در صورت نداشتن پهنای باند کافی هیچ متخصص و فایروالی نمی تواند پاسخگوی نیاز سرویس دهندگان در برابر مشکلات باشد.

امیدواریم مسئولین به اندازه کافی به اهمیت افزایش پهنای باند کشور و کاهش هزینه نهایی پهنای باند برای سرویس دهندگان اینترنت پی برده باشند که این یک مسئله امنیتی محسوب می شود و در آینده ای نه چندان دور می تواند فضای مجازی کشور را با تهدید مواجه نماید.

هکر ها با تستر آشپزخانه ها به جنگ می آیند

در گذشته ای نه چندان دور هکرها برای انجام حملات DDoS از سرور ها و کامپیوتر های خانگی آلوده به عنوان بات نت استفاده می کردند ولی امروزه از هر ابزار متصل به اینترنت سعی در ساخت زامبی یا همان بات برای انجام حملات DDoS دارند و در این روش از باگ های موجود آن دستگاه استفاده می کنند.

toaster-attack

در یک تعریف خلاصه و مختصر بات نت به معنی مجموعه ای از کامپیوتر (یا بهتر است دیگر بگوییم هر وسیله متصل به اینترنت) که به صورت غیر قانونی و مخفیانه به کنترل یک هکر در امده اند و با استفاده از آن به انجام حملات سایبری دست می زنند. (بات نت چیست؟)

چند مدت پیش یک نفر با یک بات نت بزرگ که شامل ۲۵۰۰۰ دوربین مدار بسته بود یک حمله DDoS گسترده علیه یک وب سایت فروش طلا و جواهر اقدام کرده بود(۲۵۰۰۰ آی پی ).دو روز بعد، یک شرکت امنیتی اعلام کرد که گروه دیگر از هکرها با استفاده از بیش ار ۱۰۰۰ دوربین مداربسته متصل به اینترنت یک بات نت برای انجام حمله علیه شرکت های بازی کامپیوتری و برخی اهداف دیگر در برزیل  از جمله بانکها، شرکت های مخابراتی و سازمان های دولتی راه اندازی کردند.

در اوایل سال جاری میلادی، سایت امنیت سایبری Dark Reading هشدار داد که مجرمان اینترنتی به زودی از هر دستگاه متصل به اینترنت برای انجام حملات دیداس استفاده خواهند کرد. با استفاده از دستگاه هایی که ضعف های امنیتی داشته باشند می توان ترافیک زیادی را به سمت یک وب سایت و سرور هدایت کرد، شاید در نگاه اول بگویید مثلا یک دوربین مداربسته نهایت چه مقدار ترافیک به سمت سرور قربانی می تواند ارسال کند؟ درست است ناچیز است ولی وقتی این مقدار را چند هزار برابر کنید مطمئنا یک حمله بزرگ DDoS را پیش روی خود خواهید دید!

با گسترش تکنولوژی و افزایش فناوری های کنترل از راه دور، تعداد دستگاه هایی غیر از کامپیوتر ها و موبایل ها که به اینترنت متصل می شوند روز به روز افزایش می یابد.بن هرزبرگ، مدیر تحقیقات گروه امنیتی Imperva، گفت که به کنترل گرفتن این دستگاه ها توسط هکر ها راحت تر از به دست گرفتن کنترل کامپیوتر و یا دستگاه های تلفن همراه است و دارای امنیت به مراتب پایین تری هستند.

هکر ها با استفاده از ابزار های  Lizard Stresser که توسط گروه هکر های Lizard Squad تولید و منتشر شده اقدام به اسکن شبکه ها و نفوذ به دوربین های امنیتی کردند که دارای رمز عبور ضعیف و ساده بودند و یا فریم ورک آنها قدیمی و دارای باگ بوده است و آنها را برای انجام حملات DDoS مورد استفاده قرار دادند.

البته این اولین نوع حملات استفاده از دستگاه های متصل به اینترنت ( به غیر از کامپیوتر ها و تلفن های همراه) به عنوان بات نت نبود، در سال ۲۰۱۴ نیز گروه Lizard Squad با استفاده از یک ضعف امنیتی توانست تعداد بالایی روتر را در اختیار بگیرید و از آنها برای حمله به شبکه های کنسول های بازی X-box و پلی استیشن استفاده کند. به معنای واقعی از “هر” وسیله متصل به اینترنت می توان به عنوان یک بات استفاده کرد مگر اینکه تدابیر امنیتی لازم به کار گرفته شود.

جان گراهام مدیر ارشد فناوری شرکت کلودفلر گفت: ما در آینده شاهد افزایش حملات DDoS خواهیم بود، چرا که بخش صنعت به سمت به روز رسانی خودکار رو نیاورده است و به روز رسانی ها نیاز به تایید و انجام فرآیندی توسط خود کاربر دارد ؛ نه سازنده دستگاه.

در آینده ای نه چندان دور شما احتمالا شاهد حملات DDoS به وسیله یک بات نت بزرگ از دستگاه های تستر هستید که گزارش وضعیت خود را از طریق اینترنت به صاحب خانه می دادند.

حملات گسترده DDoS به درگاه های پرداخت واسط ایرانی

از حدود یک ماه پیش برخی درگاه های واسط ایرانی از جمله پارس پال؛جهان پی ؛ سیبا پال ؛ پی لاین و دیگر سایت های مطرح در این زمینه مسدود شدند. البته دلیل مشخصی هنوز ارائه نشده اما ظاهرا این موضوع از مدت ها قبل در دستور کار کمیته فیلترینگ بوده است.

این اتفاق باعث بروز مشکلاتی شد؛ هزاران سایت از این سرویس ها برای پرداخت های سایتشان (فروش محصولات فیزیکی و مجازی؛ فروش خدمات و…) استفاده می کردند که یک ضربه بزرگ به بدنه تجارت الکترونیک ایران نیز محسوب می شود.

اما این پایان داستان تلخ درگاه های واسط نبود؛ تقریبا اکثر این درگاه ها به طرایق مختلف هنوز هم در حال سرویس دهی هستند ولی حال با مشکل جدیدی به نام حملات DDoS دست و پنجه نرم می کنند.یکی از این سرویس دهندگان در بخشی از اطلاعیه خود انتقاد شدیدی به فیلتر شدن تمامی درگاه های پرداخت به جز یکی را داشته است و همچنین مدعی شدند که سایتشان مورد حملات DDoS قرار گرفته است.

این اطلاعیه از اولین نشانه های بروز یک درگیری سایبری و خصومت بین درگاه های واسط بود.

اطلاعیه های جنجال بر انگیز درگاه های واسط و بحث هایی که در این خصوص در انجمن های اینترنتی انجام شد موجب به شدت گیری تنش ها شد و در مدت کوتاهی شاهد حملات گسترده DDoS بر روی درگاه های واسط بودیم که تقریبا هیچ درگاهی از این حملات در امان نبوده است.

getway-attack

زرین پال به عنوان تنها درگاهی که مسدود نشد ظاهرا بیشتر از همه در معرض این حملات قرار گرفته است و اعلام کرده است که :

به خواندن ادامه دهید

بات نت کوچک کره شمالی در حال رشد است

تنش های بین کره شمالی و جنوبی در حال حاضر دیگر به قدرت نمایی نظامی محدود نمی شود. این بار کره شمالی در حال تمرکز بر روی  ایجاد اختلال بر روی شبکه های کره جنوبی با واسطه حملات DDoS است؛
همچنین اقداماتی نظیر فیشینگ نیز به صورت گسترده علیه مقامات دولتی کره جنوبی در حال انجام است. این اطلاعات توسط سازمان های اطلاعاتی کره جنوبی جمع آوری شده است.
این گزارش همچنین می گوید که کره شمالی یک شبکه بات نت با ۶۰،۰۰۰ بات (زامبی) در داخل کره جنوبی دارد که می تواند به وسیله آن حملات DDoS به سرور های کره جنوبی از داخل خاک همان کشور مدیریت و رهبری کند. ظاهرا این حملات به شبکه های زیر ساخت راه آهن نیز انجام شده است.
اما نکته ای که تخمین آن کمی دشوار است تعداد بات نت های در اختیار کره شمالی است که بر اساس شواهد حدود ۱۰٫۰۰۰ کامپیوتر تبدیل به ابزار زامبی (بات) برای اهداف خرابکارانه کره شمالی در ۱۲۰ کشور جهان فقط در ژانویه امسال شده اند شده است.
البته این رقم بزرگی است اما با توجه به بات نت های شناخته شده موجود؛ برای اینکه بات نت کره شمالی یک بات نت بزرگ به حساب بیاید باید حد اقل یک میلیون بات داشته باشد.

به خواندن ادامه دهید

آمار حملات DDoS در سال ۱۳۹۴

با توجه به پایان سال ۱۳۹۴ تصمیم بر این گرفتیم که گزارش آمار حملات DDoS به شبکه های سنترال هاستینگ را طی سال گذشته منتشر کنیم.
طبق مقالات سایت های معتبر امنیتی بین المللی پیش بینی می شد که در شروع سال میلادی ۲۰۱۶ ( زمستان ۱۳۹۴) شاهد افزایش حملات DDoS خواهیم بود ؛ اما این سیر صعودی حملات بر روی وب سایت های فارسی زبان برای ما نیز کمی عجیب بود.

مطالب گذشته:
سال جدید با دنیای جدید هکر و انتظار افزایش جنگ های مجازی
افزایش حملات DDoS در ماه آخر میلادی
بازگشت جوخه مارمولک (Lizard Squad)
انجام حملات DDoS با سرویس های ابری

در زمستان ۹۴ رکورد بزرگترین حملات به سرور های سنترال هاستینگ از زمان فعالیت ثبت شد؛ بزرگترین حمله به حجم ۱۱۴گیگابیت بر ثانیه و حدود ۹٫۸۰۰٫۰۰۰ پکت در ثانیه رخ داد و حدود یک ساعت به طول انجامید.
این حمله به قدری بزرگ محسوب می شود که واقعا می توان آن را به عنوان یک رکود در بین سایت های ایرانی ثبت کرد. این حجم حمله حدود ۱/۳ پهنای باند کل کشور است!

log2016-1

علاوه بر حمله فوق؛ حملات زیادی نیز با حجم ها و pps های بالا رخ داد که ما مجبور به ارتقا DDoS Protection شبکه برای جلوگیری از این حملات شده ایم.

همچنین علاوه بر افزایش فدرت حملات؛ شاهد افزایش کمی حملات نیز بوده ایم؛ ما در سال ۱۳۹۴ بالغ بر ۱۰۰۰۰ حمله DDoS را شناسایی کرده ایم. تصویر زیر نشان دهنده تعداد حملات DDoS در سال ۱۳۹۴ بر روی سرویس های سنترال هاستینگ است.

Book1

 

نکته: آمار حملات لایه ۷ – HTTP در نمودار فوق حدودی می باشد و امکان ارائه آمار دقیق به دلیل مسایل فنی وجود نداشته ؛ این رقم یک حداقل است که بر اساس لاگ ها و شواهد به دست آمده است.

این حملات با شروع سال جدید میلادی در زمستان ۹۴ به اوج خود رسید که گمان می رود به دلیل در دسترس قرار گرفتن ابزار های جدید و بوتر های کارامد تر است؛ همچنین با توجه به افزایش قدرت حملات UDP  پیشبینی می شود یک باگ جدید در سرویس دهندگان اینترنت توسط هکر ها کشف شده باشد که هنوز پتچ نشده است.
در سال ۲۰۱۲ وجود باگ در DNS سرور های شرکت ها و ISP های بزرگ منجر به استفاده ابزاری از آن سرور ها برای حملات بزرگ DDoS  می شد؛ به طوری که رکود بزرگترین حملات در آن سال شکست و تقریبا هیچ راه حلی برای این حملات وجود نداشت اما گروهی تصمیم به ایجاد پروژه ای عظیم گرفتند و نام آن را Open Resolver Project گذاشتند که در قالب تاسیس سایتی شروع به فعالیت کرد؛( جهت نمایش سایت اینجا کلیک کنید).همانطور که مشخص است وظیفه این سایت شناسایی و معرفی  DNS resolvers های باز بود که مورد سو استفاده قرار می گرفتند؛به مرور زمان این سایت به هدف نهایی خود رسید؛ افراد و شرکت هایی که مسئول این سرور ها بودند توسط این سایت و گزارش های کاربران متوجه وجود باگ های خود شدند آنها را برطرف نمودند و بعد از مدتی به صورت چشم گیری این حملات کاهش یافت اما آیا امکان دارد یک باگ جدید دوباره امنیت اینترنت را به خطر بی اندازد؟ احتمال اینکه یک باگ جدید دوباره شبکه ها و سرور ها را تهدید کند همیشه وجود دارد.

سال جدید با دنیای جدید هکر و انتظار افزایش جنگ های مجازی

سال ۲۰۱۵ اوج حملات هکر ها بوده است. از حملات به شبکه BBC گرفته تا Xbox ؛ در سال جدید گروه هکری جدیدی به نام New World Hacking اعلام وجود کرده است که مسئولیت حملات زیادی را به عهده گرفته است.

این گروه اهداف خود را علیه وب سایت ها و شبکه های گروه داعش می داند و به مبارزه با داعش در فضای مجازی می پرازد. از دیگر فعالیت های آنها می توان حمله به وب سایت دونالد ترامپ یکی از کاندیداهای ریاست جمهوری آمریکا نام برد که پیش از این نظرات جنجال برانگیز علیه مسلمانان داشته است.

لینک خبر:Donald Trump’s Campaign Website Targeted by DDoS Attack

این گروه هکرها که مسئولیت حملات DDoS به BBC را به عهده گرفته بود ابزار خود را با نام BangStresser رونمایی کرده است.

در حالی که قدرت حملات سایبری در طول زمان با پیشرفت تکنولوژی کاهش می یابد اما ظاهرا در خصوص حملات DDoS به نحو دیگری بوده است و شاهد افزایش قدرت این حملات در گذر زمان هستیم.

این مسئله پیش از پیش وب سایت ها و شبکه ها را برای محافظت از حملات دیداس ترغیب می کند. اما همیشه نمی توان امنیت را به ۱۰۰ درصد رساند؛وب سایت BBC به عنوان یکی از بزرگترین شبکه های خبری دنیا از قبل خود را برای این حملات آماده کرده بود و هزینه های بسیاری برای جلوگیری از حملات انجام داد است اما حملات اخیر DDoS بسیار بزرگتر از آن چیزی بود که BBC فکرش را کرده بود !

این گروه طی بیانیه ای اعلام کرده حملات ارسال شده می تواند تا ۶۰۲ گیگابیت در ثانیه قدرت داشته باشند که بسیار بزرگتر از حملاتی است که تا کنون رخ داده است ! رکورد بزرگترین حمله DDoS برابر با ۳۳۴ گیگابیت ثبت شده که این می تواند برای امنیت فضای مجازی یک فاجعه باشد !

شرکت امنیتی Staminus که در خصوص جلوگیری از حملات DDoS فعالیت دارد اعلام کرد نشانه هایی وجود دارد که با گسترش تکنولوژی و افزایش سخت افزارها و دستگاه های متصل به اینترنت باید منتظر موج بزرگی از حملات DDoS در سال ۲۰۱۶ باشیم.

در این میان گروه نو پای New World Hacking اظهار داشتند که خود را برای حملات جدی تری نسبت به گروه داعش و زیرساخت های شبکه های ترکیه آماده می کند که نشان از آمادگی هکر ها برای شروع یک جنگ تمام عیار سایبری دارد.

افزایش حملات DDoS در ماه آخر میلادی

همانطور که در خبر قبلی دیده اید وب سایت های بی بی سی طی یک حمله DDoS در روز آخر میلادی از دسترس خارج شد.

طاهرا حملات DDoS در ماه آخر میلادی به اوج خود رسیده بود ،حملات بزرگ DDoS گزارش شد و اهداف زیادی مورد حمله قرار گرفتند؛ حملات علیه وب سایت بی بی سی، ایکس باکس، PSN و یک سری وب سایت های دولتی در آمریکا و اروپا از مهم ترین این حملات بوده است.

اما ظاهرا طی خبر ها و آنالیز ها می توان حدس زد که تمامی این حملات از قبل برنامه ریزی شده اند؛ حملاتی که درست قبل از رسیدن به تعطیلات کریسمس باعث مسدود کردن خدمات دولتی؛ و سرویس های بازی و تفریحی و … کرده اند که به نوعی در ذهن مردم تداعی کننده این باشد که هنوز دولت قدرت کافی را برای برخورد با حملات سایبری را ندارد و به نوعی دلسردی در مردم در آستانه سال نو به وجود آورند.

به عنوان مثال، در اوایل هفته گذشته در شیکاگو، یک حمله بزرگ جهت ضرب زدن به زیر ساخت دولتی بوستون رخ داد:

به خواندن ادامه دهید

اضافه شدن ۶۵ پسوند – TLD جدید

با عرض سلام و وقت بخیر خدمت کاربران گرامی؛
۶۵ پسوند جدید ( TLD ) به لیست اضافه شده است که می توانید دامین دلخواه خود را با این پسوند ها ثبت نمایید.
جهت مشاهده دامین ها به ادامه مطلب بروید.

به خواندن ادامه دهید