IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

DDoS

کلمات رایج امنیت شبکه و فناوری اطلاعات IPImen

Gab.com هک شد؛ نشت پروفایل ها، پست ها، پیام های خصوصی، رمزهای عبور و...

در آخر DDoSecrets اطلاعات حساس 70 گیگابایتی متعلق به کاربران ثبت شده Gab را منتشر کرد.

گروه هکرهای DDoSecrets حجم زیادی از اطلاعات متعلق به Gab.com را فاش کرده اند. Gab یک پلتفرم شبکه اجتماعی راست گرا است که مدعی ارائه فضای "آزادی بیان" و بدون هیچگونه سانسوری است.

شایان ذکر است که Gab به عنوان محل اجتماع افراط گرایان از جمله برتری طلبان سفید پوست، نئونازی ها، ملی گرایان سفید پوست، آلت-رایت ها و نظریه پردازان تئوری توطئه QAnon توصیف شده است.

چه اتفاقی افتاده است؟!

در تاریخ 26 فوریه سال 2020، Gab.com یک پست وبلاگی را منتشر کرد که در آن، این شرکت شایعات مربوط به مورد هک واقع شدن را خطاب قرار داده و تخلفات و نشت اطلاعات را رد کرده بود.

این شرکت پس از مدت کوتاهی به شکل مرموزی از یک هفته پیش آفلاین شد و بر این مدعا اصرار میورزید که فقط چند حساب به تاثیر از یک هزرنامه کیف پول بیت کوین، آسیب دیده اند.

مدیرعامل Gab، اندرو توربا ادعا کرد که خبرنگاران با آنها تماس گرفته و در مورد نشت داده ها شامل آرشیوی از پست ها، پیام های خصوصی، پروفایل ها و رمزهای عبور هش شده صحبت کرده اند.

توربا همچنین به موضع گیری خود ادامه داد و از این شرکت تماما دفاع کرد و افزود که هیچ تایید رسمی و دقیقی در مورد نشت رخ داده وجود ندارد و همچنین مدعی شد که در مجموع سایت آنها اطلاعات شخصی زیادی را درباره کاربران خود جمع آوری نمیکند!

آنها سپس با متهم کردن خبرنگاران ناشناس به همکاری با هکرها در راستای لکه دار کردن شهرت این شرکت، اقدام به مبرا کردن خود از خطا و اشتباه در رابطه با این نشت اطلاعات کردند. توربا اذعان کرد که این سایت از وجود آسیب پذیری در برابر جمله نفوذی SQL و نقصی که در هفته پَچ شده، آگاه است و فرایند برآورد امنیتی آن هنوز ادامه دارد.

DoSecrets اطلاعات را از فعالین هک گرفته است

گروهی که مسئولیت حمله را بر عهده گرفتند خود را DDoSecrets نامگذاری کرده اند. بنیانگذار این گروه، اِما بِست خود را به جای یک گروه هکر، گروه افشاگر مانند ویکی لیکس یا گروه های هکتیویست می نامد.

وایرد گزارش داد: "DDoSecrets می گوید كه یك شركت فعال در حوزه هک كه خود را به عنوان" JaXpArO و My Little Anonymous Revival Project" معرفی می كند، اطلاعات خود را پایگاه داده های Gab در راستای تلاش برای آشکار سازی و افشای کاربران عمدتا راست گرا منتشر کرده است".

نشت اطلاعات و داده ها

همانطور که هک رید گزارش کرده و در تصویر زیر مشاهده میشود، می توان تأیید کرد که DDoSecrets، 70 گیگابایت داده تحت عنوان "GabLeaks" را به بیرون نشت داده است. این نشت شامل 70 گیگابایت پست عمومی در Gab، پست های خصوصی، پروفایل کاربری، رمزهای عبور هش شده برای کاربران، پیام های خصوصی و رمزهای عبور متن سادۀ گروه ها در قالب SQL، همراه با بیش از 70 هزار پیام در بیش از 19 هزار چت با بیش از 15 هزار کاربر گروه هایی که در سایت DDoSecrets مشخص شده، منتشر است.
takian.ir gab hacked ddosecrets leak profiles posts dms passwords online 1

در توئیتر از اِما بِست پرسیده شده است که آیا داده های Gab شامل فیلم ها یا عکس های اعتراضات و یورش به کاخ سفید است یا خیر؟ در پاسخ، بِست اذعان داشت که "نه، اما یک تیم تحقیقاتی خبره میتواند از داده ها برای بازیابی محتوای رسانه ای که در Gab بارگذاری شده اتد، استفاده کند".

نشت های قبلی DDoSecrets

در ابتدا در ماه نوامبر سال 2019، DDoSecrets اقدام به انتشار حجم زیادی از اطلاعات کرد. اولین نشت و افشای اطلاعاتی آنها به اطلاعات نشت یافته بانک معروف Cayman National برمیگردد که اطلاعاتی 2 ترابایتی را در برمیگرفت.

در ژوئن سال 2020، همان گروه، عملیاتی را با نام BlueLeaks آغاز کردند و داده های 296 گیگابایتی بیش از 200 بخش پلیس و مراکز Fusion در ایالات متحده را منتشر کردند. این اطلاعات موجب رنجش و ناراحتی مقامات شد و پلیس آلمان را مجبور به ضبط سرورهای DDoSecrets که در سوئیکا آلمان میزبانی می شدند، کرد.

takian.ir gab hacked ddosecrets leak profiles posts dms passwords online 2

Gab، راست گراها و محدودیت های کاربران

از طرفی Gab یک شبکه اجتماعی مبتنی بر آزادی بیان راست گرا است و آنها مدعی هستند که از اولین اصلاحیه قانون اساسی ایالات متحده آمریکا حمایت میکنند و با اجازه دادن به همه اشکال سخنرانی سیاسی در بستر خود، به استثنای فعالیتهای غیرقانونی، تهدید به خشونت، محتوای مستهجن، استثمار کودکان و هرزنامه نگاری، زمینه را برای ابراز عقیده فراهم ساخته اند.

علاوه بر اینها، آنها مخالف هر نوع سانسور هستند و به همین دلیل در بیش از بیست و پنج ارائه دهنده خدمات از جمله فروشگاه نرم افزاری اپل، سیستم های پردازش پرداخت، ارائه دهندگان هاست و حتی ویزا کارت ها، در طی چند سال محدود و مسدود شده اند.

افزایش تقاضای بازار نرم افزار محافظت از حملات DDoS در بازه 2020 تا 2028

 

حمله DDoS یا Distributed Denial of Service نوعی حمله مخرب است که با ایجاد فشار بیش از حد در وب سایت با میزان بازدید بیشتر از سرور، ترافیک منظم شبکه را مختل می کند. هدف اصلی این نوع حمله سایبری غیرفعال کردن و از کار انداختن وب سایت ها است.

طی سالهای اخیر، این نوع حملات روند رو به افزایش داشته است و متعاقبا تقاضا برای بهترین نرم افزارهای محافظت از DDoS را افزایش می دهد. بسیاری از قطع دسترسی های برنامه ریزی نشده از مرکز داده ها به دلیل حملات DDoS اتفاق افتاده است. درجه بالای خطر DDoS به دلیل دسترسی آسان به ابزارهای لازم برای حمله و سود بالقوه آن از طریق اخاذی است.

این حملات بطور مستقیم مشاغل را هدف قرار داده و منجر به خسارات مالی و جانی قابل توجهی می شود و داشتن راه حل های قوی و مستحکم برای حفاظت از DDoS، تبدیل به امری حیاتی شده است.

طبق گزارش موسسه مارکت ریسرچ ، پیش بینی می شود نرخ رشد مرکب سالانه (CAGR) بازار نرم افزارهای محافظت از حملات DDoS برای سال 2020 تا 2028 به 14 درصد برسد.

 

آماری مهم که نشان از تقاضای روزافزون برای نرم افزاری محافظتDDoS دارد

تقاضا برای بازار نرم افزار DDoS به دلیل افزایش تصاعدی حملات چند جانبه DDoS و سهولت دسترسی به نفرات برا استخدام در حملات DDoS، در حال افزایش است.

این آمار، رشد مداوم در حملات مرگبار DDoS و نیاز قریب الوقوع به داشتن یک فضای محافظت قوی از DDoS را نشان می دهد.

  • بین سالهای 2014 و 2017 افزایش محسوسی در حملات DDoS برای نرخ افزایش 2.5 برابری مشاهده شده است.
  • تا سال 2020 ، تعداد کل حملات DDoS به 17 میلیون نفر رسید که هزینه هر کدام از این حملات بین 20 تا 40 هزار دلار در ساعت بوده است.
  • در سه ماهه دوم سال 2018، میانگین حجم و اندازه چنین حمله ای 26.37 گیگابایت بر ثانیه بوده است، که 967٪ افزایش یافته و در سه ماهه اول سال 2019 به 100 گیگابیت بر ثانیه رسیده است.
  • بزرگترین حمله تاکنون، حمله به GitHub در ماه فوریه سال 2018 با 1.3 ترابابت بر ثانیه بوده است.
  • چین بالاترین رتبه در بین عاملین حملات DDoS در سه ماهه سوم سال 2020 را داشته و 70.20٪ از کل حملات را به خود اختصاص داده است.
  • در سه ماهه سوم سال 2020، چین با 72.83٪ حملات، کشور پیشرو در اهداف حملات بوده است.
  • میزان فعالیت حملات DDoS بین سه ماهه چهارم سال 2019 و سه ماهه اول سال 2020، 542% افزایش یافته است.

پیش بینی می شود که حجم جهانی محافظت و کاهش حملات DDoS با افزایش 14 درصدی نرخ رشد مرکب سالانه ، از 2.4 میلیارد دلار در سال 2019 به 6 میلیارد دلار تا سال 2028 برسد.

عوامل موثر در رشد بازار محافظت و کاهش حملاتDDoS

حملات سایبری در چند وقت اخیر افزایش یافته است که بیشتر به دلیل تغییر جهت دیجیتالی شدن، افزایش تعداد دستگاههای متصل به اینترنت و افزایش قدرت محاسباتی پردازنده ها است. برای کاهش این تهدیدات نیاز به توسعه راه حل های نرم افزاری به شدت احساس میشود.

از اصلی ترین عواملی که می تواند باعث رشد بازار محافظت و کاهش حملات DDoS را بین سالهای 2020 تا 2028 بشود، افزایش نفوذ اینترنت اشیا (IoT) و دستگاه های متصل به اینترنت و تقاضای شرکت های کوچک و متوسط ​​است.

سازمان ها متوجه تأثیر این حملات شده اند و می خواهند از قبل برنامه ای برای مقاومت در برابر این دست حوادث داشته باشند.

حفاظتDDoS چگونه کار می کند

بسیاری از شرکتها با این سوال روبرو هستند که چگونه از وب سایت خود در برابر حملات DDoS محافظت کنم؟ امروزه فروشندگان زیادی وجود دارند که راه حل های نرم افزاری مختلفی ارائه می دهند که از وب سایت ها در برابر این حملات محافظت می کنند.

از الگوریتم ها و نرم افزار پیشرفته ای برای مدیریت ترافیک ورودی به وب سایت استفاده می کند. دسترسی به ترافیک مشکوک را مسدود می کند و اجازه می دهد موارد غیرمشکوک از  فیلتر آن عبور کنند.

راه حل پیشگیری ازDDoS

برنامه حفاظت DDoS شامل خرید و مدیریت تجهیزاتی است که می توانند ترافیک دریافت کننده را غربال کرده و در برابر حمله مقاومت کنند. سرویس های امنیتی مبتنی بر ساختار ابری و دستگاه های شبکه هستند که تهدیدات و مخاطرات ورودی را کاهش می دهند.

انتظار می رود بین سالهای 2020-2028 ، راه حل ها و خدمات سخت افزاری برای اطمینان از اتصال شبکه و کاهش خرابی در صورت خرابی تجهیزات یا برق رشد کنند.

حالت های گسترش و استقرار محافظت ازDDoS

وقتی صحبت از گستردگی میشود، بازار محافظت و کاهش حملات DDoS به ساختار ابری ، درون ساختاری و ترکیبی تقسیم می شود. انتظار می رود مدل ترکیبی در دوره پیش بینی شده، حداکثر رشد را داشته باشد. این حالت به سازمانها اجازه می دهد تا داده های با اهمیت خود را در ساختار خود نگه دارند و داده غیر مهم را به فضای ابری منتقل کنند.

در دوران اخیر، بسیاری از حملات DDoS توسط راهکار های داخلی و مبتنی بر ابر قابل شناسایی نبوده و سازمان ها نمی توانستند آنها را شناسایی و خنثی کنند. بنابراین آنها در حال تغییر به سمت یک مدل استقرار ترکیبی هستند.

بازیگران اصلی ارائه راه حل های تشخیص و کاهشDDoS

با افزایش حملات DDoS، تعداد عوامل ارائه دهنده راه حل های نرم افزاری برای شناسایی و کاهش حملات افزایش پیدا کرده اند.

بزرگترین عوامل حاضر در بازار عبارتند از نت‌اسکات، اینداسفیس مینیجد DDoS میتیگیشن، آکامای تکنولوژیز، کلودفلیر، لینک11، هوآوی تکنولوژیز، وریساین، نکسوس گارد.

بزرگترین سهم بازار در بازار محافظت و کاهشDDoS

طبق گزارش مجموعه مارکت ریسرچ، آمریکای شمالی بیشترین و بزرگترین سهم را در بازار محافظت و کاهش حملات DDoS در دوره پیش بینی شده داشته است. محرک های اصلی برای داشتن یک بازار بزرگ این است که این یکی از ابتدایی ترین راه حل های محافظت و کاهش DDoS بود و هیچ ارائه دهنده دیگری در این زمینه وجود ندارد. بسیاری از مشاغل در آمریکای شمالی برای در نطفه خنثی کردن این تهدیدات، راهکارهای محافظت و کاهش حملات DDoS را به عمل درمی آورند.

آسیا و اقیانوسیه (APAC) نیز شاهد افزایش رشد بازار خود را به دلیل رشد اقتصادی سریع و ثبات در کشورهای در حال توسعه و اصلاحات نظارتی بهتر خواهند بود.

در دوران اخیر و پیش رو، با تغییر روند تهدیدات و تاثیر حملات شبکه های DDoS در طول زمان، حملات DDoS بیشتر و پیچیده تر می شوند. اگرچه حجم حملات کاملا یکسان است، تعداد حملات به برنامه های خاص و هدف های حساب شده، به مقدار قابل توجهی افزایش می یابد.

هدف از راه حل های نرم افزاری حفاظت از حملات DDoS، کاهش بازه زمان خرابی حاصل از این حملات و افزایش در دسترس بودن وب سایت ها در راستای حفظ تولید و کارآیی مشاغل است. راه حل های نرم افزاری درون ساختاری، ابری و ترکیبی برای شرکت های کوچک، متوسط و بزرگ، قطعا بسیار راهگشا است.

بررسی 12 نوع از مشهورترین انواع حملات DDoS

این روزها در خبرهای حوزه امنیت، بسیاری از خبرها متعلق به انجام حملات DDoS به زیر ساخت ها است و بسیاری از سازمان ها در حال حاضر متوجه شده اند، هر گونه کسب و کار، صرف نظر از اندازه و مکان آن، یک هدف برای حملات انکار سرویس توزیع شده (DDoS) است.Takian.ir DDoS
حملات DDoS شامل حملاتی است که بصورت سیل آسا، وب سایت سازمان را با حجم زیادی از ترافیک مورد حمله قرار میدهند، با این هدف که سایت سرویس دهنده را آفلاین نمایند که منجر به قطع دسترسی به سرویس مورد نظر میگردد. کسانی که تحت تأثیر حملات DDoS قرار می گیرند، اغلب از زمان خراب شدن رنج می برند، که منجر به زیان مالی و صدمه به شهرت آنها می شود.
یکی از گسترده ترین حملات DDoS که تا کنون رخ داده است، در سال 2016 اتفاق افتاد، زمانی که سرویس دهنده های DNS ارائه کننده Dyn آنلاین نبودند. از آنجایی که Dyn یک ارائه دهنده DNS است، بسیاری از سازمان های جهانی بر روی دسترسی به سرویس های خود متکی بودند تا اطمینان حاصل شود که وبسایت ها قادر به اجرای آن هستند. این در نهایت به این معنی بود که وقتی Dyn به صورت آفلاین قرار گرفته شد، بر روی بسیاری از سازمان های دیگر نیز تاثیر مستقیم گذاشت. وب سایت های مهم که تحت تاثیر این حمله قرار داشتند شامل نیویورک تایمز، توییتر Pinterest، Reddit، Tumblr، GitHub، Etsy، Spotify، PayPal و Verizon بود. این حملات نه تنها موجب ناراحتی زیادی برای سازمانها و مشتریان آنها شد، بلکه می تواند به طور قابل توجهی از لحاظ مالی هم همه آنها را تحت تاثیر قرار دهد.
به علت آسیب قابل توجهی که ممکن است یک حمله DDoS ایجاد شود، بسیاری از تیم های فناوری اطلاعات در مقابل تهدید قرار می گیرند. با این حال، چه بسیاری از تیم های فناوری اطلاعات ممکن است کاملا ناآگاه از آن باشد که مجرمان سایبری انواع مختلفی از انواع حملات DDoS را در مشت خود دارند و به فراخور زمان ممکن است از یک یا ترکیبی از انها استفاده نمایند.

در زیر به 12 نوع از مهمترین حملات DDoS اشاره شده است که از خطرناک ترین و مضرترین حملات هستند و دانستن در مورد آنها به تیم های امنیتی کمک می کند تا با داشتن برنامه های مناسب برای دفاع و مقابله با آنها، از خود محافظت نمایند:

1 - DNS Amplification: این حمله یک نوع "انعکاس" حمله است که در آن یک عامل مرتکب شده اقدام به زدن کوئری هایی میکند که از آدرس آی پی تقلبی قربانی مورد نظر استفاده می کنند. استفاده از آسیب پذیری ها در سرورهای نام دامنه (DNS) ، پاسخ ها را به بسته های UDP بسیار بزرگتر کرده و سرورهای هدف، فلود می شوند.

2 - UDP Flood : در این حمله، مهاجم از بسته های IP حاوی دیتاگرام UDP برای قرار دادن پورت های تصادفی در یک شبکه هدف استفاده می کند. سیستم قربانیان تلاش می کند تا هر یک از استراتژی های دیتاگرام را با یک برنامه مطابقت دهد، اما نمیتواند و دائم تلاش می کند که جلوی پاسخ بسته ی UDP را بگیرد که این تلاش، بزودی سیستم هدف را خسته کرده و از پاری درخواهد آورد.

3 - DNS Flood : شبیه به حمله  UDP Flood است، این حمله شامل عواملی اس که با استفاده از مقادیر جمعی از بسته های UDP برای از بین بردن منابع سرور تلاش میکنند. با این حال، در اینجا، هدف این است که سرورهای DNS و مکانیزم های حافظه پنهان خود را با هدف جلوگیری از تغییر مسیر درخواست های قانونی ورودی به منابع منطقه DNS، فلج نمایند.

4 - HTTP Flood : این حمله به منظور هدف قرار دادن یک برنامه یا وب سرور با استفاده از تعداد زیادی از درخواست HTTP GET یا POST، ظاهرا قانونی انجام میگردد. این درخواستها اغلب برای جلوگیری از تشخیص مجرمان با به دست آوردن اطلاعات مفید در مورد هدف قبل از حمله ساخته شده است.

5 - IP Fragmentation Attack : این حمله اکسپلویت نمودن MTU جهت سرزیر نمودن سرور هدف است. این حمله را می توان با ارسال بسته های ICMP و UDP جعلی که بیش از MTU شبکه است به مقصد ارسال نمود تا منابع سرور به سرعت مصرف شوند تا سیستم نتواند بسته ها را بازسازی نماید و از دسترس خاج شود. مجرمان همچنین می توانند یک حمله Teardrop یا گاز اشک آور را اجرا کنند که با جلوگیری از بازسازی بسته های TCP / IP کار می کند. این حمله نیز شامل ارسال بسته‌های آی پی است که با هم تداخل دارند یا بسته‌هایی با سایز بزرگ یا بسته‌هایی با ترتیب نامناسب می‌باشند. این حمله می‌تواند سیستم عامل‌های مختلف را به علت اشکالی که در کد بازسازی مجدد بخش‌های TCP/IP دارند crash کند.

6 - NTP Amplification: دستگاه های متصل به اینترنت از پروتکل های زمان شبکه (NTP) برای هماهنگ سازی ساعت استفاده می کنند. همانند حمله متمرکز DNS، در اینجا نیز حمله کنددگان از تعداد زیادی از سرورهای NTP استفاده میکنند تا توسط انها بسته های UDP زیادی را به سمت مقصد ارسال کنند تا مقصد از دسرترس خارج شود.

7 - Ping Flood - یکی دیگر از حملات سیلاب معمولی که از اکو شدن تعداد زیادی از درخواست های ICMP استفاده میکند. برای هر پینگ فرستاده شده، باید یک پاسخ متقاطع که حاوی همان تعداد بسته است  بازگشت شود، لذا سیستم هدف تلاش می کند تا به درخواست های بی شماری پاسخ دهد، در نهایت پهنای باند شبکه خود را مسدود می کند. همچنین ping of death که نوع دیگری از این حمله است نیز، به ارسال‌هایی از بسته‌های ping با فرمت و شکل نامناسب یه سمت قربانی گفته می‌شودکه باعث crash شدن سیستم عامل می گردد.

8 - SNMP Reflection: پروتکل SNMP به مدیران سیستم کمک میکند که اطلاعات مهمی را از سرورهای داخل شبکه کسب نموده و یا دستورات ساده ای را برای این سرورها ارسال نمایند.در این نوع حمله با استفاده از یک آدرس IP جعلی قربانی، یک حمله کننده می تواند بسیاری از درخواست های SNMP را بصورت انفجاری به دستگاه ها بفرستدد، که در ازای هر درخواست، انتظار می رود که به طور صریح پاسخ داده شود. تعداد دستگاه های متصل شده می تواند به صورت دستی به سمت بالا حرکت کند، به طوری که سرعت و کیفیت شبکه در نهایت توسط مقدار پاسخ های SNMP کاهش می یابد.

9 - SYN Flood : هر جلسه TCP نیاز به برقراری ارتباط سه جانبه بین دو سیستم دارد. با استفاده از یک سیل SYN، مهاجم به سرعت به هدف با درخواست های اتصال بسیاری می پردازد که نمی تواند آن را حفظ کند و منجر به اشباع شبکه شود. در واقع زمانی اتفاق می افتد که میزبانی از بسته‌های سیل آسای TCP/SYN استفاده کند که آدرس فرستنده آن‌ها جعلی است. هر کدام از این بسته‌ها همانند یک درخواست اتصال بوده و باعث می‌شود سرور درگیر اتصالات متعدد نیمه باز بماند و با فرستادن یا برگرداندن بسته‌های TCP/SYN ACK، منتظر بسته‌های پاسخ از آدرس فرستنده بماند ولی چون آدرس فرستنده جعلی است هیچ پاسخی برگردانده نمی‌شود. این اتصالات نیمه باز تعداد اتصالات در دسترس سرور را اشباع می‌کنند و آن را از پاسخگویی به درخواست‌های مجاز تا پایان حمله بازمیددارد. بنابر این منابع سرور به اتصال‌های های نیمه باز اختصاص خواهد یافت. وامکان پاسخ گویی به درخواستها از سرور منع می‌شود.

10 - Smurf Attack : این نوع حمله به پیکربندی نامناسب تجهیزات شبکه که اجازه ارسال بسته‌ها به همه کامپیوترهای میزبان روی یک شبکه خاص با آدرس‌های همه پخشی را می دهد، متکی است. در چنین حمله‌ای مهاجمان با یک آی پی جعلی یک تقاضای ping به یک یا چندین سرور همه پخشی ارسال کرده و آدرس آی پی ماشین هدف (قربانی) را ست می‌کنند .سرور همه پخشی این تقاضا را برای تمام شبکه ارسال می‌کند. تمام ماشین‌های شبکه پاسخ را به سرور، ارسال همه پخشی می‌کنند. سرور همه پخشی پاسخ‌های دریافتی را به ماشین هدف هدایت یا ارسال می‌کند. بدین صورت زمانی که ماشین حمله‌کننده تقاضائی را به چندین سرور روی شبکه‌های متفاوت همه پخشی می نماید، مجموعه پاسخ‌های تمامی کامپیوترهای شبکه‌های گوناگون به ماشین هدف ارسال می گردند و آن را از کار می اندازند. بنابراین پهنای باند شبکه به سرعت استفاده می‌شود و از انتقال بسته‌های مجاز به مقصدشان جلوگیری به عمل خواهد آمد.برای مبارزه با حمله منع سرویس در اینترنت سرویس‌هایی مانند Smurf Amplifier Registry توانایی تشخیص پیکربندی‌های نامناسب شبکه وانجام عملیات مناسب مثل فیلترینگ را می دهند.

11 - Ping of Death - PoD : یک شیوه است که هکرها بسته های غیر عادی یا بادکنکی (به وسیله pinging) ارسال میکنند تا حافظه سرور سرریز کرده و کرش کند. سرریز حافظه زمانی اتفاق می افتد که در تلاش برای بازسازی بسته های داده بزرگ باشد. مهاجمان میتوانند از هر نوعی از IP datagram ، از جمله ICMP echo، UDP، IDX و TCP برای حمله استفاده کنند.

12 - Fork Bomb: این حمله DoS از داخل یک سرور هدف آغاز می شود. در یک محیط مبتنی بر یونیکس، یک Fork،یک کپی از والد خود را برای فرزند فراخوانی میکند. هر دو فرآیند می توانند وظایف همزمان را در هسته سیستم مستقل از یکدیگر انجام دهند. با استفاده از یک بمب انفجاری (a.k.a, “rabbit virus”)، یک حمله کننده مرتکب بسیاری از Forkهای بازگشتی می شود که سیستم هدف به طور داخلی غرق شده و از دسترس خارج میگردد.

حملات DDoS بسیار قدرتمند هستند و می توانند باعث آسیب مالی و مالی زیادی به سازمان ها شوند. با این حال، در حالی که اهداف و انگیزه های مهاجمین DDoS همیشگی باقی مانده است، روش هایی که استفاده می کنند، به طور مداوم در حال پیشرفت هستند. لذا مدریان شبکه های حتما باید اطلاعات کامل و جامعی از این نوع از حملات داشته باشند تا بتوانند پیشگیری مناسبی را داشته باشند. همچنین بد نیست که به سایت http://map.norsecorp.com مراجعه کرده و بصروت انلاین حملات DDoS انجام شده در دنیا را مشاهده نمایید.

Takian.ir Norse DDoS Monitoring

حملات جدید DDoS اکنون با Monero Ransom آغاز شده است

به گزارش سایت هکرید، پس از یک وقفه کوتاه حملات اختلال سرویس توزیع شده (DDoS) با رویکری تازه بازگشته است. از طرفی این حملات بسیار گسترده تر و ویرانگر شده اند.Takian.ir ddos attacks now launched with monero ransom notes

شرکت امنیت سایبری «Akamai» اعلام کرد که حملات اختلال سرویس توزیع شده با ویرانگری و ساز و کاری جدید، در زمینه تعداد قربانی رکورد شکنی کرده است. در روش جدید حملات اختلال سرویس از باج افزار ها استفاده میشود، به عبارتی دیگر از یک باج افزار برای دریافت باج و همزمان برای ایجاد اختلال در سیستم استفاده می شود.

 حملات اختلال سرویس از هفته گذشته افزایش چشمگیری پیدا کرده است و مشکلاتی را برای وب سایت ها ایجاد کرده اند که با اضافه کردن بار مضاعف دسترسی به سایت ها را مختل می کنند.

در حملات اختلال سرویس توضیع شده، در حدود 1.35 ترابایت در ثانیه از اطلاعات کاربران را رمز نگاری کرده و از کاربر درخواست باج می کند.

هدف از انجام این حملات فقط ایجاد اختلال نیست بلکه هکر ها به دنبال باج خواهی نیز هستند. طبق تحقیقات صورت گرفته تعدادی بالغ بر 50 هزار سیستم در معرض هک شدن هستند.

در کل حملات اختلال سرویس توزیع شده براساس ایجاد ترافیک دروغین موجبات مشکلاتی را برای مدیران سیستم رغم میزنند و از طرفی دیگر با بهره گیری از باج افزار ها به دنبال سرقت ارزهای دیجیتالی نیز هستند. همانطور که اشاره شد 50 هزار سیستم از ایمنی لازم برخوردار نبوده و نیازمند ایمن سازی هستند.

Takian.ir ddos attacks now launched with monero ransom notes code

حملات جدید توسط بات نت میرای

محققان شرکت امنیت سایبری «Fortinet»، اظهار کردند که نسخه جدید میرای، ابزاری بسیار قدرتمند است و از سال 2016 تا امروز در سراسر اروپا و آمریکا فعال بوده است.
Takian.ir Miray botnet

بات نت میرای به روش های گوناگون اقدام به نفوذ و تخریب سیستم ها می کند. به طور مثال نسخه اولیه میرای حملات اختلال سرویس توزیع شده (DDoS) را کلید زد، در ویرایش های بعدی این بات نت شاهد استخراج ارزهای دیجیتالی با سوءاستفاده از دستگاه های سخت افزاری کاربران بودیم. البته از آنجایی که عمده فعالیت های این بات نت در حوزه اینترنت اشیا بوده است، بیشتر در این جهت رشد داشته و شناخته شده است.

بسیاری از تجهیزات اینترنت اشیا به دلیل گستردگی فعالیت بات نت میرای مورد تهاجمات گسترده قرار گرفته اند.

در یک مورد از این حملات، با یافتن آسیب پذیری در دوربین های مدار بسته، مدل های « Netgear R7000 و R64000» امکان نفوذ و سرقت اطلاعات آنها فراهم شد. این آسیب پذیری با شناسه «CVE-2016-6277» معرفی شده است.

طبق بررسی های صورت گرفته توسط کارشناسان امنیت سایبری برخی بات نت ها ادامه دهنده راه میرای بوده و عملکردشان تفاوت زیادی با میرای ندارد.

به عنوان مثال بات نت «Sora botnet» یا «Owari bot» نمونه ای از این موارد هستند که عموما با رویکرد سرقت اطلاعات وارد سیستم کاربران می شود.

با توجه به گسترش اینترنت اشیا و گستردگی این حوزه هکرها اقبال بیشتری به هک و نفوذ در این زمینه نشان می دهند. همین موضوع سبب شده تا بات نت ها و بدافزار های موجود در این حوزه گسترش بیشتری پیدا کنند.

کسپرسکی: کاهش حملات DDoS در پی افزایش بهای رمزارزها

 

بنا بر گزارش های منتشر شده از کسپرسکی، میزان حملات DDoS در برای سه ماهه آخر سال میلادی در قیاس با سه ماهه سوم همان سال، کاهشی 31 درصدی را از خود نشان میدهد.

takian.ir DDoS attacks declined

کارشناسان بر این باور هستند که این کاهش حجم حملات، ارتباط مستقیمی با افزایش قیمت رمزارزها دارند که به طبع توجه مجرمان سایبری به استخراج رمزارزها معطوف شده است. بررسی های کسپرسکی نشان میدهد که هرچند تعداد استخراج کنندگان رمزارزها در سال 2019 و آغاز 2020 کاهش یافته است، از ماه آگوست سال 2020 استفاده از اینگونه بدافزارها اندکی افزایش داشته است.

با توجه به افزایش سودآوری استخراج رمزارزها، به نظر میرسد که مجرمان سایبری برای فعال کردن سرورهای C&C، برخی از ربات های اینترنتی را که معمولا در حملات DDoS مورد استفاده قرار میگرفتند، بازطراحی کرده اند تا از اهداف و تجهیزات آلوده خود با استفاده از توان محاسباتی آنها، جهت استخراج رمزارزها بهره برداری نمایند.

ماه گذشته شرکت آویرا گزارشی را منتشر کرد که گواه از کشف افزایش 53 درصدی در نرم افزارهای استخراج رمزارز در سه ماهه پایانی سال 2020 و در پی افزایش قیمت بیت کوین میداد.

با وجود این کاهش در سه ماهه چهارم سال 2020، میزان حملات DDoS در قیاس با مدت مشابه سال 2019، افزایش 10 درصدی را نشان میدهد.

این میزان افزایش مداوم حملات DDoS در سال 2020، بخاطر بهره برداری مجرمان سایبری از افزایش نفرات و مقدار زمانی است که وقت خود را بصورت آنلاین از زمان اعمال محدودیت ها بخاطر بیماری کووید-19 و فاصله گذاری اجتماعی، صرف مینمایند. کسپرسکی خاطرنشان کرد که موسسات آموزشی متعددی در سه ماه پایانی سال 2020، شامل چندین مدرسه در ماساچوست و دانشگاه لورنتیان کانادا، هدف این دست حملات قرار گرفته اند.

الکسی کیسلف، مدیر توسعه تجارت در تیم محافظتی DDoS کسپرسکی اظهار داشته است که: "بازار حملات DDoS تحت تاثیر دو روند متضاد و مخالف هم قرار گرفته است. از یک سو مردم هنوز هم به کارهای با ثبات وابسته به منابع آنلاین اعتماد بالایی دارند که میتواند حملات DDoS را به گزینه ای معمول برای مجرمان سایبری تبدیل کند. هرچند با با افزایش قیمت رمزارزها، برای این مجرمین بسیار بصرفه خواهد بود که که اهداف خود و دستگاه های کاربران بی اطلاع را به ابزار استخراج رمزارز تبدیل نمایند. درنتیجه میبینیم که تعداد کل حملات DDoS در سه ماهه چهارم سال 2020 تقریبا ثابت مانده است؛ و میتوان پیشبینی کرد که این روند در سال 2021 نیز ادامه یابد."

گونه جدید شل اسکریپت برای اخاذی اینترنتی و فعال سازی Mirai

 

محققان امنیت سایبری روز دوشنبه موج جدیدی از حملات مداوم را با بهره گیری از چندین آسیب پذیری برای استقرار نوع جدیدی از Mirai در دستگاه های متصل به اینترنت فاش کردند.

تیم اطلاعات امنیتی واحد 42 شرکت پالو آلتو در توضیحی نوشت: "پس از نفوذ و سوءاستفاده موفقیت آمیز، مهاجمان سعی می کنند یک shell script مخرب که شامل اعمال آلوده کننده دیگری مانند بارگیری و اجرای انواع Mirai و اخاذی است را بارگیری کنند".

مواردی که در پی این آسیب پذیری مورد سوءاستفاه قرار میگیرند، عبارتند از:

  • VisualDoor - آسیب پذیری اعمال دستور از راه دور SonicWall SSL-VPN که اوایل ژانویه سال جاری مشخص گردید.
  • CVE-2020-25506 - آسیب پذیری اجرای کد راه دور (RCE) فایروال D-Link DNS-320.
  • CVE-2021-27561 و CVE-2021-27562 - دو آسیب پذیری در مدیریت دستگاه Yealink که به مهاجم غیرمجاز اجازه می دهد دستورات دلخواه خود را بر روی سرور با امتیازات دسترسی root اجرا کند.
  • CVE-2021-22502 - نقص RCE در گزارشگر Micro Focus Operation Bridge (OBR)، در نسخه 10.40.
  • CVE-2019-19356 - روتر بی سیم Netis WF2419 که از RCE استفاده می کند.
  • CVE-2020-26919 - آسیب پذیری Netgear ProSAFE Plus RCE

سونیک وال در بیانیه ای اعلام کرد: "بهره برداری VisualDoor از آسیب پذیری سیستم عامل SSL-VPN نسخه قدیمی است که در سال 2015 با نسخه های 7.5.1.4-43sv و 8.0.0.4-25sv بر روی محصولات قدیمی بروزرسانی شده است." همچنین در ادامه افزوده است که "این سوءاستفاده از هر دستگاه سونیک وال که به درستی بروزرسانی شده باشد، قابل اجرا نیست."

همچنین سه آسیب پذیری اعمال دستور که قبلاً نامشخص بوده است، در این مجموعه گنجانده شده است که در برابر اهداف ناشناخته اعمال گردیده که به گفته محققان یکی از آنها همراه با یک بات نت جداگانه با نام MooBot مشاهده شده است.

گفته می شود این حملات به مدت یک ماه از 16 فوریه تا 13 مارس کشف شده است.

صرف نظر از نقصی که از آن برای دستیابی موفقیت آمیز بهره برده شده است، این زنجیره حمله شامل استفاده از ابزار wget برای بارگیری یک shell script از زیرساخت های بدافزار است که سپس برای استخراج باینری های Mirai استفاده می شود، یک بدافزار معروف که دستگاه های مبتنی اینترنت اشیا شبکه ای را تبدیل به بات های کنترل از راه دور کرده که می توانند به عنوان بخشی از بات نت در حملات شبکه با مقیاس گسترده استفاده شود.

علاوه بر دانلود Mirai، shell script های دیگری نیز مشاهده شده اند که در حال بازیابی موارد عملیاتی برای سهولت انجام حملات شدید برای نفوذ به دستگاه های آسیب پذیر با رمزهای عبور ضعیف هستند.

این محقق افزود: "حریم اینترنت اشیا به عنوان یک هدف به راحتی در دسترس مهاجمان باقی مانده و بهره برداری و سوءاستفاده از آن حجم زیاد از آسیب پذیری ها، بسیار آسان است و در برخی موارد می تواند عواقب فاجعه باری را به همراه داشته باشد".

 

بات نت جدیدZHtrap، با استفاده ازHoneypot قربانیان را به دام می اندازد

در یک طرح توسعه مرتبط، محققان شرکت امنیتی چینی نت لب 360، بات نت جدید مستقر در Mirai به نام ZHtrap را کشف کردند که در حالی که برخی از ویژگی ها را از یک بات نت  DDoS معروف به نام Matryosh گرفته است، از روش Honeypot برای یافتن و اضافه کردن قربانیان جدید استفاده می کند.

takian.ir ZHtrap botnet malware 1

 

در حالی که هانی پات ها به طور معمول اقدام به تقلید از هدف خود برای جرایم سایبری خود میکنند تا برای نفوذ به آنها جهت کسب اطلاعات بیشتر در مورد روش کار خود استفاده کنند، بات نت ZHtrap برای گسترش و تکثیر بیشتر خود، از یک روش مشابه استفاده کرده و از طریق یکپارچه سازی ماژول جمع آوری IP اسکن برای جمع آوری آدرس های IP که به عنوان اهداف استفاده می شوند، استفاده می کند.

این اطلاعات با زیر نظر گرفتن و بررسی 23 پورت تعیین شده و با شناسایی آدرس های IP متصل به این پورت ها و سپس با استفاده از آدرس های IP انباشته شده برای بررسی چهار آسیب پذیری برای نفوذ به مقادیر در حال بارگیری، به دست آمده است:

  • MVPower DVR Shell RCE تأیید نشده
  • Netgear DGN1000 Setup.cgi RCE غیرمجاز
  • دوربین مدار بسته DVR RCE که بر فروشنده های مختلف تأثیر می گذارد
  • اجرای دستور Realtek SDK miniigd SOAP (CVE-2014-8361)

محققان اعلام کردند: "انتشار ZHtrap از چهار آسیب پذیری N-day استفاده می کند و در حالی که از برخی ویژگی های backdoor بهره میبرد، عملکرد اصلی آن DDoS و اسکن کردن است". آنها افزودند: "Zhtrap یک هانی پات را بر روی دستگاه آلوده راه اندازی می کند و تصاویری را از دستگاه های قربانی می گیرد و اجرای دستورات جدید را بر مبنای آن تصاویر غیرفعال می کند و اینگونه به دستگاه تسلط پیدا مینماید".

takian.ir ZHtrap botnet malware 2

 

ZHtrap هنگامی که دستگاه ها را به انحصار خود گرفت، با استفاده از Tor برای ارتباط با یک سرور command-and-control برای بارگیری و اجرای مابقی اطلاعات، با بات نت Matryosh ارتباط می گیرد.

محققان با اشاره به اینکه این حملات از 28 فوریه 2021 آغاز شده است، میگویند که توانایی ZHtrap در تبدیل دستگاه های آلوده به هانی پات ، یک "تحول جالب" از بات نت ها برای تسهیل در امر یافتن اهداف و طعمه های بیشتر است.

بات نت های مبتنی بر Mirai جدیدترین مواردی هستند که در فضای حملات سایبری ظاهر شده اند و تا حدی با در دسترس بودن کد سورس Mirai از سال 2016 در اینترنت، زمینه را برای سایر مهاجمان جهت ایجاد انواع مختلف از این بات نت را فراهم کرده است.

در ماه مارس گذشته، محققان یک نوع Mirai به نام "Mukashi" را کشف کردند که مشخص شد دستگاه های ذخیره سازی متصل به شبکه Zyxel (NAS) را هدف قرار می دهد تا آنها را در اختیار یک بات نت قرار دهد. سپس در اکتبر سال 2020، تیم تحقیقاتی اینترنت اشیاء شرکت Avira نوع دیگری از بات نت Mirai به نام "Katana" را شناسایی کرد که از آسیب پذیری های اجرای کد از راه دور برای آلوده کردن روترهای D-Link DSL-7740C، دستگاه های DOCSIS 3.1 wireless gateway و سوئیچ های Dell PowerConnect 6224 سوءاستفاده می کرده است.