about-3 back-contact back-deep eitaa کانال روبیکاخبرگزاری سایبربان
مطالب پربازدید
پیشنهاد
1404/02/21 - 07:21- تروریسم سایبری

پیشنهاد رئیس سابق اداره ملی سایبری رژیم صهیونیستی درمورد ایران

رئیس سابق اداره سایبری ملی رژیم صهیونیستی گفت که این رژیم باید یک پیمان دفاع سایبری علیه ایران تشکیل دهد.

جایزه
1404/03/25 - 08:09- تروریسم سایبری

جایزه 10 میلیون دلاری برای گروه هکری نجات دهنده سامانه‌های پدافندی

ایالات متحده اخیراً با اعلام بیانیه‌ای از تعیین جایزه 10 میلیون دلاری برای مرموزترین دشمن سایبری خود به نام مِستر سول خبر داد.

ابر آروان با تحلیل حملات گسترده‌‌ی روزهای گذشته به زیرساخت‌های خود یک نوع حمله‌ ی کاملا توزیع‌ شده‌ی جدید را تشخیص داد.

سرویس تلگرام در ۱۰ اردیبهشت ۱۳۹۷ به دستور یک بازپرس به‌شکل کامل مسدود شد. یکی از امکانات تلگرام استفاده از الگوریتم رمزنگاری غیرمتقارنی به نام MTProto در راستای رمزنگاری محتوا بود. بعدها تلگرام از سرویسی با نام MTProxy استفاده کرد تا بتواند به کمک این پروتکل با فیلترینگ ایران مقابله کند.

نفوذ بسیار بالای تلگرام در ایران باعث شد کاربران بیشماری علاوه بر استفاده از فیلترشکن‌ها به فکر استفاده از MTProxyهای رایگان بیفتند. افرادی که بی‌اطلاع از همه‌جا امروز تبدیل به بات‌نت‌های یک شبکه‌ی بزرگ خرابکاری اینترنتی شده‌اند.

ابر آروان با تحلیل حملات گسترده‌‌ی روزهای گذشته به زیرساخت‌های خود یک نوع حمله‌ی کاملن توزیع‌شده‌ی جدید را تشخیص داد. این حملات تفاوت‌های اساسی با حملات پیشین داشتند:

این حملات مستقیما به آدرس IP و پورت ۸۰ سرورهای لبه‌ی ابر آروان ارسال شده بودند و اثری از دامنه‌ا‎ی خاص در درخواست‌های آن‌ها یافت نمی‌شد.

ترافیک دریافتی کاملا تصادفی به نظر می‌رسید. حتا آنتروپی محاسبه شده روی اطلاعات درخواست‌های دریافتی تقریبن معادل ۴ بود.

ترافیک دریافتی در لایه‌ی ۷ بود. اما از هیچ یک از پروتکل‌های معروف این لایه مانند HTTP، HTTPS، FTP و… پیروی نمی‌کرد.

حمله کاملا داخلی بود و IP های حمله‌کننده، در داخل کشور قرار داشتند.

حجم بالای این حملات می‌توانست بسیاری از وب‌سایت‌ها و سامانه‌های آنلاین را دچار اختلال کند، اما برای ساختار توزیع شده‎ و سامانه‌های جلوگیری از حملات DDoS ابر آروان مقابله با این حملات کار سختی به نظر نمی‌رسید، اما تحلیل این حملات به آسانی همیشه نبود.

نه از داده‌ها‎ی ارسالی می‌توانستیم سرنخی به دست آوریم، نه نشانی‌های درخواست‌های ارسالی الگوی مشترکی داشتند که بتوانیم از آن‌ها استفاده کنیم.

کشف منشا

برای یافتن منشا حملات، فعالیت‌های زیادی انجام شد که بسیاری از آن‌ها شکست خوردند. اما در ساعات انتهایی روز شنبه، به حدسی هوشمندانه دست یافتیم؛ شاید ترافیک برای سرویس MTProxy نرم‎افزار تلگرام باشد!

چند نکته در ترافیک نمونه‌گیری شده وجود داشت که این حدس را تقویت می‎کرد:

ترافیک سرویس MTProxy رمزنگاری شده است و ترافیک رمز شده معمولا رفتاری مانند ترافیک تصادفی دارد. همچنین در پروتکل MTProto این درهم‌ریختگی تصادفی، تشدید نیز می‌شود.

متاسفانه با فیلتر شدن تلگرام استفاده از سرویس MTProxy برای دور زدن فیلترینگ، روی این سرویس بسیار شایع شده است که با توزیع‌شدگی شدید این حمله تطابق داشت.

ارسال و استفاده از سرویس‌های رایگان MTProxy در کانال‌های تلگرام امری شایع و ساده است. به‌راحتی می‎توان با تغییر نشانی IP یکی از این سرورها به نشانی ابرآروان، ترافیک مشابه ایجاد کرد.

به دلیل ساختار استفاده از سرویس MTProxy، چند نشانی به عنوان سرور در اختیار نرم‎افزار قرار می‌گیرد که اگر هرکدام از این سرورها کار نکند، تلگرام از سرور بعدی استفاده می‎کند. در نتیجه کاربر متوجه تغییر نشانی IP سرور MTProxy نمی‌شود.

با شبیه‌سازی سناریوی احتمالی، حدس سرویس MTProxy تقویت شد. ترافیک ایجاد شده به ترافیک دریافتی شباهت زیادی داشت. موضوعی که با بررسی ترافیک نمونه‌گیری از درستی آن اطمینان پیدا کردیم.

سخن پایانی

در این یادداشت به رخدادی اشاره کردیم که به احتمال زیاد حمله‌ای است که در نوع خود تاکنون گزارش نشده است. این مشکل از فیلتر شدن تلگرام شروع می‌شود. نبود نگاه چند جانبه نسبت به فناوری‌های روز باعث حذف یک پیام‌رسان با میلیون‌ها مخاطب شد، موضوعی که در مقاطع مختلف با تهدیدات متفاوتی کشور را مواجه کرده است.

رواج بیش‌ از اندازه نسخه‌های غیر اصل از تلگرام که متهم به سو استفاده از دستگاه‌های شخصی کاربران ایرانی بودند یکی از این موارد، و اکنون نیز استفاده از MTProxy رایگان، و ترویج آن تهدید بزرگ دیگری را در برابر کاربران ایرانی قرار داده است.

در حال حاضر ابر آروان هشدار جدی می‌دهد که اگر تصمیمات سختی اتخاذ نشود، مدیران کانال‌های تلگرامی که اقدام به ترویج MTProxyهای رایگان می‌کنند، دو قدرت بسیار مهم در اختیار خواهند داشت:

سو استفاده از کاربران بیشمار ایرانی برای DDoS کردن وب‌سایت‌های یا سامانه‌های حیاتی کشور

گمراه کردن دستگاه‌های حاکم بر فضای سایبری و قربانی کردن سرورهای بیگناه با ارسال ترافیک MTProto به این سرورها

تازه ترین ها
هشدار
1404/04/23 - 22:00- آمریکا

هشدار کارشناسان درمورد حملات سایبری علیه برندهای بزرگ

کارشناسان امنیت سایبری نسبت به حملات فزاینده سایبری علیه برندهای بزرگ مانند کارتیه هشدار دادند.

کنترل‌های
1404/04/23 - 20:59- آسیا

کنترل‌های تجاری بر تراشه‌های هوش مصنوعی توسط مالزی

مالزی کنترل‌های تجاری بر تراشه‌های هوش مصنوعی با منشأ آمریکایی را اعمال می‌کند.

چت‌بات‌های
1404/04/23 - 20:29- هوش مصنوعي

چت‌بات‌های هوش مصنوعی، جایگزین دوست واقعی شدند

کودکان به‌جای دوستان واقعی به چت‌بات‌های هوش مصنوعی روی می‌آورند.