انتشار شده در تاریخ 1395/02/29 - 09:20

گزارش سه ماهه کسپرسکی از حملات اختلال سرویس توزیع شده

به گزارش واحد متخصصین سایبربان؛ حملات اختلال سرویس توزیع‌شده «DDOS»، به مجرمان اینترنتی اجازه می‌دهد به قدرت نمایی در فضای اینترنت بپردازند. از نقطه نظر فنی، روش تقویت و تکثیر حملات اختلال سرویس توزیع‌شده، چیز جدیدی به شمار نمی‌رود، اما در حال حاضر مجرمان رایانه‌ای در حال کشف راه‌های جدید، برای افزایش ظرفیت بات‌نت‌ها هستند. بر اساس گزارش‌های ارائه‌ شده، حجم حملات اختلال سرویس انجام‌شده در سال 2015، عددی بالغ بر 450-500 گیگ بر ثانیه بوده است.

حملات اختلال سرویس علیه ترامپ «Trump»، نامزد حزب جمهوری‌خواه انتخابات آمریکا

بررسی حملات انجام‌شده، روی وب‌گاه نامزد حزب جمهوری‌خواه ریاست‌جمهوری آمریکا، نشان می‌داد که این حمله با سطحی بالاتر از حملات سال 2015 صورت گرفته است. حجم حملات انجام‌ شده روی این وب‌گاه، 602 گیگ بر ثانیه بود که گروه هکری New World، مسئولیت این حمله را بر عهده گرفت.

استفاده از پروتکل DNSSEC
مجرمان سایبری با استفاده از پروتکل DNSSEC، حملات اختلال سرویس خود را، روی زیرساخت موردنظر انجام می‌دهند. مهاجمان از این پروتکل، برای به حداقل رساندن آسیب‌های سیستم DNS استفاده می‌کنند. در این میان، مهاجمان با بهره‌برداری از این قابلیت، شروع به تقویت حملات اختلال سرویس، در زیرساخت موردنظر خود می‌کنند.

اشتراک‌گذاری حملات به ورد پرس
وب‌گاه‌های طراحی‌شده توسط سیستم مدیریت محتوای ورد پرس «CMS»، برای اجرای حملات اختلال سرویس توسط مجرمان سایبری، هدف بسیار خوبی به شمار می‌روند. در این میان اگر مدیر وب‌گاه، در حین طراحی وب‌گاه مورد نظر توسط ورد پرس، تمام توابع را فعال کرده باشد، تمامی لینک‌هایی که به پست‌های ارسالی روی وب‌گاه مرتبط هستند، یک بازخورد (Feed back) به وب‌گاه مذکور ارسال می‌کنند. به عنوان مثال، ارسال درخواست XML-RPC به یک وب‌گاه اصلی، به همراه حجم زیادی از درخواست‌هایی که به وب‌گاه موردنظر ارسال می‌شوند، باعث ایجاد اختلال در سامانه شده و حمله اختلال سرویس توزیع‌شده در سیستم موردنظر را به وجود می‌آورد.

هک لینوکس مینت «Mint hacking»
در 21 فوریه 2016، کلمنت لفور«Clement Lefebvre»، مدیر ارشد لینوکس، گزارش داد که مهاجمان موفق به هک زیرساخت‌ها و وب‌گاه رسمی لینوکس شده‌اند. در این میان، مهاجمان یک فایل ISO از نرم‌افزار لینوکس مینت 17.3 را اصلاح‌کرده و در همین حین، مهاجم یک درب پشتی در نرم افزار قرار داده است که فرایند حمله اختلال سرویس، روی سیستم‌عامل لینوکس را انجام می‌دهد.

حمله به شرکت‌های امنیتی
مهاجمان، معمولاً شرکت‌هایی را که در زمینه امنیت اطلاعات یا خدمات ضد اختلال سرویس فعالیت می‌کنند، مورد تهاجم خود قرار می‌دهند. در این میان، باید به این نیز توجه داشت که حملات مذکور، توانایی ایجاد آسیب جدی روی سامانه‌های اطلاعاتی را ندارد؛ چراکه تمام این منابع اطلاعاتی با امنیت بالایی محافظت می‌شوند و دست مهاجمان از اجرای این حملات، روی سیستم‌های دارای این سطح از ایمنی، کوتاه است.
تحلیل رفتار مهاجمان نشان می‌دهد که این افراد، از وب‌گاههای شرکت‌های امنیتی و فناوری اطلاعات، برای آزمودن سامانه‌های خود استفاده می‌کنند. محققان بر این باورند که میزان حملات اختلال سرویس انجام‌شده در سه‌ماهه اول سال، بیشتر روی آدرس‌هایی با پسوند Http بوده و میزان حملات در این مدت، برابر با کل حملات صورت گرفته در سال 2015 است.
همچنین در این مدت، مهاجمان با استفاده از حملات اختلال سرویس، موفق به مختل کردن فعالیت وب‌گاه شرکت امنیت سایبری کسپرسکی شدند. دریکی از این حملات، وب‌گاه شرکت به مدت شش ساعت، دچار اختلال شد و کاربران در طول این ساعات، امکان دسترسی به وب‌گاه شرکت نداشتند.

آمار حملات اختلال سرویس به کمک بات نت
روش شناسایی
شرکت کسپرسکی، دارای تجربه‌ای گسترده در مبارزه با تهدیدات سایبری ازجمله کنترل حملات اختلال سرویس در هر سطحی از پیچیدگی است. کارشناسان امنیتی این شرکت، با استفاده از بات‌نت‌ها، قادر به کنترل فعالیت مهاجمان در استفاده از حملات اختلال سرویس هستند. در این بین، شرکت برای کنترل این‌گونه حملات یک سامانه هوشمند را طراحی کرده که پس از دریافت اولین درخواستی که از جانب هکرها ارسال می‌شود، نسبت به شناسایی و مقابله با آن و اقدام می‌کند.

خلاصه‌ای از حملات سه‌ماهه اول سال 2016
• 74 کشور در این مدت، مورد تهاجم حملات اختلال سرویس، قرار گرفته‌اند.
•   93.6% از اهداف، تنها در 10 کشور قرار دارند.
•   چین، آمریکا و کره جنوبی، از اولین اهداف این حملات به شمار می‌رود و در حال حاضر فرانسه و آلمان به جمع این ده کشوری واردشده‌اند که آماج بیشترین حملات قرار دارند.
•   بلندمدت‌ترین حمله‌ای که تابه‌حال صورت گرفته است، در سه ماه اول امسال بوده که به مدت 197 ساعت (8.2 روز) به طول انجامید.
•   SYN DdoS، TCP DdoS و HTTP DdoS بیشترین حملات اختلال سرویس را به خود اختصاص داده‌اند.
•   در این میان انگلستان و فرانسه به طرز محسوسی مورد هجوم این حملات قرار گرفتند.

پس از انتشار اسناد این حملات، نشان داده می‌شود که تعداد حملات قرارگرفته روی زیرساخت‌های کره جنوبی از 18.4 درصد به 20.4 درصد افزایش پیدا کرده است و این در حالی است که سهم آمریکا از این حملات، 2.2 کاهش پیدا کرده است.

با توجه به نمودار ارائه‌شده، به این نتیجه می‌رسیم که حملات انجام شده روی زیرساخت‌های کره جنوبی با افزایش 3.4 درصدی همراه بوده است.

تغییرات حملات سایبری بر اساس تعداد
بر اساس آماری که در 31 مارس ارائه شد، تعداد حملات اختلال سرویس در روز، 1272 است.

سرورهای کنترل فرماندهی و بات‌نت‌ها
در حال حاضر کره جنوبی، از نظر سرورهای کنترل و فرماندهی، سهم خود را از 59% در سه‌ماهه اول سال به 67.7%، نسبت به مدت مشابه سال گذشته افزایش داده است. در این‌ بین، چین رتبه دوم را با 9.5%، در اختیار دارد. این افزایش تعداد در کشورهای نام‌برده، بر اساس تعداد حملات انجام ‌شده در طول این دوره است.

محققان امنیتی این شرکت، پس از تحقیقات خود به این نتیجه رسیدند که 99.73% از حملات اختلال سرویس انجام‌شده در سه‌ماهه اول امسال، توسط ربات‌ها صورت گرفته است. این در حالی است که تنها 0.25% حملات صورت گرفته توسط مهاجمان انسانی به وقوع پیوسته است. ربات‌های مورداستفاده در این حملات معمولاً از نوع Sotdas، XOR و خانواده BillGates هستند.