مروری بر اخبار
در سه ماه سوم سال 2017 ، روند فصل های قبل در راستای توسعه بیشتر ادامه داده شده است. تعداد حملات DDos در چین، ایالات متحده، کره جنوبی و روسیه افزایش یافته است، که این ارقام راس در آماری که برای بات نت ها جمع آوری شده منعکس کردیم. افزایش زیادی از لحاظ تعداد (روزانه بیش از 450 تا) و از لحاظ قدرت (تا 15.8 میلیون بسته در هر ثانیه) از حملات در بخش “استرالیا” ثبت شد. بر این اساس هزینه محافظت در مقابل این حملات هم افزایش یافت؛ به عنوان مثال، در اوایل ماه سپتامبر، شش بازاریاب IB قرارداد 50 میلیون دلاری با دولت سنگاپور بستند (قرارداد سه ساله قبلی برای دولت نصف این مبلغ هزینه برداشت).
بزرگترین موفقیت در مبارزه با حملات DDoS، حذف وسیع (صدها هزار دستگاه در بیش از صد کشور) بات نت WireX بوده است. این بات نت به طور مخفیانه بر روی دستگاه های اندرویدی کار می کرد و از طریق برنامه های قانونی Google Play تکثیر می شد. اقدامات مشترک شرکت های گوگل، سامسونگ و چندین فروشنده بزرگ امنیت فناوری اطلاعات برای از بین بردن این بات نت ضروری بود. با توجه به وضعیت امنیتی ناخوشایند چیزها و برنامه های کوچک در اینترنت، چنین یافته هایی احتمالا به طور منظم رخ می دهد.
مجرمان سایبری هم از فکر و هم از قدرت بدنی خود استفاده می کنند. در اواسط ماه آگوست، Imperva چنین شرح داد که تکنولوژی Pulse Wave قادر به افزایش قدرت حمله DDoS به علت آسیب پذیری تکنولوژی های ترکیبی و ابری است. تحلیلگران Imperva بر این باورند که بیشتر حملات DDoS به زودی الگوی مشابهی را دنبال خواهند کرد: حملات ناگهانی کوتاه، اما قدرتمند ناگهانی “متناوب” که چند ساعت یا چند روز طول می کشد.
اهدافی که در دامنه علاقه مجرمان سایبری قرار می گیرد تقریبا یکسان است. در عرصه سیاست، افزایش تعداد حملات حتی موجب تغییر کیفی شده است: برخی معتقدند حملات DDoS شکلی قانونی از اعتراضات دموکراتیک هستند. با این حال، اثربخشی این روش هنوز هم قابل بحث است: دو تا از مهمترین اقدامات سیاسی در سه ماه سوم 2017 سوم (حمله به ارائه دهنده خدمات میزبانی وب DreamHost و یک سایت آزادی خواه) به جز تبلیغات بیشتر برای سایت های مورد حمله، هیچ دست آورد دیگری ندارد.
موارد ارسال ایمیل های تهدید آمیز حملات DDoS – و یا به جای آن، تلاش هایی که معمولا به خوبی اجرا نمی شوند، بیشتر شده است. در حالیکه در سه ماهه گذشته شرکت ها برای جلوگیری از خسارت ترجیح می دادند تا به مهاجمان خود پول پرداخت کنند، هم اکنون ارسال ایمیل های انبوه تهدید آمیز اغلب به عنوان موجی دیگر از اسپم در نظر گرفته می شوند.
به عنوان وسیله ای برای اعمال فشار، حملات DDoS هنوز هم در صنایعی که در آن زمان های از کارافتادگی و شکست های ارتباطی منجر به از دست دادن سود و اعتبار می شود ،بسیار مفید است. صنعت بازی برای مجرمان سایبری جذابتر شده است: سود آن صدها میلیارد دلار تخمین زده می شود، زیرا امنیت این بازی ها هنوز کامل نیست و دارای پلتفرم پیوندی آسیب پذیری هستند که می توان طریق ارتباط بین منابع و برنامه ها به آن ها حمله کرد.
در سه ماه سوم، سه حادثه برجسته شامل پلتفرم های بازی (به جز حمله DDoS به سرورهای Final Fantasy، که بر اساس Square Enix در ماه ژوئن آغاز شد و تا پایان ماه جولای ادامه داشت) اتفاق افتاد.
در ابتدا، در اواسط ماه آگوست، Blizzard Entertainment گزارش داد که سیل ترافیک ناخواسته باعث مشکلاتی برای بازیکنان Overwatch و World of Warcraft شده است.
سپس، در ابتدای ماه سپتامبر، سایت آمریکایی پوکر آنلاین Cardroom با مشکلاتی مواجه شد. این حمله (در ابتدا نه برای هدف قرار دادن منابع) از الگوی بدنام “اعمال زور، تقاضای باج ” استفاده کرد. مدیر سایت از پرداخت مالیات اجتناب کرد، اما بعدا مجبور شد لیگ قهرمانی پوکر را که قبلا در حال انجام بود، لغو کند یا دقیق تر، به تاخیر بیاندازد.
در پایان این سه ماه، در 30 سپتامبر، سایت ملی لاتاری بریتانیا به طور جدی تحت تاثیر قرار گرفت: به طوریکه به مدت 90 دقیقه بازیکنان قادر به قرار دادن سهام خود در اینترنت از طریق سایت یا از طریق برنامه های کاربردی نبودند، این اتفاق باعث خسارت جدی شد.
ظاهرا حملات دائمی DDoS به صنایع سرگرمی تبدیل به یک عادت جدید شده است: شرکت های بزرگ یا باید به طور جدی رویکرد خود را به امنیت بازنگری کنند و یا وفاداری به مشتری را به خطر بیاندازند. برخی از این شرکت ها شروع به حذف بردارهای احتمالی خود کرده اند. به عنوان مثال، Netflix (یکی دیگر از پلتفرم های سرگرمی که می تواند مشتریانش را به علت از دست دادن ارتباط از دست بدهد) یک آسیب پذیری جدی در API خود پیدا کرده و دو ابزار برای مقابله با برنامه های آلوده تولید کرده است.
احتمالا کنجکاوانه ترین حمله در این سه ماهه نیز به صنعت سرگرمی و بازی مرتبط بوده است: مجرمان سایبری یک کازینو آمریکایی را از طریق یک Fish Tank هوشمند هک کردند. این حمله هیچ ارتباطی با حملات DDoS نداشت، اما جالب توجه است که مجرمان توانستند به سیستم اصلی متصل شوند و 100 گیگابایت اطلاعات محرمانه را از سازمان سرقت كنند، هرچند Fish Tank روی VPN خودش نصب شده بود. به احتمال زیاد، در آینده نزدیک، وقتی صحبت از دامنه و خلاقیت حملات در مقیاس بزرگ به میان می آید، بخش سرگرمی و بازی با بخش مالی همراه خواهد بود.
روند سه ماهه
در این روند، یک بردار نسبتا جدید از حملات مربوط به ارزهای رمزگذاری شده مشهور کنونی وجود دارد. روز به روز حملات بیشتر و بیشتری پلتفرم های ICO را هدف قرار می دهند – ICO نوعی crowdfunding است.( کراد فاندینگ یعنی شریک شدن تعداد زیادی از افراد بطوریکه هر کدام سهم بسیار کمی پرداخت می کنند) از آنجا که فن آوری blockchain اجازه می دهد که تراکنش ها بسیار راحت انجام شود، ICO ها به سرعت در حال محبوب شدن هستند. اما خطراتی نیز در این زمینه وجود دارد: با رشد سریع و افزایش گردش مالی ارزهای رمزگذاری شده، چنین پلتفرم هایی در معرض حملات سایبری ، از جمله حملات DDoS قرار دارند. در دسترس بودن این پلت فرم در سطح وسیع، امنیت و اعتبار تراکنش ها را نضمین می کند، اما در نقطه مقابل حملات DDoS شکستن چرخه کارکرد سرویس را هدف قرار داده است و بدین ترتیب آن را بی اعتبار می کند و یا بدتر از آن، یک فضای نامفوم و گیج کننده برای انواع پیشرفته تر حملات فراهم می کند.
یکی دیگر از جزئیات این سه ماهه، افزایش سهم حملات ترکیبی چند بخشی (SYN + TCP Connect + HTTP-flood + UDP flood) است. همانطور که قبلا پیش بینی شده بود، این نوع حملات به تدریج به محبوبیت رسیدند. هیچ چیز اساسا جدیدی در این حملات وجود ندارد، اما در حقیقیت آنها می تواند کاملا موثر باشند.
آمار حملات botnet-assisted DDos
آزمایشگاه Kaspersky دارای تجربه گسترده ای در مبارزه با تهدیدات اینترنتی، از جمله حملات DDoS از انواع پیچیدگی های مختلف و محدوده های متنوع است. کارشناسان این شرکت با استفاده از سیستم هوش DDoS، اقدامات bot net ها را ردیابی کرده اند.
به عنوان بخشی از راهکار پیشگیری از DDos شرکت Kaspersky، سیستم هوش DDoS در نظر گرفته است که دستوراتی را که از سرور های دستور و کنترل به ربات ها ارسال می شود تحلیل و تفسیر کند تا نیازی به آلوده کردن دستگاه های کاربر یا اجرای واقعی دستورات مجرمان سایبری نداشته باشد.
این گزارش حاوی آمار هوش DDoS برای سه ماه سوم سال 2017 است.
در محتوای این گزارش چنین فرض می شود که هر حادثه یک حمله جداگانه (تک) DDoS تلقی می شود به شرطی که فاصله بین دوره های فعالیت botnet از 24 ساعت فراتر رود. به عنوان مثال اگر یک منبع اینترنتی توسط یک botnet یکسان با فاصله 24 ساعت یا بیشتر دوبر مورد حمله قرار گیرد، این حادثه دو حمله مجزا به حساب می آید. همچنین درخواست های bot ای که از botnet های مختلف نشات می گیرد اما به سمت یک منبع خاص هدایت می گردد به عنوان حملات جداگانه شمرده می شود.
موقعیت های جغرافیایی قربانیان حمله DDoS و سرورهای C & C که برای معمولا دستورات را ارسال می کردند، توسط آدرس های IP مربوطه مشخص شدند. تعداد اهداف منحصر به فرد حملات DDoS در این گزارش بر اساس تعداد آدرس IP های یکتا در آمار سه ماهه شمارش شده است.
لازم به ذکر است که آمار هوشDDoS فقط محدود به آن بات نت هایی است که توسط آزمایشگاه Kaspersky شناسایی و تحلیل شده اند. همچنین مهم است که بدانیم بات نت ها تنها یکی از ابزارهای انجام حملات DDoS هستند؛ بنابراین، داده های ارائه شده در این گزارش همه حمله های DDoS ای که در طول یک دوره رخ داده است را نشان نمی دهد.
خلاصه اتفاقات سه ماه سوم
- در مقایسه با سه ماه دوم سال 2017 که منابعی از 86 کشور دنیا مورد حمله قرار گرفته بودند در سه ماه سوم سال 2017 منابعی از 98 کشور مورد حمله قرار گرفته اند.
- همانند سه ماه دوم، حدود نیمی از حملات (51.56٪) در چین صورت گرفته است.
- چین، آمریکا و کره جنوبی با توجه به تعداد حملات و تعداد اهداف، همچنان در صدر باقی مانده اند. با توجه به تعداد سرورهای C & C گزارش شده، همین سه کشور باز هم سه تای اول را تشکیل می دهند، هرچند این بار کره جنوبی جایگاه اول را به خود اختصاص داده است.
- طولانی ترین حملهDDoS مدت 215 ساعت بود که در مقایسه با سه ماه دوم، کاهش 28٪ ای داشته است. در عین حال، درصد حملاتی که کمتر از 50 ساعت طول می کشد، عملا بدون تغییر باقی مانده است(99.6 درصد در سه ماه سوم در مقابل 99.7 درصد در سه ماه دوم)
- مثل سه ماهه قبل، کاهش قابل ملاحظه ای در سهم حملاتی که بر روی TCP (از 2/11٪ تا 28.2٪) و ICPM (از 7.1٪ تا 9.42٪) انجام می گیرد، مشاهده می کنیم. این باعث افزایش درصد سیل های SYN و حملات HTTP شده است.
- نسبت بات نت های لینوکس همچنان رشد داشته است. چنین بات نت هایی عامل 69.62٪ از حملات در سه ماه سوم در مقایسه با 51.23٪ در سه ماه دوم هستند.
آمار حملات از لحاظ جغرافیایی
حملات DDoS در سه ماه سوم در 98 کشور ثبت شده است، جایی که بیشترین تعداد حمله صورت گرفته است چین است (63.30٪ از تمام حملات)، که 5.3 درصد بالاتر از سه ماه قبل است. سهم کره جنوبی از 14.17٪ به 8.70٪ رسیده است و آن را به مقام سوم منتقل کرده است. آمریکا با وجود اینکه درصد حملات صورت گرفته در این کشور از 14.03 درصد به 12.98 درصد کاهش داشته است، دومین رتبه را می گیرد.
10 کشور بالای لیست 93.56٪ درصد از حملات را شامل می شوند. آلمان با داشتن (1.24٪) از حملات دوباره به لیست 10 تای اول اضافه شد و جایگزین ایتالیا گردید. هنگ کنگ با کاهش 1.07 درصدی با سهم(1.31٪) از حملات از رتبه چهارم به هفتم افت کرده است، روسیه با داشتن (1.58٪) 0.35 درصد افزایش داشته و بار دیگر در جایگاه چهارم قرار می گیرد. انگلیس پنجمین رتبه را در حالی دارد که سهم هلند از 0.84 درصد به 1.31 درصد افزایش داشته است و در رتبه ششم قرار گرفته است.
توزیع حملات DDoS در کشورها،در سه ماه سوم سال 2017 در قیاس با سه ماه دوم
91.27٪ از حملات 10 کشور اول سه ماه سوم 2017 را هدف گرفته اند.
توزیع اهداف حملات منحصر به فرد DDoS بین کشورها، در سه ماه سوم در مقایسه با سه ماه دوم 2017
در این لیست هم چین در رتبه اول قرار گرفته است:در مقایسه سه ماه دوم، با افزایش4.14 درصدی، 51.56٪ از تمام اهداف در قلمرو این کشور قرار دارد. در همین زمان ایالات متحده و کره جنوبی به ترتیب در رتبه دوم و سوم باقی ماندند، اگر چه نسبت اهداف در سطح هر دو کشور به میزان قابل توجهی کاهش داشته است: از 18.63٪ به 17.33٪ در ایالات متحده و از 16.35٪ به 11.11٪ در کره جنوبی .
سهم اهداف قرارگرفته در قلمرو روسیه از 3.33٪ در سه ماه دوم به 2.24٪ در سه ماهه سوم افزایش یافته است که نشان می دهد روسیه از رتبه هفتم تا چهارم بالا آمده است. استرالیا و ایتالیا لیست 10 کشور اول را ترک کرده و جای خود را به فرانسه (1.43٪) و آلمان (1.65٪) دادند.
آمار تعداد حملات DDOS از لحاظ زمانی
تعداد حملات در هر روز از 296 در (24 ژانویه) تا 1508 حمله در (26 سپتامبر) در سه ماه سوم 2017 متغیر بوده است. بیشترین تعداد در 27 جولای (1399تا) و 24 سپتامبر (1497تا) ثبت شده است. رکود نسبی در 28 ژانویه (300 تا)،در 31 می (240 تا) و در 25 سپتامبر ( 297 تا) ثبت شده است.
آمار تعداد حملات DDOS از لحاظ زمانی در سه ماه سوم 2017
* از آنجا که ممکن است حملات DDoS به طور مداوم برای چند روز ادامه پیدا کند، یک حمله ممکن است چندین بار در جدول زمانی شمارش شود، یعنی یک بار در هر روز.
در سه ماهه سوم سال 2017، روز دوشنبه، ساکت ترین روز برای حملات DDoS بوده است، (10.39٪ در مقایسه با 11.78٪ در سه ماهه قبل)، در حالی که روز پنج شنبه شلوغ ترین روز (17.54٪) بوده است. روز شنبه، رتبه اول در سه ماهه گذشته، این بار دومین (15.59٪) رتبه را دارد و پس از آن یکشنبه (14.89٪) و سه شنبه (14.79٪) قرار دارد.
توزیع حملات DDoS برمبنای روز های هفته، در سه ماه سوم 2017 نسبت به سه ماه دوم
انواع و مدت حملات DDoS
همانند سه ماهه قبل، تعداد حملات SYN DDoS همچنان رشد داشته است و از 53.26٪ به 60.43٪ در سه ماه سوم 2017 افزایش یافته است. در عین حال، درصد حملات TCP DDoS از 18.18٪ به 11.19٪ کاهش یافته، که تاثیری در رتبه دوم این نوع حمله در رتبه بندی نداشته است. هر دو حمله UDP و ICMP بسیار نادر بودند: سهم آنها از 11.91٪ به 10.15٪ و از 9.38٪ به 7.08٪ افت کرده است. در ضمن، محبوبیت حملات HTTP از 7.27 درصد به 11.6 درصد افزایش یافته است که آنها را در سومین رتبه قرار داده است.
توزیع حملات DDoS از لحاظ نوع حمله در سه ماه سوم سال 2017
تعداد حملات درازمدت از سه ماهه گذشته تقریبا بدون تغییر بوده است: 0.02٪ از حملات بیش از 150 ساعت طول کشیده است (نسبت به 0.01٪). طولانی ترین حمله به مدت 215 ساعت و 62 ساعت کوتاهتر از رکورد سه ماه دوم بوده است. در عین حال، سهم حملات که 4 ساعت یا کمتر ادامه داشته است، از 85.93 درصد در سه ماه دوم به 7/76 درصد در سه ماه سوم کاهش یافته است. بنابراین، درصد حملات 5 تا 49 و 50 تا 99 ساعت افزایش یافته است که به ترتیب 23.55٪ و 0.3٪ از همه حملات را تشکیل می دهند.
توزیع حملات DDoS بر مبنای طول مدت (ساعت)، در سه ماه سوم 2017 نسبت به سه ماه دوم
سرورهای C & C و انواع بات نت ها
سه کشور برتر با بیشترین تعداد سرورهای C & C شناسایی شده از سه ماهه دوم همچنان بدون تغییر باقی مانده: کره جنوبی، که سهم آن از 49.11 درصد به 50.16 درصد افزایش داشته، در صدر باقی مانده است. ایالات متحده در رتبه دوم قرار گرفت (16.94٪ در مقابل 16.07٪ در سه ماه دوم). چین در رتبه سوم باقی ماند، اگر چه سهم آن از 7.74٪ به 5.86٪ نزول کرده است. سه کشور برتر در مجموع 72.96 درصد از سرورهای C & C را در بر می گیرند، که تنها کمی بیشتر از سه ماهه قبل است.
ایتالیا (1.63 درصد) و انگلستان (0.98 درصد) جزء 10 کشور برتر هستند که در سه ماه سوم جای آلمان و کانادا را گرفتند. در مقایسه با سه ماهه دوم 2017، افزایش قابل توجهی در سهم فرانسه ( صعود به 2.93٪ از 1.79٪) و روسیه (صعود به 3.58٪ از 2.68٪) وجود داشته است.
توزیع سرورهای C & C بات نت ها بین کشورها در سه ماهه سوم 2017
در سه ماه سوم همچنان، بات نت های مبتنی بر لینوکس نسبت به ویندوز موقعیت بهتری را کسب کردند: سهم بات نت های مبتنی بر لینوکس 69.62٪ تشخیص داده شده است، در حالی که درصد بات نت های مبتنی بر ویندوز به 30.38٪ کاهش یافته است.
ارتباط بین حملات مبتنی بر ویندوز و لینوکس در سه ماه سوم 2017
نتیجه گیری
ما در سه ماهه سوم سال 2017 افزایش قابل توجهی را هم در تعداد حملات DDoS و هم اهداف آنها ثبت کرده ایم. مثل همیشه، کشور چین شامل بیشترین تعداد منابع و اهداف حمله است. به دنبال آن ایالات متحده و کره جنوبی قرار دارند. محبوبیت سیستم عامل ویندوز به عنوان مبنایی برای ایجاد یک بات نت به میزان قابل ملاحظه ای کاهش یافته است، در حالی که سهم بات نت های مبتنی بر لینوکس نسبتا افزایش یافته است.
در میان روندهای این سه ماهه حمله به پلتفرم های ICO افزایش یافته است: در سه ماه سوم، ارزهای رمزگذاری شده به طور گسترده هم در اینترنت و هم در رسانه های جمعی مورد بحث قرار گرفتند و مجرمان سایبری محبوبیت آن را نادیده نگرفتند. با این حال یکی دیگر از جزئیات این سه ماه، رشد نسبت حملات چند بخشی است که شامل ترکیبات مختلف SYN، TCP Connect، سیل HTTP و تکنیک های UDP است.
برگرفته از [securelist.com]
