تحلیل ابرآروان از منشا حملات گسترده DDoS نشان میدهد
فیلتر تلگرام کاربران را به باتنتهای شبکه بزرگ خرابکاری اینترنتی تبدیل کرد
تاریخ انتشار
دوشنبه ۲۰ آبان ۱۳۹۸ ساعت ۱۳:۳۳
آیتیمن- بهمن ماه گذشته روزنامه فناوران از حملات گسترده DDoS علیه کسب و کارهای کشور با عنوان «زامبیهای ایرانی حمله کردند» گزارش داد که سبب شد حملات گستردهای نیز علیه سایت این روزنامه صورت بگیرد. در آن گزارش نوشتیم که «برخی کسب و کارهای ایرانی زیر شدیدترین حملات DDoS بودهاند با این تفاوت که بخش مهمی از حملات، برخلاف روال مرسوم نه از خارج کشور که از داخل کشور و از سمت دستگاههای صدها هزار و حتی میلیونها ایرانی انجام شده است». در آن گزارش به این نکته پرداخته شد که شواهد نشان میدهد این حملات از سمت کاربران ایرانی اتفاق افتاده و آنها به وسیله فیلترشکنها به بدافزار آلوده شدهاند. فیلترشکنهایی که استفاده از آنها پس از فیلتر تلگرام به شدت گسترش یافته است.
همچنین در مردادماه و در گفتوگوی اختصاصی با نایب رییس بخش تحقیقاتی تهدیدات شرکت کسپرسکی این موضوع بررسی شد که تلگرامهای تقلبی و آگهی افزارها، بزرگترین تهدید علیه کاربران موبایل در ایران هستند.
حالا با شدت گرفتن دوباره حملات، کارشناسان فنی ابرآروان موفق شدند منشا دقیق این حملات را شناسایی کنند که نشان میدهد حدسیات گذشته درست بوده است.
گزارش ابرآروان
سرویس تلگرام در ۱۰ اردیبهشت ۱۳۹۷ به دستور یک بازپرس بهشکل کامل مسدود شد. یکی از امکانات تلگرام استفاده از الگوریتم رمزنگاری غیرمتقارنی به نام MTProto در راستای رمزنگاری محتوا بود. بعدها تلگرام از سرویسی با نام MTProxy استفاده کرد تا بتواند به کمک این پروتکل با فیلترینگ ایران مقابله کند.
نفوذ بسیار بالای تلگرام در ایران باعث شد کاربران بیشماری علاوه بر استفاده از فیلترشکنها به فکر استفاده از MTProxyهای رایگان بیفتند. افرادی که بیاطلاع از همهجا امروز تبدیل به باتنتهای یک شبکهی بزرگ خرابکاری اینترنتی شدهاند.
ابر آروان با تحلیل حملات گسترده روزهای گذشته به زیرساختهای خود یک نوع حمله کاملا توزیعشده جدید را تشخیص داد. این حملات تفاوتهای اساسی با حملات پیشین داشتند:
1- این حملات مستقیما به آدرس IP و پورت ۸۰ سرورهای لبه ابر آروان ارسال شده بودند و اثری از دامنهای خاص در درخواستهای آنها یافت نمیشد.
2- ترافیک دریافتی کاملا تصادفی به نظر میرسید. حتی آنتروپی محاسبه شده روی اطلاعات درخواستهای دریافتی تقریبن معادل ۴ بود.
3- ترافیک دریافتی در لایه ۷ بود. اما از هیچ یک از پروتکلهای معروف این لایه مانند HTTP، HTTPS، FTP و… پیروی نمیکرد.
4- حمله کاملا داخلی بود و IPهای حملهکننده، در داخل کشور قرار داشتند.
حجم بالای این حملات میتوانست بسیاری از وبسایتها و سامانههای آنلاین را دچار اختلال کند، اما برای ساختار توزیع شده و سامانههای جلوگیری از حملات DDoS ابر آروان مقابله با این حملات کار سختی به نظر نمیرسید، اما تحلیل این حملات به آسانی همیشه نبود.
نه از دادههای ارسالی میتوانستیم سرنخی به دست آوریم، نه نشانیهای درخواستهای ارسالی الگوی مشترکی داشتند که بتوانیم از آنها استفاده کنیم.
شدت این حملات روز چهارشنبه به حدود ۱۰۰ هزار درخواست در ثانیه رسید. اگرچه این حملات در مقابل حملات گستردهای که در ابرآروان با آن مقابله میشود از شدت بسیار بالایی برخوردار نبودند اما همین حملات، امکان از دسترس خارج کردن بیشتر وبسایتهای کشور را دارند. تفاوت مهم دیگر، وجود منشا داخلی این حملات بود که باعث پررنگتر شدن آن میشود.
یافتن منشا حملات
برای یافتن منشا حملات، فعالیتهای زیادی انجام شد که بسیاری از آنها شکست خوردند. اما در ساعات انتهایی روز شنبه، به حدسی هوشمندانه دست یافتیم؛ شاید ترافیک برای سرویس MTProxy نرمافزار تلگرام باشد!
چند نکته در ترافیک نمونهگیری شده وجود داشت که این حدس را تقویت میکرد: ترافیک سرویس MTProxy رمزنگاری شده است و ترافیک رمز شده معمولن رفتاری مانند ترافیک تصادفی دارد. همچنین در پروتکل MTProto این درهمریختگی تصادفی، تشدید نیز میشود.
متاسفانه با فیلتر شدن تلگرام استفاده از سرویس MTProxy برای دور زدن فیلترینگ، روی این سرویس بسیار شایع شده است که با توزیعشدگی شدید این حمله تطابق داشت.
ارسال و استفاده از سرویسهای رایگان MTProxy در کانالهای تلگرام امری شایع و ساده است. بهراحتی میتوان با تغییر نشانی IP یکی از این سرورها به نشانی ابرآروان، ترافیک مشابه ایجاد کرد.
به دلیل ساختار استفاده از سرویس MTProxy، چند نشانی به عنوان سرور در اختیار نرمافزار قرار میگیرد که اگر هرکدام از این سرورها کار نکند، تلگرام از سرور بعدی استفاده میکند. در نتیجه کاربر متوجه تغییر نشانی IP سرور MTProxy نمیشود.
با شبیهسازی سناریوی احتمالی، حدس سرویس MTProxy تقویت شد. ترافیک ایجاد شده به ترافیک دریافتی شباهت زیادی داشت. موضوعی که با بررسی ترافیک نمونهگیری از درستی آن اطمینان پیدا کردیم.
تیم امنیت ابر آروان پس از مطمین شدن از جنس ترافیک، به کانالهای تلگرامی ارایه دهندهی سرویس MTProxy مراجعه کرد. برخی از سرورهای ارایه شده در این کانالها، به نشانی IP ابرآروان resolve میشدند.
حذف یک پیامرسان و تهدیدات جدی پس از آن
در این گزارش به رخدادی اشاره کردیم که به احتمال زیاد حملهای است که در نوع خود تاکنون گزارش نشده است. این مشکل از فیلتر شدن تلگرام شروع میشود. نبود نگاه چند جانبه نسبت به فناوریهای روز باعث حذف یک پیامرسان با میلیونها مخاطب شد، موضوعی که در مقاطع مختلف با تهدیدات متفاوتی کشور را مواجه کرده است.
رواج بیش از اندازه نسخههای غیر اصل از تلگرام که متهم به سو استفاده از دستگاههای شخصی کاربران ایرانی بودند یکی از این موارد، و اکنون نیز استفاده از MTProxy رایگان، و ترویج آن تهدید بزرگ دیگری را در برابر کاربران ایرانی قرار داده است.
در حال حاضر ابر آروان هشدار جدی میدهد که اگر تصمیمات سختی اتخاذ نشود، مدیران کانالهای تلگرامی که اقدام به ترویج MTProxyهای رایگان میکنند، دو قدرت بسیار مهم در اختیار خواهند داشت:
1- سو استفاده از کاربران بیشمار ایرانی برای DDoS کردن وبسایتهای یا سامانههای حیاتی کشور
2- گمراه کردن دستگاههای حاکم بر فضای سایبری و قربانی کردن سرورهای بیگناه با ارسال ترافیک MTProto به این سرورها.