يجد المهاجمون طرقًا جديدة لتقديم DDoSes بتطور ينذر بالخطر

أفاد باحثون من شبكة توصيل المحتوى Cloudflare يوم الأربعاء أن سباق التسلح المطول بين المجرمين الذين يشنون هجمات رفض الخدمة الموزعة والمدافعين الذين يحاولون إيقافها مستمر ، حيث يتبنى السابقون أساليب جديدة “مثيرة للقلق” لجعل هجماتهم عبر الإنترنت أكثر قوة وتدميرًا.

من خلال شبكة عالمية تمتد لأكثر من 300 مدينة في أكثر من 100 دولة حول العالم ، تتمتع Cloudflare برؤية في هذه الأنواع من الهجمات التي تشاركها عدد قليل فقط من الشركات الأخرى. قالت الشركة إنها تقدم أكثر من 63 مليون طلب شبكة في الثانية وأكثر من 2 تريليون عملية بحث للنطاق يوميًا خلال أوقات الذروة. من بين الخدمات التي تقدمها Cloudflare تخفيف الهجمات ، والتي يشار إليها عادةً باختصار DDoS.

تصعيد ينذر بالخطر

كتب الباحثان في Cloudflare Omer Yoachimik و Jorge Pacheco يوم الأربعاء في تقرير تهديد يلخص النقاط البارزة خلال الربع الثاني من هذا العام: “في الأشهر الأخيرة ، كان هناك تصعيد ينذر بالخطر في تعقيد هجمات DDoS”. وحتى أكبر الهجمات وأكثرها تعقيدًا التي رأيناها قد تستمر لبضع دقائق أو حتى ثوانٍ – وهو ما لا يمنح الإنسان الوقت الكافي للرد.

تعمل DDoSes عن طريق ضرب خادم ويب أو أي خاصية أخرى عبر الإنترنت بحركة مرور أكثر مما تستطيع بنيتها التحتية التعامل معها. الهدف هو التسبب في انحراف الخدمة ونتيجة لذلك رفض الخدمة للمستخدمين الشرعيين الذين يحاولون الوصول إلى الممتلكات. يشبه DDoSing مجموعة كبيرة من المراهقين الذين يتصلون برقم هاتف متجر بيتزا مرة واحدة. يستهلك تدفق المكالمات غير المرغوب فيها جميع خطوط الهاتف المتاحة ويستنفد الموظفين المتاحين للرد. الأشخاص الذين يحاولون وضع أوامر شرعية لا يستطيعون الوصول إليها.

تقليديا ، لم تكن DDoSes متطورة بشكل خاص. في كثير من النواحي ، لا يختلفون كثيرًا عن إنسان نياندرتال الذي يمارس هراوة عملاقة ضد الأعداء. عموما سيفوز رجل الكهف صاحب أكبر ناد. في الآونة الأخيرة ، بدأ هذا يتغير. نظرًا لأن Cloudflare و Microsoft وغيرها من الشركات الكبيرة تضع تدابير جديدة للحد من آثار هجمات DDoS ، فإن الجهات الفاعلة في مجال التهديد ، بعضها متحالف مع الحكومة الروسية ، يبتكرون طرقًا جديدة لمواجهة تلك الدفاعات.

تحاول الأساليب الأحدث القيام بأمرين: (1) إخفاء الخبث في حركة المرور بحيث لا يحظرها المدافعون و (2) تقديم فيضانات مرورية أكبر من أي وقت مضى يمكن أن تطغى على الأهداف حتى عندما يكون لديهم تخفيفات DDoS في المكان.

تشمل هذه الطرق:

هجمات HTTP DDoS. تستخدم هذه الهجمات بروتوكول نقل النص الفانيلي العادي لإغراق مواقع الويب وبوابات API المستندة إلى HTTP بطلبات كافية لاستنفاد موارد الحوسبة الخاصة بهم. تعمل خدمات تخفيف DDoS بشكل تقليدي على حظر مثل هذه الهجمات عن طريق تمييز طلبات المهاجمين عن الطلبات الشرعية. الآن ، يقاوم المهاجمون باستخدام أساليب تجعل من الصعب التمييز بين حركة المرور الخبيثة والحميدة. كما أوضح الباحثون:

لقد لاحظنا ارتفاعًا ينذر بالخطر في هجمات HTTP DDoS شديدة العشوائية والمعقدة على مدار الأشهر القليلة الماضية. يبدو كما لو أن الجهات الفاعلة في التهديد وراء هذه الهجمات قد صممت الهجمات عن عمد لمحاولة التغلب على أنظمة التخفيف من خلال محاكاة سلوك المتصفح بدقة شديدة ، في بعض الحالات ، من خلال تقديم درجة عالية من التوزيع العشوائي على خصائص مختلفة مثل وكلاء المستخدم وبصمات أصابع JA3 على سبيل المثال لا الحصر. يتم توفير مثال على مثل هذا الهجوم أدناه. يمثل كل لون مختلف ميزة عشوائية مختلفة.

علاوة على ذلك ، في العديد من هذه الهجمات ، يبدو أن الجهات الفاعلة في التهديد تحاول الحفاظ على معدلات هجومها منخفضة نسبيًا في الثانية لمحاولة تجنب الاكتشاف والاختباء بين حركة المرور المشروعة.

تم ربط هذا المستوى من التعقيد سابقًا بالجهات الفاعلة في مجال التهديد على مستوى الدولة والتي ترعاها الدولة ، ويبدو أن هذه القدرات الآن تحت تصرف مجرمي الإنترنت. لقد استهدفت عملياتهم بالفعل الشركات البارزة مثل مزود VoIP الكبير ، وشركة أشباه الموصلات الرائدة ، ومزود رئيسي لبطاقات الائتمان والدفع على سبيل المثال لا الحصر.

استغلال الخوادم التي تشغل برمجيات غير مصححة: هناك طريقة أخرى آخذة في الارتفاع تتمثل في استغلال الخوادم التي تشغل برمجيات غير مصححة لأنظمة تعاون Mitel MiCollab و MiVoice Business Express ، والتي تعمل كبوابة لنقل اتصالات هاتف PBX إلى الإنترنت والعكس بالعكس. تنبع الثغرة الأمنية التي يتم تعقبها على أنها CVE-2022-26143 من منفذ UDP غير مصدق يعرضه البرنامج غير المصحح للإنترنت العام. من خلال إغراق نظام ضعيف بالطلبات التي يبدو أنها تأتي من الضحية ، يقوم النظام بدوره بضرب الضحية بحمولة يمكن أن تكون أكبر بأربعة مليارات مرة. تعمل طريقة التضخيم هذه بإصدار ما يسمى بأمر تصحيح الأخطاء “startblast” ، والذي يحاكي سلسلة من الاستدعاءات لأنظمة الاختبار.

كتب باحثو Cloudflare: “نتيجة لكل مكالمة اختبار ، يتم إرسال حزمتي UDP إلى جهة الإصدار ، مما يتيح للمهاجم توجيه حركة المرور هذه إلى أي عنوان IP ورقم منفذ لتضخيم هجوم DDoS”. “على الرغم من الثغرة الأمنية ، يتم الكشف عن بضعة آلاف فقط من هذه الأجهزة ، مما يحد من النطاق المحتمل للهجوم ، ويجب أن تعمل الهجمات بشكل متسلسل ، مما يعني أن كل جهاز يمكنه شن هجوم واحد فقط في كل مرة.”

غسيل DNS أttacks. كانت هذه ثالث تقنية DDoS رائجة في الربع الأخير. باعتباره المورد الذي يترجم أسماء النطاقات إلى عناوين IP ، فإن نظام اسم المجال أمر بالغ الأهمية لنقل البيانات من مكان إلى آخر. من خلال إغراق البنية التحتية لنظام أسماء النطاقات للهدف بمزيد من طلبات البحث أكثر من الموارد اللازمة للتعامل معها ، تمكن المهاجمون منذ فترة طويلة من جعل الخدمات المستهدفة غير متاحة.

يمكن أن يكون لهذا النوع من الهجوم عواقب وخيمة على الإنترنت بالكامل ، كما تعلم العالم في عام 2016 ، عندما استنفدت شبكة صغيرة نسبيًا من أجهزة التوجيه المصابة والأجهزة الأخرى موارد مزود DNS Dyn. نتيجة لذلك ، توقف Twitter و GitHub وشبكة PlayStation ومئات الخصائص الأخرى التي تعتمد على Dyn.

الآن بعد أن أصبح المدافعون أفضل في تصفية طلبات DNS الضارة ، بدأ المهاجمون في الاستفادة من هجمات غسل DNS. أوضح باحثو Cloudflare:

في هجوم غسل نظام أسماء النطاقات ، سيقوم ممثل التهديد بالاستعلام عن المجالات الفرعية للمجال الذي يديره خادم DNS للضحية. يتم اختيار البادئة التي تحدد النطاق الفرعي بشكل عشوائي ولا يتم استخدامها أبدًا أكثر من مرة أو مرتين في مثل هذا الهجوم. نظرًا لعنصر التوزيع العشوائي ، لن يكون لخوادم DNS التكرارية أبدًا استجابة مخزنة مؤقتًا وستحتاج إلى إعادة توجيه الاستعلام إلى خادم DNS المعتمد للضحية. يتم بعد ذلك قصف خادم DNS الموثوق بالعديد من الاستعلامات حتى لا يتمكن من تقديم استعلامات مشروعة أو حتى يتعطل معًا.

من وجهة نظر الحماية ، لا يمكن لمسؤولي DNS منع مصدر الهجوم لأن المصدر يتضمن خوادم DNS متكررة ذات سمعة طيبة مثل Google 8.8.8.8 و Cloudflare 1.1.1.1. لا يمكن للمسؤولين أيضًا حظر جميع الاستعلامات إلى المجال المهاجم لأنه مجال صالح يريدون الحفاظ على الوصول إلى الاستعلامات المشروعة.

تجعل العوامل المذكورة أعلاه من الصعب للغاية التمييز بين الاستعلامات المشروعة والاستعلامات الخبيثة. كانت مؤسسة مالية آسيوية كبيرة ومزود DNS في أمريكا الشمالية من بين الضحايا الجدد لمثل هذه الهجمات. يتم توفير مثال على مثل هذا الهجوم أدناه.

شبكات الروبوتات الافتراضية. كانت التقنية الأخيرة التي حددها الباحثون على أنها آخذة في الازدياد هي استخدام شبكات الروبوتات الافتراضية. بدلاً من الاعتماد على أجهزة التوجيه المصابة وغيرها من الأجهزة المتصلة بالإنترنت ، يستخدم المهاجمون أجهزة افتراضية أو خوادم افتراضية خاصة. الموارد الحسابية وعرض النطاق الترددي لهذه الشبكات الروبوتية تقزم قدرة شبكات الروبوت الأكثر تقليدية على تقديم DDoS “فائقة الحجم”.

ذكر تقرير الأربعاء أن مثل هذه الروبوتات كانت مسؤولة عن تنفيذ هجوم بلغ 71 مليون طلب في وقت سابق من هذا العام ، مما يجعلها واحدة من أكبر برامج DDoS على الإطلاق.

الحقيقة

في الربع الماضي ، كانت مواقع الويب الخاصة بالعملات المشفرة أكبر هدف DDoS ، تليها مواقع الألعاب والمقامرة ، ومواقع التسويق والإعلان. كانت الولايات المتحدة أكبر مصدر لـ DDoSes ، تليها الصين وألمانيا. نظرًا لأحجام السوق الأكبر لهذه البلدان ، يترتب على ذلك أنها قد تمثل المزيد من DDoSes أيضًا. قال الباحثون إنه عند إزالة هذا التحيز ، كانت أكبر المصادر موزمبيق ومصر وفنلندا. ما يقرب من خُمس حركة مرور HTTP الصادرة من عناوين IP في موزمبيق كانت جزءًا من هجمات DDoS.