اشتراک مقالات

نگاهی به تعدادی از تهدیدات امنیتی، تحلیل و راه مقابله با آنها – قسمت چهارم (پایانی)

345 مشاهده 2 14 تیر, 1400

انواع تهدیدات امنیتی

در قسمت اول مقاله در مورد انواع تهدیدات امنیتی صحبت کردیم و دو حمله Account Takeover و Advanced Persistent Threat و راه مقابله با آن ها و منشا آنها را را توضیح دادیم در قسمت دوم و قسمت سوم به تعدادی دیگر از انواع حملات نظیرAccess Token برنامه كاربردی، كلاهبرداری با صدور فاكتورهای جعلی، جعل فاكتورهای تجاری، اطلاعات تحت خطر، Credential Stuffing  صحبت کردیم. در این قسمت  به تعداد دیگری از حملات خواهیم پرداخت.

لایسنس اسپلانک

حمله شماره 11: حمله‌ی DoS

در سال 2000 یک هکر شانزده‌ساله به نام Mafiaboy یکی از معروف‌ترین حملات Denial-of-Service یا DoS را اجرا کرد که بسیاری از سایت‌های مهم را آفلاین نمود، از جمله CNN، eBay، Amazon و Yahoo. براساس گزارشات، Mafiaboy وارد چند ده شبکه شد و بدافزاری را نصب کرد که برای غرق کردن اهداف در ترافیک طراحی شده بودند. از آنجایی که بسیاری از سایت‌ها آمادگی چنین حمله‌ای را نداشتند، این حمله حدود یک هفته زمان برد و سازمان‌هایی که هدف قرار گرفته بودند به سختی تلاش کردند که راهی را برای آنلاین شدن پیدا کنند.  بیست سال بعد، حملات DoS که بسیاری از آن‌ها DDoS هستند که همچنان درحال افزایش‌ هستند، از متداول‌ترین حملاتی می‌باشند که سازمان‌ها با آن مواجه می‌شوند و حدود یک‌سوم از کسب‌و‌کار‌ها را هدف قرار می‌دهند.

نحوه حمله: مهاجمین سایبری در یک حمله‌ی DoS سعی می‌کنند یک ماشین یا شبکه را برای کاربرانش از دسترس خارج کنند. حملات DoS را می‌توان یا از طریق غرق کردن شبکه در ترافیک یا از طریق ارسال اطلاعاتی که موجب کُند شدن سیستم یا قطعی کامل آن می‌شود اجرا کرد. حملات DoS مثل حملات DDoS معمولاً روی سازمان‌های رده بالا یا سازمان‌هایی که دارای وب‌سایت‌های محبوب و عمومی هستند تمرکز دارند، مثلاً بانک‌ها، تجارت الکترونیک، رسانه یا سازمان‌های دولتی. حمله‌ی DoS جلوی کاربران واقعی را از دسترسی به خدماتی که می‌خواهند به آن‌ها دسترسی داشته باشند می‌گیرد و  به دلیل هزینه‌های پاکسازی، از دست رفتن اعتبار، از دست رفتن درآمد و فرسایش مشتری آسیب شدیدی به قربانی می‌زند.

مقابله با تهدیدات و تامین امنیت شبکه در کسب‌و‌کارهای کوچک با سیسکو

ویدیوهای بیشتر درباره تهدیدات امنیتی

حملات DoS به دو شیوه رخ می‌دهد: از طریق غرق کردن یک شبکه‌ی هدفمند در ترافیک یا قطع کردن آن. در حملات غرقی، مجرمان سایبری رایانه‌های قربانی را با ترافیکی بیش از توان‌شان بمب‌باران می‌کنند و باعث می‌شوند که کند شده به‌طورکلی خاموش شوند. حملات غرق شدن در ترافیک شامل حملات ICMP و SYN هستند. دیگر آسیب‌پذیری‌های Exploit حملات DoS که موجب قطع شدن سیستم می‌شوند. در این حملات، عاملان مخرب آسیب‌پذیری‌های سیستم را با بدافزارهایی Exploit می‌کنند که موجب قطعی یا اختلال‌های شدید در سیستم می‌گردد.

منشا حمله: حملات DoS می‌توانند از هر جایی در دنیا آغاز شوند، مهاجمین می‌توانند به راحتی محل جغرافیایی خود را مخفی کنند تا با آرامش خاطر از اینکه شناسایی نخواهند شد، رایانه‌های قربانی را غرق در ترافیک کنند، بدافزاری را اجرا نمایند یا اقدامات مخرب دیگری را پیاده نمایند.

حمله شماره 11: حملات DDoS

تا کنون بزرگ‌ترین حمله‌ی Distributed Denial-of-Service یا همان DDoS که البته شاید مهم‌ترین حمله نباشد در سال 2018 برعلیه GitHub که یک سیستم مدیریت کد آنلاین محبوب است، انجام شد. با ترافیک زیادی به GitHub حمله شد که در اوج خود حدود 1.3 ترابایت در ثانیه بود و در هر ثانیه 126.9 میلیون Packet ارسال می‌شد. این حمله نه‌تنها بسیار عظیم بوده، بلکه رکوردهایی را نیز جابه‌جا کرد. در این حمله، Botmasterها سرورهای Memcached را با درخواست‌های جعلی Spoofed یا غرق کردند، این کار به آن‌ها اجازه داد حمله‌ی خود را پنجاه‌هزار برابر تشدید نمایند.

شرکت APK نخستین شرکت دانش محور در اجرای پروژه های انفورماتیکی کشور    تماس با کارشناسان 021-88539044-5

بیشتر بخوانید: جلوگیری از حملات DDoS در سیستم‌های سازمانی

حمله‌ی DDoS تلاشی توسط هکرها یا جاسوسان سایبری برای قطع کردن وب‌سایت‌ها، کند کردن و از دسترس خارج کردن سرورهای هدف و خدمات آنلاین از طریق غرق کردن آن در ترافیک از سوی چندین منبع است. همانطور که از نام حملات DDoS برمی‌آید، این حملات تلاش‌هایی گسترده و Brute-Force برای آشوب ایجاد کردن و تخریب می‌باشند. معمولاً این حملات برعلیه سایت‌های محبوب و سطح بالا مثل سایت‌های خبری و دولتی و بانک‌ها انجام می‌شود تا اجازه ندهند سازمان‌های هدف اطلاعات مهمی را منتشر کنند یا آن‌ها را از لحاظ مالی تضعیف کنند.

نحوه‌ی حمله: قصد عامل مخرب پشت حملات DDoS این است که در سازمان قربانیان آشوب به پا کنند، در دارایی‌های وب خرابکاری کنند، به اعتبار برند صدمه بزنند و با جلوگیری از اینکه کاربران به یک وب‌سایت یا منبع شبکه دسترسی پیدا کنند ضرر‌های مالی ایجاد نمایند.  DDoS از صدها یا هزاران رایانه‌ی Bot آلوده استفاده می‌کند که در سراسر دنیا قرار دارند.  این ارتش‌های رایانه‌ها آلوده برای حداکثر کارآمدی، همگی با هم حمله را اجرا می‌کنند. هکرها یا گروه‌های هکرهایی که این رایانه‌های آلوده را کنترل می‌کنند، تبدیل به Botmasterهایی می‌شوند که سیستم‌های آسیب‌پذیر را به بدافزار، معمولاً ویروس‌های Trojan آلوده می‌نمایند.  وقتی دستگاه‌های کافی آلوده شدند، Botmaster به آن‌ها دستور حمله را می‌دهد و سرورها و شبکه‌های هدف با درخواست سرویس بمب‌باران می‌شوند و این امر موجب قطعی آن‌ها می‌گردد.

منشا حملات: همان‌طور که از نام DDoS برمی‌آید، این حملات توزیعی هستند یعنی جریانی ورودی ترافیک که شبکه‌ی قربانی را هدف قرار می‌دهد از چندین منبع ایجاد می‌گردد. درنتیجه هکرهای پشت این حملات می‌توانند از هرجایی در دنیا باشند. علاوه بر این، طبیعت توزیعی این حملات باعث می‌شود، رفع خطر آن‌ها تنها از طریق ایمن‌سازی یا بلاک کردن یک منبع واحد غیرممکن باشد.

حمله شماره 12: غیرفعال کردن ابزار امنیتی

گاهی اوقات هکرها برای دسترسی به سیستم‌های ما از همان ابزاری که قرار است از ما محافظت کنند استفاده می‌کنند. وقتی که Microsoft Windows در سال 1985 منتشر شد، تبدیل شد به سیستم عامل محبوب تمام جهان گشت، هرچند سهم این سیستم عامل در بازار در سال‌های اخیر کاهش یافته است، هنوز هم در مقایسه با رقیب خود یعنی Apple OSX با اختلاف زیادی صدرنشین است. استفاده‌ی گسترده از ویندوز و اینکه راحت‌تر قربانی حملاتی مثل بدافزارها و Botها می‌شود، موجب شده است بیشتر موردعلاقه‌ی هکرها باشد. همین امر یکی از دلایلی است که مایکروسافت با انتشار ویندوز Vista شروع کرد به نصب یک برنامه‌ی ضد نرم‌افزارهای جاسوسی و آنتی‌ویروس Native به نام  . Windows Defender متأسفانه مایکروسافت توجه نکرد که هکرها به همان چیزی حمله می‌کنند که قرار بود از کاربران ویندوز محافظت کند. Novter که با نام‌های Nodersok یا Divergent هم شناخته می‌شود، یک حمله‌ی Trojan بود که در سال 2019 دیده شد و به ویژگی‌های محافظتی Real-Time متعلق به Windows Defender حمله کرد. وقتی این Trojan غیرفعال می‌شد، بدافزارهای اضافی را در سیستم دانلود می‌کرد.

بیشتر بخوانید: استفاده از Fysbis Trojan در لینوکس توسط گروه جاسوسی روسی

هکرها از تکنیک‌های مختلفی استفاده می‌کنند تا از شناسایی شدن اجتناب کرده و بدون مانع به کار خود ادامه دهند. این تکنیک‌ها معمولاً شامل تغییر پیکربندی ابزار امنیتی مثل فایروال‌ها است تا بتوان آن‌ها را دور زد یا آن‌ها را غیرفعال نمود تا به‌طورکلی از اجرای آن‌ها جلوگیری گردد.

نحوه‌ی حمله: در این حملات هکرها سعی می‌کنند مکانیزم‌های امنیتی مختلفی را غیرفعال کنند. ممکن است سعی کنند به فایل‌های Registry دسترسی پیدا کنند که بسیاری از پیکربندی‌های ویندوز و دیگر برنامه‌ها در آن قرار دارند. همچنین ممکن است هکرها سعی کنند سرویس‌های مربوط به امنیت را خاموش نمایند. در مواقع دیگر هکرها سعی می‌کنند حقه‌های دیگری را اجرا کنند تا از اجرا شدن برنامه‌های خاص دیگری جلوگیری نمایند؛ حقه‌هایی مثل اضافه کردن Certificateهایی که ابزار امنیتی با آن‌ها به یک Blacklist متصل هستند و جلوگیری از اجرا شدن آن ابزار امنیتی به طور کلی.

منشا حملات: حمله‌ای که براساس غیرفعال کردن ابزار امنیتی کار کند می‌تواند از هرجایی آغاز شود، زیرا این نوع از حملات می‌توانند فهرست بی‌پایانی از ابزار را هدف قرار دهند. مثلاً حمله‌ی Nodersok بیشتر به کاربران PC در ایالات متحده و انگلستان  حمله کرد.

حمله شماره12: حمله تقویت DNS

Spamhaus Project که یک سازمان غیرانتفاعی بین‌المللی است دارای یک شبکه‌ی هوش تهدیدات سراسری می‌باشد که برای شبکه‌های اینترنتی بزرگ فهرستی از اسپم‌کننده‌های ایمیل که شناسایی شده‌اند را فراهم می‌کند. امید این است که این فهرست به کاهش تعداد اسپم‌هایی که به اینباکس‌های کاربران می‌رسد کمک کند. در سال 2013 گروهی از اسپم‌کنندگان تصمیم گرفتند با یک حمله‌ی تقویت Domain Name System یا DNS به این فهرست پاسخ بدهند. این حمله بیش از 300 گیگابایت در ثانیه داده را به وب‌سایت Spamhaus فرستاده و آن را آفلاین کرد. این حمله آنقدر شدید بود که وب‌سایت شرکت ارائه‌ی اطلاعاتی که برای محافظت از Spamhaus در مقابل این نوع حمله استخدام شده بود را نیز از دسترس خارج کرد.

مدت زیادی است که حمله‌ی تقویت DNS وجود دارد. این حمله مشابه با حمله‌ی DNS Hijacking است، از این نظر که با پیکربندی مخرب Directory اینترنت از آن بهره می‌برد. اما نحوه‌ی رخ دادن حمله کمی متفاوت است.

بیشتر بخوانید: 11 دلیل اصلی برای ارجاع DNSها به سرویس Cisco Umbrella

نحوه‌ی حمله: حمله‌ی تقویت DNS، نوعی از حمله‌ی DDoS است که در آن مهاجم یک وب‌سایت را با درخواست‌های جستجوی DNS تقلبی بسیار زیادی غرق می‌کند تا پهنای باند شبکه تا جایی مصرف شود که سایت دچار خرابی گردد. وقتی که هک کردن DNS ترافیک را به سایت دیگری هدایت کند، یک حمله‌ی تقویت DNS از لود شدن سایت جلوگیری می‌کند. تقویت Word بیشتر تفاوت بین این دو حمله را نمایان می‌کند. در این حمله هکرها به‌گونه‌ای درخواست DNS را ایجاد می‌کنند که نیازمند پاسخ‌های گسترده باشد. مثلاً ممکن است یک هکر بیش از یک نام دامین را درخواست دهد. همچنین ممکن است مهاجم کل دامین را بخواهد که به نام «ANY Record» شناخته می‌شود، این کار دامین را همراه با Subdomain، سرورهای ایمیل، سرورهای Backup، نام‌های مستعار (Aliasها) و غیره درخواست می‌کند. اکنون تمام این درخواست‌های ANY یکجا هجوم می‌آورند. ترافیک تقویت‌شده برای آفلاین کردن سایت کافی است.مبدأ حملات: مشابه با حمله‌ی DNS Hijacking، ابتدایی بودن این حمله به این معنا است که می‌تواند از هر جایی در دنیا شروع شود؛ و هم می‌تواند هم توسط هکرهای دولتی انجا

مقاله های مرتبط:

حمله PetitPotam چیست؟ معرفی و بررسی آن به عنوان نوع جدیدی از حملات NTLM relay
نگاهی به تعدادی از تهدیدات امنیتی، تحلیل و راه مقابله با آنها - قسمت اول
نگاهی به تعدادی از تهدیدات امنیتی، تحلیل و راه مقابله با آنها – قسمت دوم
نگاهی به تعدادی از تهدیدات امنیتی، تحلیل و راه مقابله با آنها – قسمت سوم
چگونه با استفاده از یک روش علمی تهدیدات سایبری را شناسایی کنیم؟
برچسب ها : راه های مقابله با تهدیدات امنیتیتهدیدات امنیتی سال 2020آموزش تمقابله با تهدیدات امنیتیهوش مصنوعی Fortinet برای مقابله با تهدیدات امنیتیتهدیدات امنیتی

مطلب مفید بود؟

 
بیشتر بخوانید