حمله DDoS دیگر، این بار با دستگاه های اندرویدی!!!

نویسنده : دپارتمان فنی شرکت ارتباط امن - یکشنبه 2 مهر 1396 در ساعت 17:41:56

صدها هزار روتر خانگی، دوربین های مبتنی بر IP و دیگر دستگاه های اینترنت اشیاء، همه در سال گذشته آلوده شده اند و برای راه اندازی برخی از بزرگترین حملات انکار سرویس توزیع شده (DDoS) که تا کنون ثبت شده اند، استفاده شده اند. اکنون هکرها با استفاده از دستگاه های اندرویدی و با کمک برنامه های مخرب میزبانی شده در Google Play و سایر فروشگاه های برنامه های شخص ثالث این کار را انجام داده اند.

تحقیقات مشترک تیم های امنیتی Akamai، Cloudflare، Flashpoint، Google، RiskIQ و Team Cymru به کشف یک بات نت بزرگ با بیش از 100،000 دستگاه اندرویدی در بیش از 100 کشور منجر شده است. این تحقیقات در پاسخ به حملات بزرگ DDoS که طی چند هفته گذشته چندین ارائه دهنده محتوا و شبکه های تحویل محتوا را هدف قرار داده بود، آغاز شد.

هدف حملات DDoS این است که سرورها را با ترافیک دروغین مشغول کنند تا بتوانند از پهنای باند اینترنتی موجود خود یا منابع CPU و RAM برای اهداف خود استفاده کنند تا آنها دیگر نتوانند به درخواست کاربران مشروع پاسخ دهند. سرورها به طور معمول پیکربندی شده اند تا تعداد معینی اتصالات همزمان را براساس تعداد برآورد شده بازدیدکنندگان که انتظار می رود آنها را دریافت کنند، اداره کنند. متعادل کننده های بار، فایروال ها و دیگر تکنولوژی های ضد DDoS برای محدود کردن تاثیر منفی هر ترافیک ناگهانی استفاده می شوند، اما با قدرت کافی مهاجمان می توانند حتی شبکه های محافظت شده را نیز مورد هدف قرار دهند.

این بات نت مخصوص اندروید که WireX نامگذاری شده است، برای ارسال ده ها هزار درخواست HTTP مورد استفاده قرار گرفت که به نظر می رسید شبیه مواردی است که از مرورگرهای مشروع استفاده می کنند. محققان توانستند یک الگوی رشته ای در Agent کاربران که توسط مشتریان سرکش گزارش شده بود را ایجاد کنند و آنها را به برنامه های خرابکارانه اندروید بازگردانند. برخی از برنامه ها در فروشگاه های برنامه های شخص ثالث موجود بودند که از پیش بر روی دستگاه ها نصب شده بودند، اما حدود 300 مورد از آنها در Google Play میزبانی می شدند.

محققان در گزارش خود گفتند: “بسیاری از برنامه های شناسایی شده به دسته های پخش رسانه ها / ویدئو، آهنگ های زنگ یا ابزارها مانند مدیریت ذخیره سازی و فروشگاه های برنامه ها با ویژگی های پنهانی اضافی که به طور کامل برای کاربران نهایی که آلوده شده بودند به آسانی دیده نمی شد.”

بیشتر برنامه های سرکش درخواست مجوز ادمین دستگاه را در هنگام نصب می دانند، که به آنها اجازه می داد تا سرویس پسزمینه را راه اندازی کنند و در حملات DDoS شرکت کنند حتی زمانی که خود برنامه های کاربردی فعال نبودند و یا زمانی که دستگاه ها قفل شده بودند.

گوگل برنامه های مخرب را از Google Play حذف کرده است و از راه دور نیز آنها را از دستگاه ها نیز حذف کرده است. محققان گفتند که ویژگی محافظت از بازی که به صورت محلی بر روی دستگاه های اندرویدی اجرا می شود، مانع از نصب این برنامه ها می شود.

برخی از محصولات آنتی ویروس برنامه های مخرب را به عنوان یک تروجان “Android Clicker” شناسایی می کنند که ممکن است به این نکته اشاره کند که هدف اصلی بات نت، تقلب روی کلیک، روش درآمدی ناشی از تبلیغات جعلی است. با این حال، تا زمانی که این موضوع کشف شود، بات نت به طور واضح برای DDoS بازطراحی شده و دستورالعمل های حمله را از سرورهای فرماندهی و کنترل که تحت میزبانی یک نام دامنه بوده اند، دریافت می کرده است.

این اولین بات نت مبتنی بر اندروید نیست که تا به حال یافت شده است، اما قطعا بزرگترین آن است. در اوج حملات، محققان ترافیک مخرب را از بیش از 120،000 آدرس آی پی منحصر به فرد در یک ساعت مشاهده کردند. سال گذشته شرکت امنیتی Imperva یک بات نت مشابهی را کشف کرد که برای راه اندازی حملات DDoS از حدود 27،000 دستگاه آلوده آندروید استفاده می کرد.

در حالی که گوگل تلاش های زیادی برای حذف نرم افزارهای مخرب از Google Play انجام داده و به طور مداوم اسکن برنامه های میزبانی شده بر روی پلت فرم آن را انجام می دهد، این اولین بار نیست که برنامه های مخرب از سد دفاعی گوگل گذشته اند. در هفته گذشته، این شرکت برنامه هایی را که از ابزارهای تبلیغاتی برای مقاصد جاسوسی استفاده می کردند، حذف کرد و در ماه می این شرکت حدود 40 برنامه را که دارای قابلیت کلیک برای کلاه برداری بود، حذف کرد.

افزودن دیدگاه جدید

دیدگاههای شما

گفتگو با ما

سوالی دارید ؟ برای ما پیام ارسال نمایید

سوالی دارید ؟ ما دوست داریم به شما کمک کنیم .

برای ورود به گفتگو کلیک نمایید