الفئة: استخبارات الخصمالصناعة: متعددالتحفيز: الماليةالمنطقة: عالميمصدر*: F3

ملخص تنفيذي

تهديدتأثيرتخفيف

• خدمة اختبار الإجهاد لمحاكاة هجمات DDoS على مواقع الويب والخوادم.

• يمكن للجهات الفاعلة في مجال التهديد إساءة استخدام خدمات DDoS-for-hire لاستهداف المجالات باستخدام هجمات غير مصرح بها.

• قم بتطبيق الحماية ضد DDoS على الخادم.
• استخدم الحظر الجغرافي لـ IP في حالة حدوث هجوم.

التحليل والإسناد

معلومات من البريد

• كلاود سيكمنصة المخاطر الرقمية السياقية للذكاء الاصطناعي الجيل السادس عشر اكتشفت جهة تهديد تعلن عن خدمة اختبار الإجهاد التي يمكن استخدامها لمواقع الويب/الخوادم.
• يشير المنشور إلى قائمة الحجج التي تميز هذه الخدمة عن منافسيها:
  • الدعم الفني متاح دائمًا
  • نظام الدفع التلقائي المريح
  • تبحث عن تحسين الأساليب يوميًا

[معرف التسمية التوضيحية = «المرفق _20867" align= «alignnone» width="1330"] الإعلان الذي تمت ملاحظته في منتدى الجرائم الإلكترونية [/caption]

اقرأ أيضًا Raven Storm، أداة خيوط المعالجة المتعددة التي يستخدمها الهاكتيفيون لهجمات DDoS

حول اختبار الإجهاد

• اختبار الإجهاد هو اختبار البرمجيات النشاط الذي يحدد متانة البرنامج من خلال الاختبار خارج حدود التشغيل العادي. هذا لضمان إمكانية تشغيل البرنامج في أي مكان، مع عدد أقل من المتطلبات المحددة مسبقًا وتحت أي ظرف من الظروف.
• يمكن أن يعطي توجيه حركة المرور الكثيفة والمحاكاة على المجالات كجزء من عملية الاختبار فكرة عن المدة التي يمكن أن يتحمل فيها عبء الطلب قبل الانهيار.
• توفر Cloudflare خدمات حماية DDoS لمواقع الويب القادرة على تحمل حركة المرور الكثيفة الموجهة إليها عبر شبكات الروبوت التي يديرها مجرمو الإنترنت أو الخوادم المخصصة.

ميزات الخدمة

• إنها منصة DDoS-for-Hire، حيث يمكن للمهاجم شن هجمات DDoS على مواقع الويب غير المصرح بها بطبيعتها.
• إنها منصة خدمة عبر الإنترنت، دون الحاجة إلى عمليات تثبيت.
• يدعم بروتوكولات الطبقة الرابعة والطبقة السابعة.
• القدرة على توليد ما يصل إلى 600000 طلب في الثانية، مما قد يؤدي إلى DDoS بشكل فعال على موقع الويب المستهدف.
• يدعم طلبات متعددة لكل IP (1-64).
• تتوفر 5 طرق هجوم (1 لـ L4، 3 لـ L7).
• مفتاح API لإطلاق الهجمات.
• يدعم 4 اتصالات متزامنة.
• وقت تشغيل 2400 ثانية (الحد الأقصى لمدة تعطل موقع DDoed).

الجانب الفني

• تستهدف هجمات DDoS التي تنفذها الجهات الفاعلة في مجال التهديد بشكل خاص الطبقتين التاليتين من نموذج OSI (الاتصال المتبادل للأنظمة المفتوحة):
  • الطبقة 4 (طبقة النقل) - حيث يتم نقل البيانات (نقل الحزم وتجميع الحزم) بين نظامين، باستخدام بروتوكولات TCP وUDP.
  • الطبقة 7 (طبقة التطبيقات) - حيث تتفاعل التطبيقات مع خدمات الشبكة. على سبيل المثال، تستخدم متصفحات الويب هذه الطبقة لتوفير محتوى مفيد للمستخدمين على مواقع الويب.
• يمكن تنفيذ الهجمات عبر المنصة عن طريق الشراء مفاتيح API.
• يشير الجدول أدناه إلى أنواع هجمات DDoS التي يمكن تنفيذها على كل طبقة.

طبقةالهجمات التي تستهدف الطبقةالطبقة 4

• AMP - بروتوكول المراسلة غير المتزامن
• TCP - بروتوكول التحكم في الإرسال
• UDP - بروتوكول مخطط بيانات المستخدم

الطبقة 7

• Freeflood - هجوم فيضان بسيط (20,000 طلب في الثانية).
• H-Captcha - الطريقة ذات القوة المتوسطة. يتجاوز حماية CloudFlare (بما في ذلك تحدي Chaptcha). يعمل بتأخير يصل إلى دقيقتين.
• H-Flood - طريقة ذات طاقة عالية توفر تجاوزًا لجميع وسائل الحماية البسيطة.

لوحة إدارة الهجوم

عند التسجيل على الموقع، يمكن لمجرم الإنترنت الوصول إلى لوحة بعنوان «Attack Manager». تسمح هذه اللوحة للمهاجم بتنفيذ هجمات DDoS، استنادًا إلى التفاصيل التالية:

• طريقة الهجوم (تختلف لكل طبقة OSI، كما هو مذكور أعلاه)
• الهدف - حكم تنفيذ الهجوم هو كما يلي:
  • الطبقة 4 - توفير عنوان IP والمنفذ (الافتراضي هو المنفذ 80 - HTTP)
  • الطبقة 7 - توفير اسم المجال
• وقت التشغيل - حقل محدد مسبقًا يحتوي على الحد الأدنى والحد الأقصى للوقت، الذي يتراوح من 0 إلى 2400 ثانية، لإجراء الهجوم.
• نوع الطلب - GET أو POST (لهجمات الطبقة السابعة فقط)
• التزامن - عدد الجلسات المتزامنة (من الخوادم المخصصة (الزومبي)) التي ستهاجم المجال/IP المستهدف في وقت معين. يتم دعم 4 اتصالات متزامنة في المرة الواحدة. كلما زادت الجلسات المتزامنة، زادت قوة هجوم DDoS.

سيرفرات مخصصة

• لتسهيل هجمات DDoS، هناك خوادم متاحة بسهولة لتنفيذ أنواع مختلفة من الهجمات. تفاصيل الخوادم هي:
  • خادم الطبقة 4 - 1 مع 3 فتحات هجوم DDoS يمكن استخدامها بشكل متزامن.
  • خوادم الطبقة 7 - 3 مع 10 فتحات هجوم DDoS يمكن استخدامها بشكل متزامن.

محاكاة هجوم DDoS

قدم الممثل الرسم البياني التالي كمثال لهجوم DDoS الذي تمت محاكاته بواسطة الخدمة. [معرف التسمية التوضيحية = «المرفق 20868" align= «alignnone» width="1280"] رسم بياني يوضح الطلبات في الثانية في هجوم DDoS [/caption] يمكن استنتاج ما يلي من خلال المعلومات الواردة في الرسم البياني أعلاه:

• بلغ معدل الطلب ذروته عند 79,074 طلبًا في الثانية في هجوم DDoS هذا.
• طريقة الهجوم المتبعة هنا هي hCaptcha، مع عدم وجود دليل مباشر على تجاوز آلية hCaptcha.
• عند إجراء HUMINT، تم اكتشاف أن مجرمي الإنترنت قد ذكروا خوادم مخصصة لتنفيذ الهجمات.
• الحد الأقصى لعدد الطلبات التي يمكن تنفيذها هو 600,000. تم التحقق من هذا العدد بشكل مستقل باستخدام أداة DSTAT.

هيكل التسعير

• يوفر موقع الويب خطة مجانية للمستخدمين الذين يستفيدون من الخدمات بدون عمولة.
• يحتوي موقع الويب أيضًا على هيكل تسعير موحد لمستخدميه المدفوعين، أي العادي والمميز.
• يتراوح السعر من 10 دولارات أمريكية إلى 850 دولارًا أمريكيًا شهريًا مع اختلاف مواصفات الاختبار لكل شريحة تسعير.

معلومات من منتدى الجرائم الإلكترونية

• تم الإعلان عن هذه المواقع على مواقع DDoS-for-Hire الأخرى.
• كان استخدام هذه المواقع على نطاق واسع خلال بداية الحرب الروسية الأوكرانية.
• تم استخدام الخدمة بشكل أساسي لتنفيذ هجمات DDoS ضد مواقع الويب الروسية.
• تشير مراجعات المستخدمين إلى أن الخدمة تكتسب زخمًا بين مستخدم الإنترنت العادي.

نشاط وتصنيف الجهات الفاعلة في مجال التهديد

تحديد سمات الجهات الفاعلة في مجال التهديدنشط منذ أغسطس 2022 السمعة منخفضة (شكاوى ومخاوف متعددة في المنتدى) الحالة الحالية التاريخ النشط غير معروف التصنيف F3 (F: الموثوقية غير معروفة؛ 3: ربما صحيحة)

اقرأ أيضًا كيفية تجاوز Captchas بسهولة باستخدام Python وطرق أخرى

التأثير والتخفيف

التأثيرالتخفيف

• يمكن لمجرمي الإنترنت الاستفادة من هذه الهجمات لشن هجمات معقدة غير مصرح بها على المجالات.
• قدر كبير من الوقت الضائع لموقع الويب وخادم الاستضافة.
• هجوم متابعة من قبل مجموعات الجهات الفاعلة في مجال التهديد التي تستغل ثغرة أمنية على جانب المجال أو جانب الخادم.

• راقب منتديات الجرائم الإلكترونية للحصول على أحدث التكتيكات التي تستخدمها الجهات الفاعلة في مجال التهديد.
• قم بتطبيق الحماية ضد DDoS على الخادم.
• استخدم الحظر الجغرافي لـ IP في حالة حدوث هجوم.
• قم بتصحيح نقاط النهاية الضعيفة والقابلة للاستغلال.
• راقب الحالات الشاذة في حسابات المستخدمين، والتي قد تشير إلى عمليات استحواذ محتملة على الحساب

المراجع

• *مصدر الذكاء وموثوقية المعلومات - ويكيبيديا
• ^#بروتوكول إشارات المرور - ويكيبيديا

الملحق

[معرف التسمية التوضيحية = «المرفق 20869" align= «alignnone» width="1280"] رسم بياني للطلبات في الثانية - من هجوم DDoS تم تنظيمه باستخدام الخدمة [/caption] [معرف التسمية التوضيحية = «المرفق 20870" align= «alignnone» width="452"] موقع ويب يستخدم حماية hCaptcha لتصفية الروبوتات من المستخدمين الحقيقيين. [/التسمية التوضيحية] [معرف التسمية التوضيحية = «المرفق _20871" align= «alignnone» width="365"] صورة لوحة الهجوم [/caption] [معرف التسمية التوضيحية = «المرفق _20872" align= «alignnone» width="1110"] معلومات الخادم التي تسهل هجمات DDoS [/caption] [معرف التسمية التوضيحية = «المرفق _20873" align= «alignnone» العرض = «1167"] هيكل تسعير الاشتراك الشهري [/caption] [معرف التسمية التوضيحية = «المرفق _20874" align= «alignnone» width="1487"] الإعلان عن موقع الويب الذي تمت ملاحظته في منتدى آخر للجرائم الإلكترونية [/caption] [معرف التسمية التوضيحية = «المرفق _20875" align= «alignnone» width="1460"] إعلان عن موقع الويب الذي تمت ملاحظته في سوق Shellix [/caption] الإعلان عن خدمة DDoS أخرى تم تجذيرها وكانت معلوماتها الحساسة متاحة في المنتدى [معرف التسمية التوضيحية = «المرفق 20877" align= «alignnone» width="629"] إحصائيات CheckHost للنطاق المستهدف بهجمات DDoS من منصة DDoS-for-Hire [/caption] [معرف التسمية التوضيحية = «المرفق _20878" align= «alignnone» width="655"] ذكر الموقع على اثنين من مستودعات GitHub، التي تسرد مواقع DDoS for-Hire الأخرى التي يجب إدراجها في القائمة السوداء [/caption] [معرف التسمية التوضيحية = «المرفق 20879" align= «alignnone» width="737"] إدخال لموقع الويب، في موقع ويب يسرد أفضل 20 خدمة لاختبار الإجهاد في عام 2022 [/caption]