هشدار بزرگ ابر آروان: حملات گسترده DDoS با سو استفاده از MTProxy های تلگرام - وبلاگ ساعت

هشدار بزرگ ابر آروان: حملات گسترده DDoS با سو استفاده از MTProxy های تلگرام

به گزارش وبلاگ ساعت، یکی از امکانات تلگرام استفاده از الگوریتم رمزنگاری غیرمتقارنی به نام MTProto در راستای رمزنگاری محتوا بود. بعدها تلگرام از سرویسی با نام MTProxy استفاده کرد تا بتواند به یاری این پروتکل با فیلترینگ ایران مقابله کند.

نفوذ بسیار بالای تلگرام در ایران باعث شده است کاربران بی شماری علاوه بر استفاده از فیلترشکن ها به فکر استفاده از MTProxyهای رایگان بیفتند. افرادی که بی اطلاع از همه جا امروز تبدیل به بات نت های یک شبکه بزرگ خرابکاری اینترنتی شده اند.

ابر آروان با تحلیل حملات گسترده ی روزهای گذشته به زیرساخت های خود یک نوع حمله کاملن توزیع شده جدید را تشخیص داد. این حملات تفاوت های اساسی با حملات پیشین داشتند:

این حملات مستقیمن به آدرس IP و پورت 80 سرورهای لبه ابر آروان ارسال شده بودند و اثری از دامنه ا ی خاص در درخواست های آن ها یافت نمی شد.
ترافیک دریافتی کاملن تصادفی به نظر می رسید. حتا آنتروپی محاسبه شده روی اطلاعات درخواست های دریافتی تقریبن معادل 4 بود.
ترافیک دریافتی در لایه 7 بود. اما از هیچ یک از پروتکل های معروف این لایه مانند HTTP، HTTPS، FTP و… پیروی نمی کرد.
حمله کاملن داخلی بود و IPهای حمله نماینده، در داخل کشور قرار داشتند.

تصویر 1: درخواست های عادی به سرورهای لبه ابر آروان

حجم بالای این حملات می توانست بسیاری از وب سایت ها و سامانه های آنلاین را دچار اختلال کند، اما برای ساختار توزیع شده و سامانه های جلوگیری از حملات DDoS ابر آروان مقابله با این حملات کار سختی به نظر نمی رسید، اما تحلیل این حملات به آسانی همواره نبود.

نه از داده ها ی ارسالی می توانستیم سرنخی به دست آوریم، نه نشانی های درخواست های ارسالی الگوی مشترکی داشتند که بتوانیم از آن ها استفاده کنیم.

تصویر 2: درخواست های ارسالی به سرورهای لبه ابر آروان در حمله

این حمله در روز سه شنبه 14 آبان ساعت 23:36 دقیقه آغاز و در روز یکشنبه 19 آبان ساعت 23:46 دقیقه به سرانجام رسید. اوج این حملات روز چهارشنبه بود که تعداد درخواست های ارسالی به سمت سرورهای ابر آروان به حدود 100 هزار درخواست در ثانیه رسید. اگرچه این حملات در مقابل حملات گسترده ای که در ابر آروان با آن مقابله می گردد از شدت بسیار بالایی برخوردار نبودند اما همین حملات، امکان از دسترس خارج کردن بیش تر وب سایت های کشور را دارند. تفاوت مهم دیگر، وجود منشا داخلی این حملات بود که باعث پررنگ تر شدن آن می گردد.

کشف منشا

برای یافتن منشا حملات، فعالیت های زیادی انجام شد که بسیاری از آن ها شکست خوردند. اما در ساعات انتهایی روز شنبه، به حدسی هوشمندانه دست یافتیم؛ شاید ترافیک برای سرویس MTProxy نرم افزار تلگرام باشد!

چند نکته در ترافیک نمونه گیری شده وجود داشت که این حدس را تقویت می کرد:

ترافیک سرویس MTProxy رمزنگاری شده است و ترافیک رمز شده معمولن رفتاری مانند ترافیک تصادفی دارد. هم چنین در پروتکل MTProto این درهم ریختگی تصادفی، تشدید نیز می گردد.
متاسفانه با فیلتر شدن تلگرام استفاده از سرویس MTProxy برای دور زدن فیلترینگ، روی این سرویس بسیار شایع شده است که با توزیع شدگی شدید این حمله تطابق داشت.
ارسال و استفاده از سرویس های رایگان MTProxy در کانال های تلگرام امری شایع و ساده است. به راحتی می توان با تغییر نشانی IP یکی از این سرورها به نشانی ابر آروان، ترافیک مشابه ایجاد کرد.
به دلیل ساختار استفاده از سرویس MTProxy، چند نشانی به عنوان سرور در اختیار نرم افزار قرار می گیرد که از طریق تلگرام آنالیز می شوند. این آنالیز اتوماتیک می تواند منجر به ایجاد ترافیک بدون اطلاع کاربر گردد.
یک دامین پروکسی می تواند دارای چندین نشانی IP باشد و تلگرام به تمام این IPها درخواست را ارسال می نماید. اگر یکی از این IPها برای حمله استفاده گردد و باقی آن ها درست کار کند، کاربر تنها با کندی سرویس پروکسی روبرو و متوجه قطع سرویس نمی گردد.

با شبیه سازی سناریوی احتمالی، حدس سرویس MTProxy تقویت شد. ترافیک ایجاد شده به ترافیک دریافتی شباهت زیادی داشت. موضوعی که با آنالیز ترافیک نمونه گیری از درستی آن اطمینان پیدا کردیم.

در زیر تصویر یکی از استریم های TCP کپچر شده در نرم افزار Wireshark آمده که به شکل hexdump آن را مشاهده می کنید.

سپس قسمت پیغام ارسالی را کپی و براساس پروتکل MTProto جداسازی کردیم که در شکل زیر آن را مشاهده می کنید.

بر اساس پروتکل MTProto، قسمت کلید اولیه از پیغام جدا شده را با ترکیبی از secret سرویس MTProxy ساختیم. اما مقدار secret برای ما قابل ارزیابی نبود. با یک حدس هوشمندانه توانستیم مقدار درست secret را ارزیابی کنیم. این مقدار 0x00000000000000000000000000000000 بود! با استفاده از این مقدار توانستیم هش مورد نظر را محاسبه و به عنوان کلید رمزگشایی از آن استفاده کنیم.

با استفاده از کلید به دست آمده و I.V با الگوریتم AES-256bit در مُد CTR، توانستیم کل پیغام را رمزگشایی کنیم. یکی از امضاهای پروتکل MTProto داشتن مقادیر 0xefefefef یا 0xeeeeeeee و یا 0xdddddddd در بایت 57ام است که در ترافیک نمونه گیری شده، مشاهده می گردد.

تیم امنیت ابر آروان پس از مطمین شدن از جنس ترافیک، به کانال های تلگرامی ارایه دهنده سرویس MTProxy مراجعه کرد. بعضی از سرورهای ارایه شده در این کانال ها، به نشانی IP ابرآروان resolve می شدند که تعدادی از این نشانی ها در فهرست زیر آمده است:

Atom.ChMTP.Info

walking.firewall-gateway.com

ToKhobi.MyFirewall.org

سخن سرانجامی

در این یادداشت به رخدادی اشاره کردیم که به احتمال زیاد حمله ای است که در نوع خود تاکنون گزارش نشده است. این مشکل از فیلتر شدن تلگرام آغاز می گردد. نبود نگاه چند جانبه نسبت به فناوری های روز باعث حذف یک پیغام رسان با میلیون ها مخاطب شد، موضوعی که در مقاطع مختلف با تهدیدات متفاوتی کشور را روبرو نموده است.

رواج بیش از اندازه نسخه های غیر اصل از تلگرام که متهم به سو استفاده از دستگاه های شخصی کاربران ایرانی بودند یکی از این موارد، و اکنون نیز استفاده از MTProxy رایگان، و ترویج آن تهدید بزرگ دیگری را در برابر کاربران ایرانی قرار داده است.

در حال حاضر ابر آروان هشدار جدی می دهد که اگر تصمیمات سختی اتخاذ نگردد، مدیران کانال های تلگرامی که اقدام به ترویج MTProxyهای رایگان می نمایند، دو قدرت بسیار مهم در اختیار خواهند داشت:

سو استفاده از کاربران بی شمار ایرانی برای DDoS کردن وب سایت های یا سامانه های حیاتی کشور
گمراه کردن دستگاه های حاکم بر فضای سایبری و قربانی کردن سرورهای بی گناه با ارسال ترافیک MTProto به این سرورها

منبع: مجله شنبه

تاریخ انتشار: 14 دی 1398 آخرین بروزرسانی: 6 مهر 1399 گردآورنده: saatfake.dostblog.ir شناسه مطلب: 1279

به "هشدار بزرگ ابر آروان: حملات گسترده DDoS با سو استفاده از MTProxy های تلگرام" امتیاز دهید

دیدگاه های مرتبط با "هشدار بزرگ ابر آروان: حملات گسترده DDoS با سو استفاده از MTProxy های تلگرام"

* نظرتان را در مورد این مقاله با ما درمیان بگذارید