حملات گسترده ‏DDoS‏ با سو استفاده از ‏MTProxy‏های ‏تلگرام ‏

گزارش بازرگانی،   3980821099 ۵ نظر، ۰ در صف انتشار و ۲ تکراری یا غیرقابل انتشار

سرویس تلگرام در ۱۰ اردیبهشت ۱۳۹۷ به دستور یک بازپرس به‌شکل کامل مسدود شد. یکی از امکانات تلگرام استفاده از الگوریتم رمزنگاری غیرمتقارنی به نام MTProto در راستای رمزنگاری محتوا بود. بعدها تلگرام از سرویسی با نام MTProxy استفاده کرد تا بتواند به‌کمک این پروتکل با فیلترینگ ایران مقابله کند.

نفوذ بسیار بالای تلگرام در ایران باعث شد کاربران بی‌شماری علاوه‌بر استفاده از فیلترشکن‌ها به فکر استفاده از MTProxyهای رایگان بیفتند. افرادی که بی‌اطلاع از همه‌جا امروز تبدیل به بات‌نت‌های یک شبکه‌ی بزرگ خرابکاری اینترنتی شده‌اند.

ابر آروان با تحلیل حملات گسترده‌‌ی روزهای گذشته به زیرساخت‌های خود یک نوع حمله‌ی کاملن توزیع‌شده‌ی جدید را تشخیص داد. این حملات تفاوت‌های اساسی با حملات پیشین داشتند:

  • این حملات مستقیمن به آدرس IP و پورت ۸۰ سرورهای لبه‌ی ابر آروان ارسال شده بودند و اثری از دامنه‌ا‎ی خاص در درخواست‌های آن‌ها یافت نمی‌شد.
  • ترافیک دریافتی کاملن تصادفی به نظر می‌رسید. حتا آنتروپی محاسبه شده روی اطلاعات درخواست‌های دریافتی تقریبن معادل ۴ بود.
  • ترافیک دریافتی در لایه‌ی ۷ بود. اما از هیچ‌یک از پروتکل‌های معروف این لایه مانند HTTP، HTTPS، FTP و… پیروی نمی‌کرد.
  • حمله کاملن داخلی بود و IPهای حمله‌کننده، در داخل کشور قرار داشتند.

تصویر ۱: درخواست‌های عادی به سرورهای لبه‌ی ابر آروان

حجم بالای این حملات می‌توانست بسیاری از وب‌سایت‌ها و سامانه‌های آنلاین را دچار اختلال کند، اما برای ساختار توزیع‌شده‎ و سامانه‌های جلوگیری از حملات DDoS ابر آروان مقابله با این حملات کار سختی به نظر نمی‌رسید، اما تحلیل این حملات به آسانی همیشه نبود.

نه از داده‌ها‎ی ارسالی می‌توانستیم سرنخی به‌دست آوریم، نه نشانی‌های درخواست‌های ارسالی الگوی مشترکی داشتند که بتوانیم از آن‌ها استفاده کنیم.

تصویر ۲: درخواست‌های ارسالی به سرورهای لبه‌ی ابر آروان در حمله

این حمله در روز سه‌شنبه ۱۴ آبان ساعت ۲۳:۳۶ دقیقه شروع و در روز یکشنبه ۱۹ آبان ساعت ۲۳:۴۶ دقیقه به پایان رسید. اوج این حملات روز چهارشنبه بود که تعداد درخواست‌های ارسالی به سمت سرورهای ابر آروان به حدود ۱۰۰ هزار درخواست در ثانیه رسید. اگرچه این حملات در مقابل حملات گسترده‌ای که در ابر آروان با آن مقابله می‌شود از شدت بسیار بالایی برخوردار نبودند اما همین حملات، امکان از دسترس خارج کردن بیش‌تر وب‌سایت‌های کشور را دارند. تفاوت مهم دیگر، وجود منشا داخلی این حملات بود که باعث پررنگ‌تر شدن آن می‌شود.

 

کشف منشا

برای یافتن منشا حملات، فعالیت‌های زیادی انجام شد که بسیاری از آن‌ها شکست خوردند. اما در ساعات انتهایی روز شنبه، به حدسی هوشمندانه دست یافتیم؛ شاید ترافیک برای سرویس MTProxy نرم‎افزار تلگرام باشد!

چند نکته در ترافیک نمونه‌گیری شده وجود داشت که این حدس را تقویت می‎کرد:

  • ترافیک سرویس MTProxy رمزنگاری شده است و ترافیک رمز شده معمولن رفتاری مانند ترافیک تصادفی دارد. هم‌چنین در پروتکل MTProto این درهم‌ریختگی تصادفی، تشدید نیز می‌شود.
  • متاسفانه با فیلتر شدن تلگرام استفاده از سرویس MTProxy برای دور زدن فیلترینگ، روی این سرویس بسیار شایع شده است که با توزیع‌شدگی شدید این حمله تطابق داشت.
  • ارسال و استفاده از سرویس‌های رایگان MTProxy در کانال‌های تلگرام امری شایع و ساده است. به‌راحتی می‎توان با تغییر نشانی IP یکی از این سرورها به نشانی ابر آروان، ترافیک مشابه ایجاد کرد.
  • به‌دلیل ساختار استفاده از سرویس MTProxy، چند نشانی به‌عنوان سرور در اختیار نرم‌افزار قرار می‌گیرد که به‌وسیله‌ی تلگرام بررسی می‌شوند. این بررسی خودکار می‌تواند منجر به ایجاد ترافیک بدون اطلاع کاربر شود.
  • یک دامین پروکسی می‌تواند دارای چندین نشانی IP باشد و تلگرام به تمام این IPها درخواست را ارسال می‌کند. اگر یکی از این IPها برای حمله استفاده شود و باقی آن‌ها درست کار کند، کاربر تنها با کندی سرویس پروکسی مواجه و متوجه قطع سرویس نمی‌شود.

با شبیه‌سازی سناریوی احتمالی، حدس سرویس MTProxy تقویت شد. ترافیک ایجاد شده به ترافیک دریافتی شباهت زیادی داشت. موضوعی که با بررسی ترافیک نمونه‌گیری از درستی آن اطمینان پیدا کردیم.

در زیر تصویر یکی از استریم‌های TCP کپچر شده در نرم‎افزار Wireshark آمده که به‌شکل hexdump آن را مشاهده می‌کنید.

سپس قسمت پیام ارسالی را کپی و براساس پروتکل MTProto جداسازی کردیم که در شکل زیر آن را مشاهده می‌کنید.

بر اساس پروتکل MTProto، قسمت کلید اولیه از پیام جدا شده را با ترکیبی از secret سرویس MTProxy ساختیم. اما مقدار secret برای ما قابل ارزیابی نبود. با یک حدس هوشمندانه توانستیم مقدار درست secret را ارزیابی کنیم. این مقدار 0x00000000000000000000000000000000  بود! با استفاده از این مقدار توانستیم هش مورد نظر را محاسبه و به عنوان کلید رمزگشایی از آن استفاده کنیم.

 با استفاده از کلید به‌دست آمده و I.V با الگوریتم AES-256bit در مُد CTR، توانستیم کل پیام را رمزگشایی کنیم. یکی از امضاهای پروتکل MTProto داشتن مقادیر 0xefefefef یا 0xeeeeeeee و یا 0xdddddddd در بایت ۵۷ام است که در ترافیک نمونه‎گیری شده، مشاهده می‎شود.

تیم امنیت ابر آروان پس از مطمین شدن از جنس ترافیک، به کانال‌های تلگرامی ارایه دهنده‌ی سرویس MTProxy مراجعه کرد. برخی از سرورهای ارایه شده در این کانال‌ها، به نشانی IP ابرآروان resolve می‌شدند که تعدادی از این نشانی‌ها در فهرست زیر آمده است:

Atom.ChMTP.Info

walking.firewall-gateway.com

ToKhobi.MyFirewall.org


سخن پایانی

در این یادداشت به رخدادی اشاره کردیم که به احتمال زیاد حمله‌ای است که در نوع خود تاکنون گزارش نشده است. این مشکل از فیلتر شدن تلگرام شروع می‌شود. نبود نگاه چند جانبه نسبت به فناوری‌های روز باعث حذف یک پیام‌رسان با میلیون‌ها مخاطب شد، موضوعی که در مقاطع مختلف با تهدیدات متفاوتی کشور را مواجه کرده است.

رواج بیش‌ از اندازه نسخه‌های غیر اصل از تلگرام که متهم به سو استفاده از دستگاه‌های شخصی کاربران ایرانی بودند یکی از این موارد، و اکنون نیز استفاده از MTProxy رایگان، و ترویج آن تهدید بزرگ دیگری را در برابر کاربران ایرانی قرار داده است.

در حال حاضر ابر آروان هشدار جدی می‌دهد که اگر تصمیمات سختی اتخاذ نشود، مدیران کانال‌های تلگرامی که اقدام به ترویج MTProxyهای رایگان می‌کنند، دو قدرت بسیار مهم در اختیار خواهند داشت:

  • سو استفاده از کاربران بی‌شمار ایرانی برای DDoS کردن وب‌سایت‌های یا سامانه‌های حیاتی کشور
  • گمراه کردن دستگاه‌های حاکم بر فضای سایبری و قربانی کردن سرورهای بی‌گناه با ارسال ترافیک MTProto به این سرورها

عناوین مرتبط

دیدگاه کاربران

ناشناس۱۱۶۵۰۶۲۱۳:۳۴:۳۳ ۱۳۹۸/۸/۲۱
همه نقشه است برای فروختن وی پی ان به مردم
علی۱۱۶۵۱۰۷۱۳:۵۲:۱۶ ۱۳۹۸/۸/۲۱
فیلتر تلگرام را بردارید، مشکل حل می شود.
ناشناس۱۱۶۵۱۲۸۱۴:۰۳:۴۹ ۱۳۹۸/۸/۲۱
خب تلگرام. رو رفع فیلتر کنید. به همین سادگی. والسلام
ناشناس۱۱۶۵۱۷۳۱۴:۲۴:۲۴ ۱۳۹۸/۸/۲۱
از چاله به چاه افتادن
ناشناس۱۱۶۵۲۲۵۱۴:۴۵:۵۵ ۱۳۹۸/۸/۲۱
تلگرام از اون چیزی که شما تصور می کنید خطرناکتر است

پربحث‌های دیروز

  1. ترفند کارمند بانک در برابر اغتشاشگران + عکس

  2. ترامپ از ایران تشکر کرد؛ مبادله زندانیان حاصل «یک مذاکره بسیار منصفانه» بود

  3. تجمع پراکنده و ساختارشکنانه در چند دانشگاه تهران

  4. پشیمانیم؛ حرف پرتَکرار حامیان و هواداران رئیس‌جمهور

  5. نیویورک تایمز: ترامپ، تمسخر در خارج و استیضاح در داخل

  6. ربیعی: تحریم‌ها را می‌توان دور زد، اما جامعه را نمی‌توان دور زد/ پس از آبان دیگر نمی‌توان انتخابات را به شیوه سابق برگزار کرد

  7. قالیباف: کلید روحانی قلابی است؛ دنبال کلید واقعی باشید/ ریشه اصلی فساد، ضعف و ناکارآمدی در شیوه اداره است

  8. حضور خانوادگی برای ثبت‌نام در انتخابات

  9. آخرین روز ثبت‌نام از داوطلبان انتخابات مجلس/ چهره‌هایی که برای ثبت‌نام آمدند/ حاشیه‌ها و تصاویر

  10. فرار مالیاتی پزشکان و وکلا معادل نیمی از یارانه نقدی

  11. جزئیات تازه از ماجرای هبه ۲۶۰ میلیارد تومانی به داماد آقای وزیر

  12. تصویری از «مسعود سلیمانی» بعد از آزادی

  13. آشوب‌های عراق و استعفای عادل عبدالمهدی؛ داعش بازمی گردد؟

  14. در انتظار ثبت نام

  15. قیمت سکه و طلا در بازار / یورو و پوند گران شدند + جدول

  16. محمدحسین لطیفی: از سلبریتی‌ها چند برابر دیگران مالیات بگیرید/ اعتراض دارم به اداهای اپوزیسیونی بازیگران!

  17. بازیگر سینما: موافق پرداخت مالیات هستم/ دولت ما را مقابل مردم قرار ندهد

  18. مطلوب مردم آری، مطلوب سیاستمداران خیر

  19. کاهش قابل‌توجه مصرف بنزین سوپر در کشور

  20. صحبت‌های رئیس جهاد دانشگاهی درباره دعوای روحانی و رحیم‌پور ازغدی

  21. اطلاعیه جدید بانک مرکزی درباره فعال‌سازی «رمز دوم پویا»

  22. شهردار تهران: خبر فروش صندلی اتوبوس غلط است

  23. «عارف» کاندیدای مجلس یازدهم نمی‌شود

  24. چگونه رمز دوم یکبار مصرف را فعال کنیم؟

  25. کدام خانوارها باید منتظر دریافت یارانه بنزین باشند

پربحث‌های هفته

  1. تبعیض آشکار در اخذ مالیات/ آیا همه هنرمندان باید از پرداخت مالیات معاف می‌شدند؟

  2. شما چه فکر می‌کنید؟ | آشنا: جماعت زیادی از راه مسافرکشی با ماشین شخصی زندگی می‌کنند...

  3. یک عکس؛ یک شرح | «رضا جان انقلاب این طور نیست که تو فهمیده‌ای...»

  4. شوخی گریه‌دار با کودک کار

  5. سعید ملایی تبعه مغولستان شد+عکس

  6. وزیر کشور: یک مقدار افزایش قیمت‌ها،‌ در برابر افزایش قیمت بنزین طبیعی است

  7. ده چیز که برای اولین بار در عربستان باب شد

  8. مطهری: افزایش قیمت بنزین ضروری بود/ اگر شرایط مناسب بود روحانی را استیضاح می‌کردیم/ یک خانه ۵۷۶ متری و یک پژو دارم

  9. علت طولانی بودن روند صدور کارت ملی چیست؟

  10. ترفند کارمند بانک در برابر اغتشاشگران + عکس

  11. داماد رئیس جمهور در انتخابات ثبت نام کرد!

  12. توضیحات رامبد جوان درباره مهاجرت و خندوانه

  13. ابطحی: روحانی هویت امنیتی خود را در این روزها نشان داد/ انتقاد منیژه حکمت از معافیت مالیاتی هنرمندان/ آخرین اخبار از حضور جلیلی و قالیباف در انتخابات

  14. ثبت نام کنندگانی که هیج اطلاعاتی از مجلس شورای اسلامی ندارند!!

  15. در نیزارهای ماهشهر چه گذشت؟! / روایتی تازه از وقایع اخیر در بندر ماهشهر

  16. سازمان مبارزه با فساد تشکیل دهید...

  17. اقتصاددانان خطاب به رئیس‌جمهور: اسامی کارشناسان موافق و اسناد کارشناسی طرح افزایش قیمت بنزین را منتشر کنید

  18. صندلی اتوبوس‌های پایتخت فروشی می‌شود!

  19. خسارت ۱۰۰ هزار میلیارد تومانی زنگنه به کشور

  20. ترامپ از ایران تشکر کرد؛ مبادله زندانیان حاصل «یک مذاکره بسیار منصفانه» بود

  21. «اعتراض»، «آشوب»، «اغتشاش» یا «فتنه»؟ ؛ هر چه بود درسی شد برای عبرت...

  22. سخنان عجیب مطهری درباره طرح افزایش قیمت بنزین/ وقتی یک نهاد نظارتی به نمایندگان هدیه می‌دهد!/ قوچانی: نمی‌توان از کارنامه اصلاح‌طلبان دفاع کرد

  23. کدخدایی: برخی از وزرا مخالف افزایش قیمت بنزین بودند/موضع مشاور رئیس جمهور درباره کشته شدگان اعتراضات اخیر/ زیباکلام: شرمنده مردمی هستم که با تشویق من به روحانی رای دادند

  24. مطهری: عملکرد خوبی در مجلس داشتم/ نیاز زیادی به تبلیغات ندارم

  25. آغاز مصادره اموال مقامات فاسد ترکمنستان+ تصاویر

آخرین عناوین