بات‌نت جدیدی به نام Meris شناسایی شده‌است که حملات DDoS را پیاده‌سازی می‌کند.

بات‌نت جدیدی به نام Meris شناسایی شده‌است که حملات DDoS را پیاده‌سازی می‌کند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)،بات‌نت Meris بزرگ‌ترین حمله DDoS در روسیه را رقم زد که توسط شرکت آمریکایی Cloudflare تایید شده است. این حمله که موتور جست‌وجوی روسی Yandex را در ۵ سپتامبر ۲۰۲۱ مورد هدف قرار داد با تعداد درخواست حدود ۲۲ میلیون درخواست در ثانیه (RPS) رکورد زد.

 بر اساس تحقیقات انجام شده توسط Yandex و آزمایشگاه Qrator، بات نت Meris از بیش از ۲۰۰هزار دستگاه قوی متصل به شبکه های اترنت تشکیل شده است.

Meris به دلیل قدرت RPS عظیمی که به همراه دارد می‌تواند تقریبا کل زیرساخت‌ها را از بین ببرد. هیچ حمله‌ای به لایه کاربردی با این مقیاس در ۵ سال اخیر مشاهده نشده است.

پیکربندی اکثر بات‌نت‌ها به‌طور معمول به گونه‌ای است که در حملات «پهنای باند» کلاسیک تا حد ممکن به یک هدف محدود شده‌اند. در این نوع حملات، ترافیک ناخواسته ارسالی به سمت یک هدف مشخص بر حسب گیگابایت بر ثانیه اندازه‌گیری می‌شود. اما حملات DDoS حجمی یا لایه کاربردی که بر حسب تعداد درخواست‌ها در هر ثانیه محاسبه می‌شوند، بسیار متفاوت هستند.

در این حملات مهاجمان به طور متمرکز برای تحت تاثیر قرار دادن CPU و RAM، درخواست‌ها را به سمت سرور مورد هدف ارسال می‌کنند. در واقع حملات حجمی به جای مسدود کردن پهنای باند با ترافیک ناخواسته بر اشغال منابع سرورها و درنهایت خرابی آنها متمرکز است.

با تجزیه‌وتحلیل منابع حمله مشخص شد که آنها دستگاه‌هایی با پورت‌های باز ۲۰۰۰(Bandwidth test server) و ۵۶۷۸ (Mikrotik Neighbor Discovery Protocol) از سیستم‌های میکروتیک هستند. میکروتیک‌ها از پورت UDP/۵۶۷۸ جهت ارائه سرویس استاندارد خود استفاده می‌کنند. در دستگاه‌های آسیب‌دیده پورت TCP/۵۶۷۸ فعال شده که این موضوع می‌تواند یکی از دلایلی باشد که نشان می‌دهد این دستگاه ها بدون جلب توجه صاحبان خود هک شده‌اند.

بات‌نت Meris در دستگاه‌های آسیب‌دیده از پراکسی Socks۴ و تکنیک HTTP PipeLined(http/۱,۱) برای حملات DDoS استفاده می‌کند. با توجه به این که این نوع حملات از تکنیک Spoofed استفاده نمی‌کنند و آدرس IP منشا حملات جعلی نیستند با مسدود کردن این آدرس‌ها برای مدتی می‌توان حمله را خنثی کرد.

چگونگی عملکرد صاحبان C&C با‌ت‌نت Meris در آینده مشخص نیست. اما آنها می‌توانند ۱۰۰درصد ظرفیت دستگاه‌های آسیب‌دیده را از لحاظ پهنای باند و پردازنده در اختیار C&C قرار دهند.
در حال حاضر تنها راهکار مقابله با این حملات، مسدود کردن درخواست‌های متوالی و جلوگیری از پاسخ‌دهی به درخواست‌های HTTP PipeLined است.

به منظور مقاوم‌سازی در مقابل این نوع حملات، موارد زیر توصیه‌ می‌شود:
• به‌روزرسانی و ارتقای نسخه‌های نرم‌افزاری تجهیزات لبه شبکه
• تغییر گذرواژه‌ها
• پیکربندی فایروال به گونه‌ای که اجازه دسترسی از راه دور برای افراد ناشناس غیرفعال باشد.
• حذف اسکریپت‌های ناشناس