آخرین حملات

Killnet

Killnet sidadsec

این عامل تهدید که کارشناسان آن را وابسته به روسیه می دانند، اخیرا حملاتی علیه سازمان های مربوط به بهداشت و درمان در کشورهای اروپایی را انجام داده است. KillNet از DDos به عنوان ابزار اصلی حمله خود استفاده می نماید و دلیل استفاده از آن نیز کم هزینه بودن آن برای ایجاد اختلال در سرویس ها و وب سایت های آنلاین می باشد.

این گروه هکری که وابسته به دولت روسیه می باشد، در ماه های اول درگیری روسیه و اوکراین فعالیت های خود را آغاز کرد و با ادامه دار شدن جنگ، حملاتی را با تمرکز بر آسیب رساندن به زیرساخت های حیاتی و سرویس های دولتی  ضد حامیان اوکراین از جمله کشورهای عضو ناتو انجام داد.

حملات KillNet از ابزارها و استراتژی های پیچیده استفاده نمی کند.درحالی که حملات DDoS معمولا با اخاذی همراه است اما حملات KillNet شامل درخواست باج نمی شود و در بیشتر موارد فقط باعث خرابی و اختلال کوتاه مدت در سیستم های قربانی می شود.نکته قابل توجه در حملات DDoS  عدم نیاز مهاجم برای دسترسی به شبکه هدف برای نصب بدافزار می باشد و هدف اصلی آن صرفا با استفاده از درخواست های  malicious connection ،  آسیب رساندن به سیستم قربانی می باشد.

براساس بررسی های صورت گرفته، حملات DDoS  مربوط به KillNet در درجه اول وب اپلیکیشن ها و TCP , UDP را هدف قرار می دهد.با بررسی های بیشتر الگوی دیگر این حملات، استفاده از TCP connection در فواصل زمانی کوتاه برای آسیب رساندن به منابع CPU قربانی می باشد.

KillNet با استفاده از اسکریپت های DDoS ،stressors استفاده از Botnet و استفاده از spoofed attack sources می تواند به راحتی برای وب سایت ها و برنامه های هدف خود اختلال ایجاد کرده و به آنها آسیب برساند.

KillNet دارای یک سلسله مراتب سازمانی ساختار یافته می باشد و براساس یافته های کارشناسان، با گروه های دیگر روسی همچون XakNet همکاری داشته است.

راه هایی برای کاهش این خطر پذیری

  1. طراحی Application  ها با در نظر گرفتن بروز حملات DDoS برای آنها
  2. ایجاد یک طرح برای پاسخ به حملات DDoS
  3. مسدود سازی برنامه های اجرایی به جز برنامه های قابل اعتماد

روش های تشخیص این حمله

در صورت استفاده از راهکار شناسایی و پاسخ در نقطه پایانی (XDR) و تحلیل فعالیت های مرتبط، هشدارهای زیر مشاهده می گردد:

  • مشاهده حملات  مشکوک DDos

این تهدید از تکنیک های زیر که در جدول مایتراتک موجود می باشد استفاده نموده است.

شرکت مهندسی امن ارتباط سینداد کلیه IOA و IOC های مرتبط با تشخیص این حمله را به سامانه های خود افزوده است.

Reconnaissance Resource Development Credential Access Impact
Active Scanning Acquire Infrastructure Adversary-in-the-Middle Account Access Removal
Gather Victim Host Information Compromise Accounts Brute Force Data Destruction
Gather Victim Identity Information Compromise Infrastructure Credentials from Password Stores Data Encrypted for Impact
Gather Victim Network Information Develop Capabilities Exploitation for Credential Access Data Manipulation
Gather Victim Org Information Establish Accounts Forced Authentication Defacement
Phishing for Information Obtain Capabilities Forge Web Credentials Disk Wipe
Search Closed Sources Stage Capabilities Input Capture Endpoint Denial of Service
Search Open Technical Databases Modify Authentication Process Firmware Corruption
Search Open Websites/Domains Multi-Factor Authentication Interception Inhibit System Recovery
Search Victim-Owned Websites Multi-Factor Authentication Request Generation Network Denial of Service
Network Sniffing Resource Hijacking
OS Credential Dumping Service Stop
Steal Application Access Token System Shutdown/Reboot
Steal or Forge Authentication Certificates
Steal or Forge Kerberos Tickets
Steal Web Session Cookie
Unsecured Credentials

از آشنایی با شما خوشحالیم. 👋

برای باخبر شدن از آخرین خبرهای دنیای امنیت، لطفا در خبرنامه سیندادسک عضو شوید