记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

Talos揭露中国在线DDOS平台的崛起 | 歪果仁眼中的中国黑产一景

2017-08-16 20:00

在过去的几个月里,Talos发现中国网站上提供在线DDoS攻击服务的中国网站数量呈上升趋势。许多网站的布局和设计几乎完全相同:提供了一个简单的界面,用户可以在其中选择目标主机、端口、攻击方法和攻击时间。此外,这些网站大部分是在近六个月内注册的。然而,网站由不同名称的群体注册和运作,而且这些人之间也经常相互攻击。Talos试图对这些平台对创建者进行研究,并分析这种情势为何会迅速普及。

在这篇文章中,主要描述了中国的DDoS行业的概况以及正在发生的趋向于在线攻击平台的威胁景观,研究了最近创建的DDoS攻击平台的类型,并分析了它们之间的异同。另外,还研究了可能引发最近在这些新增的几乎相同的DDOS网站的源代码。

分析DDoS-as-a-Service在中国的威胁景观

DDOS工具和服务仍然是中国地下市场最受欢迎的产品之一。在一个受欢迎的论坛上(dute360?),提供了各种DDoS攻击相关的工具,包括实际的攻击工具以及相关工具(如暴力破解不同攻击向量的工具,包括SSH和RDP)。

此外,中国的社交媒体应用,如微信、QQ聊天记录也有数百个专注于DDOS攻击的群组,用于DDOS工具、恶意软件的交流和攻击目标的交换。在这些渠道中的活跃分子包括黑客组织的成员、客户以及充当中介的代理和广告商。

以前,这些聊天群组主要向用户提供可以购买并下载的黑客工具,购买之后可以在自己的机器上进行操作。例如下图中所示的“天罚DDoS windows/Linux集群压力测试系统”:

这类DDOS攻击工具能够管理和提供僵尸网络的信息,允许用户定制攻击事件、选择目标和攻击方法。用户可以购买该工具,下载一个副本,并用自己的服务器和僵尸网络使用它。偶尔,黑客组织也会购买服务器或特定数量的僵尸机器人捆绑在一起的工具套装,或者购买一些暴力破解工具用于扩大自己的僵尸网络,但是最终用户都会自己负责维护和部署这些工具。

在线DDoS平台的崛起

最近,Talos注意到这些群聊慢慢发生了转变,在线DDoS平台的广告推广开始更频繁地出现。

广告商推出“杀神”在线DDOS网站

对这些网站进行检查,Talos注意到,它们中间有许多具有相同的登录和注册页面,甚至连背景图像都一样:

此外,Talos还发现,许多网站上都使用了几乎相同的网站设计和布局,用来显示活跃用户和服务器的在线人数以及已进行的攻击总数(虽然这些数字在不同群体之间是不同的)。此外,这些站点提供来自组管理员最近更新工具的通知、功能介绍或使用限制等。在页面侧栏中,用户可以注册帐户,购买激活代码(激活之后才能发起攻击),通过图形界面或命令行的方式设置攻击目标并发起攻击:

http://website_name/api.php?username=&password=&host=&port=&time=&method=

杀神”和“王者”的UI界面几乎完全相同

除了设计和功能方面具有离奇的相似之处外,大部分网站的域名中都包含了“ddos”这个单词,如:“shashenddos.club” 或 “87ddos.cc”。因为这些网站都是最近注册的,除依靠从社交媒体群聊中获取的情报信息外,Talos还使用了Cisco Umbrella调查工具进行正则表达式搜索,检索出了最近注册的、域名中包含“ddos”的站点。结合这些搜索方法,Talos识别出了32个几乎相同的线上DDoS平台网站(实际上可能还存在更多,因为并不是所有的在线DDos网站的域名都包含了“ddos”)。

因为网页的相似性,以及同一群组中的一洗二注册了多个站点的事实,最初我们怀疑可能有一个黑客或黑客组织对所有站点负责,只是使用了不同的别名进行操作。为了验证我们的猜测,我们在每个站点注册了一个帐户,并检查了每个站点的注册信息。

得出的结论使我们很快修改了一个黑客或黑客组织主导的想法。在不同站点注册了账户之后,我们注意到许多站点使用了不同的第三方支付途径,供用户购买激活码(大多数的定价是 20元/天、400元/月);页面上的公告显示这些DDoS工具的能力不同(有一些宣传能打30-80gbps,有一些宣传能打300Gbps);页面上预留的联系信息也不同,包括客户服务的各种QQ号以及供互动交流的QQ群聊号码;攻击和用户数量方面也存在巨大差异,例如站点www[.]dk[.]ps88[.]org的页面上显示有 168,423次攻击,在线用户44238个;另一个站点www[.]pc4[.]tw上显示有24个攻击,在线用户13个。

此外,各个网站的注册信息也有差异。大多数的网站的注册人姓名、电子邮件和注册时间都不同。不过也有一些相同之处:几乎所有的站点都使用中文注册,大部分是在过去3个月内注册的,几乎所有的站点都在过去一年内注册的。另外,超过一半的站点托管在Cloudflare上。

Talos在监测某个QQ群聊组(隶属于“王者DDoS平台”)时发现,“王者”的成员要求攻击另外一个竞争对手“87 DDoS”平台。Talos在两个同台都注册了账户,由此确认,这些网站背后由不同的人在操控。

Talos加入许多这样的聊天平台,观察到的这些DDoS的讨论组经常会讨论向其他竞争对手发起DDOS攻击。事实上,从这些在线DDoS攻击平台的网站流量监控来看,他们确实可能已经经历了DDoS攻击。

深入幕后

有强烈的迹象表明,多个组织正在构建几乎相同的在线DDoS平台,但仍然不清楚他们为什么使用相同的布局,或者为什么都在最近这段时间开始出现。当我们试图挖掘这些问题背后的原因时,一个攻击者在一个由黑客组织运行的群聊组中张贴了他的在线DDoS平台的管理页面截图:

屏幕截图显示了一个设置页面,管理员可以设置站点名称、网站说明、服务条款和URL链接等选项。这个截图的信息丰富,为我们提供了更多的分析途径。首先我们注意到了左上角的“Gemini”标识;其次,注意到了URL地址栏中的“/yolo/admin/settings”信息;最后,注意到了在设置页面底部有一个单选按钮,管理员可以选择“CloudFlare模式”,它告诉我们为什么许多网站被托管在Cloudflare IPs。

寻找和分析源代码

我们现在有一种预感,这些几乎相同的网站的兴起是由于某种共享的源代码,这可能是在中国地下黑客论坛和市场上公开提供的。我们去了几个地下论坛,并搜索“/yolo/admin/settings”关键字,发现有几个论坛张贴了出售一个在线DDOS平台源代码的帖子,确认这份源代码来源于一个国外的DDoS平台,但是已经被翻译成中文了。

许多帖子是在2017年初或2016年底发布的,与DDoS攻击平台的上升时间一致。帖子里张贴的广告图片和我们看到的网站模版一模一样:

*这份DDoS平台源代码的介绍中写着:“这是一个外国的DDoS攻击平台的源代码,已经汉化了,如果想要创建一个DDoS攻击平台的话,欢迎大家来试用”。设置面板看起来与QQ截图中的很相似,包括“Gemini”符号。

Talos获得到了一份源代码,并对它进行了分析。很明显,源代码与之前观察到的DDoS站点相一致,网站使用的PHP文件包括图标都能匹配上。此外,大多数网站使用的背景图片也在图片文件夹中找到了:

源代码显示平台使用了Bootstrap前端框架,利用Ajax加载内容。在CSS文件中我们发现了一个作者名称:Pixelcave。分析Pixelcave,发现他们提供的基于Bootstrap的网站设计与我们之前检测的在线DDoS网站很相似。我们也注意到,Pixelcave的Logo存在于许多的在线DDoS平台页面上,它是分析的源代码中的一个图标:

Pixelcave的Logo

分析源代码可知,该平台使用MySQL数据库,能够从中提取信息并评估用户的等级(即攻击的数量、攻击持续时间、根据用户支付金额对应了不同的并行攻击数量)。它允许用户输入一个目标主机、选择攻击的方法(如:NTP,L7)和持续时间。如果平台支持用户选定的方法、攻击目标未被列入黑名单,那么平台就会调用服务器开始执行攻击。

有趣的是,源代码显示,里边有一份黑名单(不能被攻击的站点的列表),其中包括“政府”和“教育”网站(“.gov” 、 “.edu”),不过这些黑名单列表显然是可以被修改的。此外,它提供了一个预装的服务条款(普通话),声明网站管理员不为用户的任何“非法”行为承担任何责任,并声称其提供的服务只是出于测试的目的。

另外,代码中还包括了一些管理员的管理功能,如允许管理员监控付款、罚单、登录人数和攻击总数的概览,以及攻击的细节信息(如主机的细节、攻击的持续时间和正在进行攻击的服务器)。管理员还可以创建一个激活码系统。

很明显,源代码最初是用英文写的,但经过了修改,最终平台将显示中文图形。最初的源代码中为管理员提供了支付功能(如Paypal和Bitcoin),汉化之后的代码中把它们修改成了了中国本地的第三方支付系统,如Alipay等。事实上在一个图像文件夹中,一个PayPal的图标被替换成了支付宝的图标。

截止本文发表时,还不清楚原始源代码的来源。不过我们知道有几个英语网站提供在线DDoS服务,如DataBooter。这些网站与中国的在线DDoS平台有相似之处。例如,它们有一个引导用户托管到CloudFlare的设置选项,展示攻击数量、用户的服务器在线数的方式也类似。

databooter [.] COM的布局与中国的在线DDoS平台类似

Talos观察到,在过去的几年中,有人在黑客论坛上出售这类英文版的DDoS平台的源代码。可能是有中国的攻击者获取到了这份源代码,并对它进行了汉化,以便于中国消费者使用。对此我们还没有找到直接证据。

结论

最近中国在线DDoS平台的崛起,似乎与中国黑客论坛出售的站点源代码有关。这份源代码最初是英文的,为便于中国用户使用,被汉化了。

在线DDOS平台在中国地下市场和黑客论坛仍然非常流行,因为它们简单易用,直接为客户提供了所有必要的基础设施。用户没有必要建立自己的僵尸网络或购买额外的服务,相反,只需要通过站点提供的支付系统购买一个激活码,就可以开始攻击活动。这类DDoS即服务平台的流行,使得新手也能够发起强大的攻击,一切都取决于DDoS平台操控者的后端基础设施的能力。

Talos将继续监视中国黑客论坛和社交媒体群聊组,观察这些新建的在线DDoS平台的情况以及中国DDoS行业的发展趋势。

IOCs

www[.]794ddos[.]cn
www[.]dk.ps88[.]org
www[.]tmddos[.]top
www[.]wm-ddos[.]win
www[.]tc4[.]pw
www[.]hkddos[.]cn
www[.]ppddos[.]club
www[.]lnddos[.]cn
www[.]711ddos[.]cn
www[.]830ddos[.]top
www[.]bbddos[.]com
www[.]941ddos[.]club
www[.]123ddos[.]net
www[.]the-dos[.]com
www[.]etddos[.]cn
www[.]jtddos[.]me
www[.]ccddos[.]ml
www[.]87ddos[.]cc
www[.]ddos[.]cx
www[.]hackdd[.]cn
www[.]shashenddos[.]club
www[.]minddos[.]club
www[.]caihongtangddos[.]cn
www[.]zfxcb[.]top
www[.]91moyu[.]top
www[.]xcbzy[.]club
www[.]this-ddos[.]cn
www[.]aaajb[.]top
www[.]ddos[.]qv5[.]pw
www[.]tdddos[.]com
www[.]ddos[.]blue

IPs

104[.]18.54.93
104[.]18.40.150
115[.]159.30.202
104[.]27.161.160
104[.]27.174.49
104[.]27.128.111
144[.]217.162.94
104[.]27.130.205
103[.]255.237.138
45[.]76.202.77
104[.]27.177.67
104[.]31.86.177
103[.]42.212.68
142[.]4.210.15
104[.]18.33.110
104[.]27.154.16
104[.]27.137.58
23[.]230.235.62
104[.]18.42.18
162[.]251.93.27
104[.]18.62.202
104[.]24.117.44
104[.]28.4.180
104[.]31.76.30


知识来源: www.mottoin.com/104881.html

阅读:191150 | 评论:0 | 标签:安全报告 ddos

想收藏或者和大家分享这篇好文章→复制链接地址

“Talos揭露中国在线DDOS平台的崛起 | 歪果仁眼中的中国黑产一景”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

ADS

标签云