在过去的几个月里, Talos实验室 发现提供在线 DDoS即服务 的中文网站数量有所上涨。很多网站采用几乎雷同的布局和设计,提供简单接口供用户选择攻击目标的主机、端口、攻击方法和持续时间。此外,大多数这些网站是在最近6个月内注册的。不过,这些网站由不同组织运营,拥有不同注册用户。此外,Talos还发现这些网站的管理员之间还互相攻击。Talos希望能摸清创建这些平台的攻击者,并分析这些平台最近更为流行的原因。
在本文中,笔者从我国的DDoS黑产着手,阐述DDoS服务向在线平台的转变,然后介绍最近创建的DDoS平台的类型,突出他们的相似之处和不同之处。最后,我们将分析造成几乎雷同的DDoS网站的近期增长的主要原因——源代码。
我国的DDoS即服务黑市
DDoS工具和服务仍是中国地下黑市上最受欢迎的服务。大家对我国最流行的一个黑市,DuTe,进行了调查,发现该黑市上出售各种DDoS工具,包括实用的攻击工具及相关工具,如利用不同方式(包括SSH和RDP)的暴力破解工具。
此外,中国的社交媒体应用,如微信和QQ存在数百个群组,专门用于开展有关DDoS组织、工具、恶意软件和攻击目标方面的交流。黑客团伙成员以及充当中间人的代理商和广告商均可参与群组互动。
之前,此类群聊提供的主要服务是攻击工具,用户可购买、下载并在自己的机器上运行这些工具。天罚压力测试系统就是此类工具中一个很好的实例。
天罚 DDoS工具
这些工具会管理用户的僵尸网络管理并提供相关信息,允许用户自定义攻击事件和选择攻击目标和攻击方法。用户可购买该工具、下载副本,将该工具与服务器和僵尸网络配合使用。黑客团伙偶尔也会将服务器或一定数量的僵尸机器绑定出售,或提供暴力破解工具,帮助用户扩建僵尸网络,但终端用户会维护和部署工具。
在线DDoS平台正在崛起
最近,Talos发现群聊的模式正在发生转变。在线DDoS平台上开始越来越频繁地弹出广告。
广告商宣传在线DDoS网站——杀神
Talos对多个此类网站进行了调查,发现它们的登陆和注册页面以及背景图片均相同。
此外,Talos还发现很多网站的设计和布局几乎雷同,它们都展示了活跃用户和在线服务器的数量以及已发动攻击的总数(尽管这些数量因攻击组织而异)。此外,这些网站上还显示攻击组织的管理员发布的有关工具的最新更新、功能或使用限制的通告。在网站侧栏,用户还可注册、购买激活码,通过网站的图形接口或类似以下的命令行调用对攻击目标发动攻击:
http://website_name/api.php?username=&password=&host=&port=&time=&method =
杀神 DDoS组织和王者安全 DDoS组织的网站采用几乎雷同的网站布局
除了在设计和功能方面存在不可思议的相似之处,大多数网站的域名都带有“ddos”,如“shashenddos.club”或“87ddos.cc.”。由于这些网站都是近期注册的,除了基于中文媒体提供的情报,Talos还可利用Cisco Umbrella的检查工具搜索包含“ddos”的最近注册域名来识别新网站。通过结合使用这些搜索方法,Talos已发现32个几乎雷同的中文在线DDoS网站(可能不止这些,因为并非所有此类网站的域名中都包含“ddos”)。
由于这些网站的页面大同小异且有些个人为同一攻击组织注册了多个网站,我们推测这些网站可能隶属于同一攻击组织,该组织只是通过不同别名运营这些网站。为了验证这一结论,我们在每个网站上都注册了域名,而且利用Cisco Umbrella的检查工具检查了每个站点的注册信息。
我们很快对这一理论进行了修正。在多个网站上注册账户后,我们发现很多网站与第三方中文支付网站合作,用户可通过这些网站购买激活码(一般来说,代码日租费约为20元,而月租费约为400美元)。而且,网站上发布的通告列出各种工具功能(称有的工具提供30–80 Gbps攻击能力,而有的攻击可发起高达300 Gbps的攻击)和各种联系信息,包括提供客户服务的QQ账号和供客户和管理员进行沟通的群组账号。不同页面在攻击和用户数量方面差异也很大,例如一个页面(www[.]dk[.]ps88[.]org)显示44,238个用户发动了168,423次攻击,另一个页面(www[.]pc4[.]tw)表明13个用户发动了24次攻击。
此外,网站的注册信息也反映出关键差别。对于大多数网站来说,注册用户和邮箱均有差异,且注册商也不同。不过,这些网站也有相似之处: 几乎所有网站均使用中国注册商,大多在近三个月内注册,而且几乎所有网站都在近一年内注册。并且,超过半数的网站的IP地址均来自 Cloudflare 。
Talos对一个称为王者安全的DDoS在线平台关联的QQ群聊频道进行监控后得出了最终结论,即这些网站背后有多个攻击组织。我们发现一个组织成员请求对有竞争关系的另一个DDoS在线组织,87 DDoS,发动了攻击。其实,我们在87 DDoS网站上已注册了账户。
王者安全群聊成员请求发起针对对手网站的在线DDoS攻击
Talos参与了很多与在线DDoS平台有关的群聊,发现多名成员都在讨论发起针对对手群的DDoS攻击。事实上,这些在线DDoS网站的流量表明他们可能经历了DDoS攻击。
87个DDoS网站流量峰值出现在2017年7月1日
大多数DDoS平台长的都很像 为什么?
种种迹象表明,多个团队都在构建几乎相同的在线DDoS平台,但尚不了解他们为什么使用相同的布局,又为什么都在近期开始出现。中国黑客团队聊天群中的一位攻击者贴出了其在线DDoS平台的管理页面截图,随后我们开始深入了解这些问题背后的故事:
一位攻击者贴出其在线DDoS平台的管理面板截图
屏幕截图中为设置页面。在该页面中,攻击者可选择站点名称、输入描述,并输入服务条款链接和URL链接。我们注意到几项有趣的选项,这为研究提供了更多的渠道。首先,我们注意到右上角的“Gemini”。其次,我们注意到唯一URL“/yolo/admin/settings.”。最后,我们还注意到截屏底部的按钮,管理员可选择“CloudFlare模式”,表示托管在Cloudflare IP上的网站个数。
黑市中DDoS源代码是促动DDoS平台发展的原动力
我们现在有这样一种预感:这些几乎相同的网站的兴起是因为某种可能由中国地下黑客论坛和市场提供的共享源代码。我们浏览了几个论坛,搜索截图中的“/yolo/admin/settings”URL。我们发现多个论坛帖子都在销售在线DDoS平台的源代码,该平台是一个已经汉化的海外DDoS平台。
(小编:一个论坛的朋友ID 倒念 在8月初发现源代码API中存在通杀漏洞,影响大多数DDoS平台, 这就意味着使用DDoS平台的攻击者仍然可能被利用。 相关描述如下
漏洞地址api/api.php api.php这个文件 调用了api/api.php这个文件。虽然 这套程序 采用了Pdo进行预编译来防止SQL注入漏洞 但是百密一疏,还是让我挖到了一个注入漏洞,可以随便借用别人的流量来攻击网站。
<注入点> 这里并不是预编译,而是直接执行sql语句,再加上大多数平台是PHP 5.2而且并没有开启Gpc导致这个漏洞在各大Ddos平台都可以利用 )
很多帖子的时间都是2017年初或2016年底,这正是DDoS平台兴起的时间。广告中的图片和我们看到的网站一模一样:
DDoS平台广告源代码示例。说明上写着:“这是国外的一款DDoS平台源码,已经汉化,大家如果有想开DDoS平台的话可以试试。” 请注意设计和设置面板,与攻击者在QQ频道上发布的截图类似,并包括右上角的“Gemini”。
Talos能够获取源代码副本并加以分析。显然,源代码与我们观察的DDoS网站相对应。PHP文件包含与网站上匹配的图标。另外,在图片文件夹中还找到了大部分网站所使用的背景:
源代码显示,该平台依赖Bootstrap前端设计和ajax来加载内容。在CSS文件中,我们发现作者名为Pixelcave。通过研究Pixelcave,我们发现他们提供了基于Bootstrap的网站设计,这与我们检查过的中国DDoS网站非常相似。我们还注意到,Pixelcave标志出现在很多DDoS网站的右上角,并且在源代码中作为一个图标出现。
出现在所有已发现DDoS网站中的Pixelcave标志
根据源代码,该平台具有从MySQL数据库中提取信息并评估用户身份(即攻击数量、攻击持续时间和根据用户付款允许的并发攻击次数)的功能。然后允许用户输入主机名并选择攻击方法(如NTP和L7)和攻击持续时间。若攻击者支持该攻击方法且攻击目标未被列入黑名单,则可以调用服务器开始执行攻击。
有趣的是,源代码为不能被攻击的站点提供了黑名单,其中包括“.gov”和“.edu”网站,尽管这些网站可以被明显修改。此外,源代码还有预装的服务条款(中文版),免除管理员对“非法”行为的责任,声称其服务只是为了测试。
源代码还允许管理员监控付款、未达账及登录和攻击总数,并详细介绍主机、攻击持续时间和发起攻击的服务器。管理员还可以设置代码激活系统。
很明显,源代码最初是用英文编写的,但经修改后,最终平台将显示中文图片(如广告所示)。源代码还提供了管理员通过Paypal和比特币建立支付系统的选项。我国攻击者很可能会将其转换为中文支付系统,如第三方支付网站或支付宝。事实上,图片文件夹中的Paypal图标已被修改成类似支付宝的图标。
至截稿时止,尚不清楚原始代码来自何处。然后,有多个英文网站可提供在线DDoS服务,如DataBooter工具。这些网站与中文DDoS平台有些相似。例如,基于bootstrap的设计托管在CloudFlare上,其中有类似的图形表达攻击次数、用户数量、在线服务器数量。
databooter[.]com的布局
在某种程度上,该布局与中国在线DDoS网站有相似之处。
Talos发现,在过去几年,攻击者在黑客论坛上出售这些英文DDoS平台的源代码。在获取源代码或基于此的代码后,我国攻击者可能会稍作修改并为我国消费者实现本地化,但还没有找到这方面的直接证据。
结论
最近中文在线DDoS平台的出现似乎与我国黑客论坛上出售的源代码有关。这些源代码似乎是一种本地化代码,起初是为英文在线开机程序编写的。
由于接口简单易用并为用户提供了所有必要的基础设施,在线DDoS平台仍然大受欢迎,因此不需要构建僵尸网络或购买额外服务。相反,用户可通过受信支付站点购买激活代码,然后侵入攻击目标。这样,即便新手攻击者也能发起强大的攻击,这取决于DDoS群组的后端基础设施强度。
Talos将继续监控我国黑客论坛、关于在线中文DDoS平台的新建聊天群,以及我国DDoS产业的新趋势。
IOC :
在线DDoS网站
- www[.]794ddos[.]cn
- www[.]dk.ps88[.]org
- www[.]tmddos[.]top
- www[.]wm-ddos[.]win
- www[.]tc4[.]pw
- www[.]hkddos[.]cn
- www[.]ppddos[.]club
- www[.]lnddos[.]cn
- www[.]711ddos[.]cn
- www[.]830ddos[.]top
- www[.]bbddos[.]com
- www[.]941ddos[.]club
- www[.]123ddos[.]net
- www[.]the-dos[.]com
- www[.]etddos[.]cn
- www[.]jtddos[.]me
- www[.]ccddos[.]ml
- www[.]87ddos[.]cc
- www[.]ddos[.]cx
- www[.]hackdd[.]cn
- www[.]shashenddos[.]club
- www[.]minddos[.]club
- www[.]caihongtangddos[.]cn
- www[.]zfxcb[.]top
- www[.]91moyu[.]top
- www[.]xcbzy[.]club
- www[.]this-ddos[.]cn
- www[.]aaajb[.]top
- www[.]ddos[.]qv5[.]pw
- www[.]tdddos[.]com
- www[.]ddos[.]blue
IPs
- 104[.]18.54.93
- 104[.]18.40.150
- 115[.]159.30.202
- 104[.]27.161.160
- 104[.]27.174.49
- 104[.]27.128.111
- 144[.]217.162.94
- 104[.]27.130.205
- 103[.]255.237.138
- 45[.]76.202.77
- 104[.]27.177.67
- 104[.]31.86.177
- 103[.]42.212.68
- 142[.]4.210.15
- 104[.]18.33.110
- 104[.]27.154.16
- 104[.]27.137.58
- 23[.]230.235.62
- 104[.]18.42.18
- 162[.]251.93.27
- 104[.]18.62.202
- 104[.]24.117.44
- 104[.]28.4.180
- 104[.]31.76.30
