在本文中,筆者從我國的ddos黑産着手,闡述ddos服務向線上平台的轉變,然後介紹最近建立的ddos平台的類型,突出他們的相似之處和不同之處。最後,我們将分析造成幾乎雷同的ddos網站的近期增長的主要原因——源代碼。
ddos工具和服務仍是中國地下黑市上最受歡迎的服務。大家對我國最流行的一個黑市,dute,進行了調查,發現該黑市上出售各種ddos工具,包括實用的攻擊工具及相關工具,如利用不同方式(包括ssh和rdp)的暴力破解工具。
此外,中國的社交媒體應用,如微信和qq存在數百個群組,專門用于開展有關ddos組織、工具、惡意軟體和攻擊目标方面的交流。黑客團夥成員以及充當中間人的代理商和廣告商均可參與群組互動。
之前,此類群聊提供的主要服務是攻擊工具,使用者可購買、下載下傳并在自己的機器上運作這些工具。天罰壓力測試系統就是此類工具中一個很好的執行個體。
天罰 ddos工具
這些工具會管理使用者的僵屍網絡管理并提供相關資訊,允許使用者自定義攻擊事件和選擇攻擊目标和攻擊方法。使用者可購買該工具、下載下傳副本,将該工具與伺服器和僵屍網絡配合使用。黑客團夥偶爾也會将伺服器或一定數量的僵屍機器綁定出售,或提供暴力破解工具,幫助使用者擴建僵屍網絡,但終端使用者會維護和部署工具。
最近,talos發現群聊的模式正在發生轉變。線上ddos平台上開始越來越頻繁地彈出廣告。
廣告商宣傳線上ddos網站——殺神
talos對多個此類網站進行了調查,發現它們的登陸和注冊頁面以及背景圖檔均相同。
此外,talos還發現很多網站的設計和布局幾乎雷同,它們都展示了活躍使用者和線上伺服器的數量以及已發動攻擊的總數(盡管這些數量因攻擊組織而異)。此外,這些網站上還顯示攻擊組織的管理者釋出的有關工具的最新更新、功能或使用限制的通告。在網站側欄,使用者還可注冊、購買激活碼,通過網站的圖形接口或類似以下的指令行調用對攻擊目标發動攻擊:
殺神 ddos組織和王者安全 ddos組織的網站采用幾乎雷同的網站布局
除了在設計和功能方面存在不可思議的相似之處,大多數網站的域名都帶有“ddos”,如“shashenddos.club”或“87ddos.cc.”。由于這些網站都是近期注冊的,除了基于中文媒體提供的情報,talos還可利用cisco umbrella的檢查工具搜尋包含“ddos”的最近注冊域名來識别新網站。通過結合使用這些搜尋方法,talos已發現32個幾乎雷同的中文線上ddos網站(可能不止這些,因為并非所有此類網站的域名中都包含“ddos”)。
由于這些網站的頁面大同小異且有些個人為同一攻擊組織注冊了多個網站,我們推測這些網站可能隸屬于同一攻擊組織,該組織隻是通過不同别名營運這些網站。為了驗證這一結論,我們在每個網站上都注冊了域名,而且利用cisco umbrella的檢查工具檢查了每個站點的注冊資訊。
我們很快對這一理論進行了修正。在多個網站上注冊賬戶後,我們發現很多網站與第三方中文支付網站合作,使用者可通過這些網站購買激活碼(一般來說,代碼日租費約為20元,而月租費約為400美元)。而且,網站上釋出的通告列出各種工具功能(稱有的工具提供30–80 gbps攻擊能力,而有的攻擊可發起高達300 gbps的攻擊)和各種聯系資訊,包括提供客戶服務的qq賬号和供客戶和管理者進行溝通的群組賬号。不同頁面在攻擊和使用者數量方面差異也很大,例如一個頁面(www[.]dk[.]ps88[.]org)顯示44,238個使用者發動了168,423次攻擊,另一個頁面(www[.]pc4[.]tw)表明13個使用者發動了24次攻擊。
talos對一個稱為王者安全的ddos線上平台關聯的qq群聊頻道進行監控後得出了最終結論,即這些網站背後有多個攻擊組織。我們發現一個組織成員請求對有競争關系的另一個ddos線上組織,87 ddos,發動了攻擊。其實,我們在87 ddos網站上已注冊了賬戶。
王者安全群聊成員請求發起針對對手網站的線上ddos攻擊
talos參與了很多與線上ddos平台有關的群聊,發現多名成員都在讨論發起針對對手群的ddos攻擊。事實上,這些線上ddos網站的流量表明他們可能經曆了ddos攻擊。
87個ddos網站流量峰值出現在2017年7月1日
種種迹象表明,多個團隊都在建構幾乎相同的線上ddos平台,但尚不了解他們為什麼使用相同的布局,又為什麼都在近期開始出現。中國黑客團隊聊天群中的一位攻擊者貼出了其線上ddos平台的管理頁面截圖,随後我們開始深入了解這些問題背後的故事:
一位攻擊者貼出其線上ddos平台的管理面闆截圖
螢幕截圖中為設定頁面。在該頁面中,攻擊者可選擇站點名稱、輸入描述,并輸入服務條款連結和url連結。我們注意到幾項有趣的選項,這為研究提供了更多的管道。首先,我們注意到右上角的“gemini”。其次,我們注意到唯一url“/yolo/admin/settings.”。最後,我們還注意到截屏底部的按鈕,管理者可選擇“cloudflare模式”,表示托管在cloudflare ip上的網站個數。
我們現在有這樣一種預感:這些幾乎相同的網站的興起是因為某種可能由中國地下黑客論壇和市場提供的共享源代碼。我們浏覽了幾個論壇,搜尋截圖中的“/yolo/admin/settings”url。我們發現多個論壇文章都在銷售線上ddos平台的源代碼,該平台是一個已經漢化的海外ddos平台。
(小編:一個論壇的朋友id 倒念 在8月初發現源代碼api中存在通殺漏洞,影響大多數ddos平台, 這就意味着使用ddos平台的攻擊者仍然可能被利用。 相關描述如下 漏洞位址api/api.php api.php這個檔案 調用了api/api.php這個檔案。雖然 這套程式 采用了pdo進行預編譯來防止sql注入漏洞 但是百密一疏,還是讓我挖到了一個注入漏洞,可以随便借用别人的流量來攻擊網站。 <注入點> 這裡并不是預編譯,而是直接執行sql語句,再加上大多數平台是php 5.2而且并沒有開啟gpc導緻這個漏洞在各大ddos平台都可以利用 )
很多文章的時間都是2017年初或2016年底,這正是ddos平台興起的時間。廣告中的圖檔和我們看到的網站一模一樣:
ddos平台廣告源代碼示例。說明上寫着:“這是國外的一款ddos平台源碼,已經漢化,大家如果有想開ddos平台的話可以試試。” 請注意設計和設定面闆,與攻擊者在qq頻道上釋出的截圖類似,并包括右上角的“gemini”。
talos能夠擷取源代碼副本并加以分析。顯然,源代碼與我們觀察的ddos網站相對應。php檔案包含與網站上比對的圖示。另外,在圖檔檔案夾中還找到了大部分網站所使用的背景:
源代碼顯示,該平台依賴bootstrap前端設計和ajax來加載内容。在css檔案中,我們發現作者名為pixelcave。通過研究pixelcave,我們發現他們提供了基于bootstrap的網站設計,這與我們檢查過的中國ddos網站非常相似。我們還注意到,pixelcave标志出現在很多ddos網站的右上角,并且在源代碼中作為一個圖示出現。
出現在所有已發現ddos網站中的pixelcave标志
根據源代碼,該平台具有從mysql資料庫中提取資訊并評估使用者身份(即攻擊數量、攻擊持續時間和根據使用者付款允許的并發攻擊次數)的功能。然後允許使用者輸入主機名并選擇攻擊方法(如ntp和l7)和攻擊持續時間。若攻擊者支援該攻擊方法且攻擊目标未被列入黑名單,則可以調用伺服器開始執行攻擊。
有趣的是,源代碼為不能被攻擊的站點提供了黑名單,其中包括“.gov”和“.edu”網站,盡管這些網站可以被明顯修改。此外,源代碼還有預裝的服務條款(中文版),免除管理者對“非法”行為的責任,聲稱其服務隻是為了測試。
源代碼還允許管理者監控付款、未達賬及登入和攻擊總數,并詳細介紹主機、攻擊持續時間和發起攻擊的伺服器。管理者還可以設定代碼激活系統。
很明顯,源代碼最初是用英文編寫的,但經修改後,最終平台将顯示中文圖檔(如廣告所示)。源代碼還提供了管理者通過paypal和比特币建立支付系統的選項。我國攻擊者很可能會将其轉換為中文支付系統,如第三方支付網站或支付寶。事實上,圖檔檔案夾中的paypal圖示已被修改成類似支付寶的圖示。
至截稿時止,尚不清楚原始代碼來自何處。然後,有多個英文網站可提供線上ddos服務,如databooter工具。這些網站與中文ddos平台有些相似。例如,基于bootstrap的設計托管在cloudflare上,其中有類似的圖形表達攻擊次數、使用者數量、線上伺服器數量。
databooter[.]com的布局
在某種程度上,該布局與中國線上ddos網站有相似之處。
talos發現,在過去幾年,攻擊者在黑客論壇上出售這些英文ddos平台的源代碼。在擷取源代碼或基于此的代碼後,我國攻擊者可能會稍作修改并為我國消費者實作本地化,但還沒有找到這方面的直接證據。
最近中文線上ddos平台的出現似乎與我國黑客論壇上出售的源代碼有關。這些源代碼似乎是一種本地化代碼,起初是為英文線上開機程式編寫的。
由于接口簡單易用并為使用者提供了所有必要的基礎設施,線上ddos平台仍然大受歡迎,是以不需要建構僵屍網絡或購買額外服務。相反,使用者可通過受信支付站點購買激活代碼,然後侵入攻擊目标。這樣,即便新手攻擊者也能發起強大的攻擊,這取決于ddos群組的後端基礎設施強度。
talos将繼續監控我國黑客論壇、關于線上中文ddos平台的建立聊天群,以及我國ddos産業的新趨勢。
ioc :
www[.]794ddos[.]cn
www[.]dk.ps88[.]org
www[.]tmddos[.]top
www[.]wm-ddos[.]win
www[.]tc4[.]pw
www[.]hkddos[.]cn
www[.]ppddos[.]club
www[.]lnddos[.]cn
www[.]711ddos[.]cn
www[.]830ddos[.]top
www[.]bbddos[.]com
www[.]941ddos[.]club
www[.]123ddos[.]net
www[.]the-dos[.]com
www[.]etddos[.]cn
www[.]jtddos[.]me
www[.]ccddos[.]ml
www[.]87ddos[.]cc
www[.]ddos[.]cx
www[.]hackdd[.]cn
www[.]shashenddos[.]club
www[.]minddos[.]club
www[.]caihongtangddos[.]cn
www[.]zfxcb[.]top
www[.]91moyu[.]top
www[.]xcbzy[.]club
www[.]this-ddos[.]cn
www[.]aaajb[.]top
www[.]ddos[.]qv5[.]pw
www[.]tdddos[.]com
www[.]ddos[.]blue
104[.]18.54.93
104[.]18.40.150
115[.]159.30.202
104[.]27.161.160
104[.]27.174.49
104[.]27.128.111
144[.]217.162.94
104[.]27.130.205
103[.]255.237.138
45[.]76.202.77
104[.]27.177.67
104[.]31.86.177
103[.]42.212.68
142[.]4.210.15
104[.]18.33.110
104[.]27.154.16
104[.]27.137.58
23[.]230.235.62
104[.]18.42.18
162[.]251.93.27
104[.]18.62.202
104[.]24.117.44
104[.]28.4.180
104[.]31.76.30
原文釋出時間:2017年8月17日
本文由:talos釋出,版權歸屬于原作者
本文來自雲栖社群合作夥伴安全加,了解相關資訊可以關注安全加網站