导语:思科Talos团队观察到提供在线DDoS服务的中国网站数量在激增,而且其中许多网站的站内布局和设计都一模一样,比如都提供了一个用户选择目标主机,端口,攻击方法和攻击持续时间的简单界面。

u=4103321289,2711942892&fm=26&gp=0.jpg

在过去几个月中,思科Talos团队观察到提供在线DDoS服务的中国网站数量在激增,而且其中许多网站的站内布局和设计都一模一样,比如都提供了一个用户选择目标主机,端口,攻击方法和攻击持续时间的简单界面。此外,大多数网站都是在过去六个月内注册的。但是,这些网站是以不同的组名运营的,并且注册人也不同,Talo还观察到这些网站的管理员竟然还相互发动攻击。  

在本文中,Talos团队试图找到中国的DDoS行业兴起的原因,并对未来的发展趋势做个估计。Talos团队将会对最近创建的DDoS平台类型进行统计和监测,并分析它们的相似之处和差异。最后,再对几乎相同的DDoS网站的源代码进行深入研究。

DDoS即服务在中国

目前,DDoS工具和服务仍然是中国地下黑市中最受欢迎的产品之一。根据Talos团队的统计,目前“独特”社区是中国最受欢迎的黑客论坛及交易平台之一,该平台会介绍各种DDoS相关工具,包括实际的攻击工具,以及相关的工具,例如用于不同攻击向量(包括SSH和RDP)的暴力破解器。

1502958559367778.jpg

另外,中国的社交媒体应用如WeChat,QQ等都有数百个DDoS群聊组,专门用于介绍和销售各种相关的工具、恶意软件和攻击目标。这些群聊组的人可以分为三大类:黑客群体、意向购买客户以及各种攻击工具的代理商和广告商。

以前,群聊中的主要产品都是一些让用户进行下载并安装的工具,否则无法进行操,比如,天罚DDOS压力测试系统

1.png

这些工具管理和提供有关客户所需的僵尸网络的信息,然后允许用户自定义攻击事件,选择目标并选择攻击方法。用户可以购买该工具,下载副本,并使用自己的服务器和僵尸网络。偶尔,黑客团体还会为客户捆绑一些服务器或一定数量的木马或包括强制性的工具来帮助用户增长自己的僵尸网络,但工具的维护最终还是得靠用户自己。

在线DDoS平台在中国的兴起

最近,Talos已经注意到小组聊天中正在逐渐发生变化。在线DDoS平台的广告已经开始出现且出现的频率较高,下图就是“杀神”在线DDoS网站的宣传广告:

2.png

在监控了其中几个网站后,Talos注意到许多网站具有相同的登录和注册页面,同样的背景图片:

3.png

4.png

此外,Talos还观察到,这些网站中有许多网站设计和布局几乎相同,显示了在线活动用户和服务器的数量以及已执行的攻击总数(尽管这些数字在不同组之间有所不同)。此外,这些站点还包含组管理员关于该工具的最新更新,比如功能或使用限制的通知。用户只需要注册一个帐户,购买激活码即可开始发起攻击,然后通过网站上设置的界面或通过相同的命令行调用来攻击目标,方法如下:

http://website_name/api.php?username=&password=&host=&port=&time=&method=

5.png

6.png

从以上两幅图可以看出,“杀神”在线DDoS网站和王者DDoS的网站布局几乎一模一样。除了设计和功能方面的惊人相似之外,大多数网站在其域名中都有“ddos”,即“shashenddos.club”或“87ddos.cc”。由于这些网站都是最近才注册的,除了通过智能搜索在中国社交媒体来发现这些ddos域名外,Talos团队通过使用Cisco Umbrella对新注册网站但还未公开的网站进行了检测,检测方法是通过包含有“ddos”字串的正则表达式对最近注册的域名进行搜索。使用这些搜索方法,Talos已经识别了32个几乎完全相同的中文在线DDoS网站(可能还有更多的网站),因为并不是所有的域名都有“ddos” 字串。

由于页面的相似之处,以及一些个人为同一个群体注册了许多站点,Talos团队最初怀疑所有网站都是由一位开发者运营的,只不过用的域名不一样而已。为了验证这个猜测,Talos团队在每个站点注册了一个帐户,并且还使用Cisco Umbrella的调查工具来检查每个站点的注册信息。

不过事实推翻了研究人员的最初猜测,在各个网站注册账号后,研究人员注意到有许多用户可以通过不同的第三方中文支付网站购买激活码(价格从20元左右到400元左右)。此外,这些网站页面上的公告也显示了不同的工具功能(一些工具的攻击强度为30-80gbps,而有一些则高达300gbps),以及不同的联系人信息,包括用于客户服务的各种QQ帐户以及客服联系方式。另外,还有一个网站的页面www.dk.ps88.Org,它列出了44538位用户,而另外一个网站的页面www.pc4.Tw则列出了13个用户发起的24次攻击。

此外,网站的注册信息也揭示了其中最主要的差异。大多数网站有不同的注册人姓名和电子邮件,以及不同的注册商。但也有一些相似之处,几乎所有人都是中国注册商,其中大多数是在过去3个月内注册的,且几乎全部都是在过去一年里登记的。另外,一半以上的注册商都是在Cloudflare IP上托管的。

所以经过各方面对比,Talos团队最后确认,这些相似的网站背后的运营者是不同的,当研究人员在监视王者在线DDoS平台的QQ群聊聊天时,观察到一个小组成员要求对抗竞争对手的在线DDoS组——87 DDoS。

7.png

Talos研究人员也加入了一些与在线DDoS平台相关的群聊,并发现有多个运营者正在讨论着对对手发起DDoS攻击的计划。事实上,看看这些在线DDoS网站的一些流量,就表明他们可能经历了DDoS攻击,下图显示了2017年7月1日,有87个DDoS网站流量大幅上升

8.png

未来发展的趋势分析

有很强的迹象表明,多个运行商正在建立几乎一模一样的在线DDoS平台,但至于为什么这些网站的布局相同,且都是最近才开始出现的,还有待进一步研究。

于是Talos团队开始深入了解这些问题的背后原因,下图是一位中国黑客组织的团队运营者所提供的一张在线DDoS平台管理页面的屏幕截图:

9.png

上图显示了一个设置页面,其中开发者可以选择站点的名称,编写描述,并提供服务条款和URL的链接。

首先,研究人员在右上角注意到“双子座”一词。

其次,研究人员注意到“/yolo/admin/settings”的唯一URL。

最后,研究人员注意到屏幕底部有一个按钮,管理员可以选择“Cloudflare模式”,这就意味着有很多网站被托管到相同的云端IP。

查找和分析源代码

可以肯定,这些几乎同时兴起的类似网站,肯定具有某种共享的源代码,这可能是由中国地下黑客论坛和市场提供的。于是,研究人员去了几个论坛,并搜索屏幕截图中显示的“/yolo /admin/settings”URL。调查发现,有几个论坛都有一个在线DDoS平台销售源代码的帖子,且都是已被翻译成中文的外国DDoS平台。

许多帖子是在2017年初或2016年底完成的,这与DDoS平台兴起的时间正好呼应,广告中的图片看起来就是实际看到的网站:

10.png

以上是DDoS平台源代码的广告示例,不过要注意的是,这是一个国外的DDoS平台源代码,不过已经被汉化了,该设计和设置面板和一个QQ频道差不多,并在右上角包括“双子座”的字眼。

Talos获得了该DDoS网站源代码的副本并进行了分析。很明显,观察到的所有DDoS网站使用的就是这套源代码,例如文件夹中包含的PHP文件以及相同的网站图标。此外,这些网站中大多数使用的背景也可以在图像文件夹中找到:

11.png

源代码显示,该平台依赖于Bootstrap前端设计和ajax来加载内容。在CSS文件中,研究人员发现一个名为Pixelcave的开发者。通过对Pixelcave的研究,我们发现他们提供了基于Bootstrap的网站设计,看起来类似于检测过的在线中文DDoS网站。我们还注意到,Pixelcave的标志存在于发现的许多DDoS网站的右上角,并且还作为图标包含在源代码中。

12.png

根据源代码的分析,该平台具有从mysql数据库提取信息并根据用户的支付来评估用户的身份(即攻击次数,攻击持续时间,以及允许用户的并发攻击次数)的功能。然后,它允许用户输入主机,选择攻击方法(即NTP,L7)和持续时间。如果该方法由开发者支持,并且目标未被列入黑名单,则会调用服务器开始执行攻击。

有趣的是,源代码为不能受到攻击的站点提供了所谓的“黑名单”,比如包含“.gov”和“.edu”站点。此外,源代码还附带了一个预先加载的中文服务条款,这样可以免除网站管理员对“非法”行为的任何牵连责任,并声称其服务仅用于测试目的。

该代码还允许管理员监控付款是否成功,登录和攻击的总数,以及有关攻击的详细信息,如主机,攻击持续时间以及哪个服务器正在执行攻击。此外,管理员还可以设置激活码系统。

很明显,这些源代码最初都是用英文写的,但是被汉化了。源代码还为管理员提供了通过PayPal和Bitcoin设置支付系统的选项。不过,中国的运营商很可能已将其转换成了中国支付系统,如第三方支付网站或支付宝等。因为,调查人员发现一个图像文件夹中的Paypal图标被更改为类似于支付宝的图标。

关于原始源代码,本文并不做具体分析。但是,有几个提供在线DDoS服务的英文网站,例如DataBooter。这些网站与中国DDoS平台有一些相似之处。例如,它们都具有基于引导的设计,托管在Cloudflare上,并具有类似的显示攻击次数,用户数和服务器数量的提示。

13.png

上图就是databooter[.]com的布局,布局与中国在线DDoS网站有些相似。过去几年中,Talos已经观察到在黑客论坛上已经有人在销售英文版的DDoS平台源代码。中国的开发者可能就是通过这个渠道获得的源代码(目前还没有找到直接的证据),并将其进行了汉化。

总结

近期中国在线DDoS平台的兴起似乎与中国黑客论坛的出售代码相关,而这些代码似乎都是都是由英文汉化过的。

在线DDoS平台由于易于使用的界面,并且已经为用户提前提供了所有必要的基础操作功能,因此不需要用户再去构建僵尸网络或购买额外的服务。用户只要通过支付购买激活码,然后简单地输入其目标就可以发动攻击了,这样即使是没有任何经验的攻击者也能够发起强大的攻击。

Talos将继续监控中国黑客论坛和相关的群聊,为新建的在线中文DDoS平台以及中国DDoS行业带来更多趋势分析。

源链接

Hacking more

...