思科 Talos 观察发现,在过去几个月里,提供在线 DDoS 服务的中国网站数量呈上升趋势。这些网站中有很多在布局和设计上几乎完全相同:它们的界面非常简单,用户可以在上面选择目标主机、目标端口、攻击方法和攻击的持续时间。另外一点引人注意的是,这些网站大多是在过去 6 个月内注册的,但网站的运营者和注册者各不相同。思科 Talos 甚至发现,这些网站的管理者会互相发动攻击。思科 Talos 设法对这些平台的创建者进行了调查,并分析了这些平台之所以最近变得越来越普遍的原因。
本文将首先介绍中国 DDoS 行业的现状,以及该行业逐渐向在线 DDoS 平台发展的趋势。然后,我们将探讨最近新出现的 DDoS 平台的类型,以及各个平台之间的共同点和不同点。最后,我们将一起来看看我们发现的一个源码(这个源码可能就是导致最近不断出现很多几乎完全相同的 DDoS 网站的罪魁祸首)。
中国的 DDoS 即服务行业
在中国的黑市交易中,DDoS 工具和服务一直是最受欢迎的交易对象之一。通过观察中国著名的黑市“独特”,我们发现了多种与 DDoS 相关的工具,其中既有真正意义上的攻击工具,也有与攻击相关的工具(例如针对 SSH 和 RDP 等不同媒介的暴力攻击工具)。
除了这些网站,中国的社交媒体应用(如微信和 QQ)上,也有很多以 DDoS 团队、工具、恶意软件和交换目标为主题的聊天群。利用此类渠道的人不仅包括黑客团队成员和“客户”,还有一些为二者牵线搭桥的掮客和广告商。
过去,这种群聊途径提供的主要是用户在购买后可以下载到本地运行的工具。比如“天罚压力测试系统”,就是此类工具的典型代表。
天罚 DDoS 工具
这类工具可以帮助用户掌握并管理自己的僵尸网络,并通过选择攻击目标和攻击方法来发起定制的攻击活动。用户可以购买工具并下载到本地,在自己的服务器和僵尸网络上使用。有时,黑客团队也会捆绑出售服务器或一定数量的僵尸网络,或者提供暴力攻击工具来帮助用户建立自己的僵尸网络,不过终端用户需要缴纳相应的工具维护和部署费。
在线 DDoS 平台大量涌现最近,思科 Talos 注意到这种群聊的内容正在逐渐发生变化。在线 DDoS 平台的广告开始频频出现,而且有愈演愈烈之势。
广告商推出“杀神”在线 DDoS 网站
在调查了多个这样的网站后,思科 Talos 发现许多网站的登录和注册页面完全相同,甚至都使用了同一个背景图片:
杀神 DDoS 压力测试平台
无名 DDoS 压力测试平台
思科 Talos 还注意到,这些网站中有很多采用了几乎完全相同的网站设计和布局,而且都会显示当前活动的在线用户和在线服务器数量,以及已发动攻击的总次数(但不同网站上显示的数字有所不同)。此外,这些网站上还会显示网站管理者的公告,内容包括工具的最新更新内容、具体功能或使用限制。在边栏中,用户可以注册新帐户,购买激活码(用于发动攻击),然后通过网站上的图形用户界面或命令行指令对目标发起攻击,如下图所示:
http://website_name/api.php?username=&password=&host=&port=&time=&method=
杀神 DDoS 压力测试平台网站布局
王者 DDoS 压力测试平台网站布局
除了设计上和功能上出奇的相同,这些网站大多都会在域名中包含 “DDoS” 一词(例如“shashenddos.club”、“87ddos.cc”)。由于这些网站都是最近注册的,所以思科 Talos 除了不断在中国社交媒体上寻找情报,同时还使用思科 Umbrella 的调查工具进行正则表达式搜索,尝试在新建的网站中找出最近使用“DDo'S”一词注册的域。通过这种双管齐下的搜索方法,思科 Talos 找出了 32 个几乎完全相同的中国在线 DDoS 网站(实际上可能不止这些,因为这类网站不一定都在域名中使用了“ddos”一词)。
由于页面风格十分相似,而且有些恶意攻击者通常会为同一个工具注册多个网站,所以我们最初怀疑所有这些网站可能都是由同一个组织者创建的,只不过使用了不同的名称。为了验证这一猜测,我们在每个网站上分别注册了一个帐户,并使用思科 Umbrella 的调查工具检查了每个网站的注册信息。
结果表明,事实并非像我们猜测的那样只有一个组织者。通过在各个网站上注册帐户,我们发现它们使用了不同的中国第三方支付平台向用户收取激活码购买费(价格通常为每天 20 元人民币至每月 400 元人民币不等)。其他不同点还包括网页公告上显示的工具功能(有些宣称攻击能力为 30-80Gbps,有些则高达 300Gbps)以及联系人信息(包括 QQ 客服帐号和客户与管理者联系的群号)。此外,攻击者和用户数量也有很大不同,例如:有一个页面 (www[.]dk[.]ps88[.]org) 显示的是 44,238 名用户发起了 168,423 次攻击,另一个页面 (www[.]pc4[.]tw) 则显示 13 名用户发起了 24 次攻击。
最大的不同之处在于网站的注册信息:大多数网站都使用了不同的注册人姓名和邮箱,登记的注册商也有所不同。不过,我们还是发现了若干共同点:
- 几乎所有网站都使用了中国的注册商;
- 大多数网站是在过去 3 个月内注册的;
- 几乎所有网站的注册时间都不到一年。
- 此外,这些网站有一半以上使用了 Cloudflare IP 托管服务。
最终,思科 Talos 捕捉到的一则 QQ 群聊消息(来自其中一个名为“王者”的在线 DDoS 平台的 QQ 群)使我们确定,这些网站具有不同的组织者。该群聊消息要求群成员攻击竞争对手的在线 DDoS 平台(87-ddos 网页端平台。我们也在该平台上注册了帐号)。
王者 DDoS 平台群中,一名成员要求其他成员对竞争对手的在线DDoS网站发起攻击
思科 Talos 加入了多个在线 DDoS 平台的聊天群,发现有很多组织者都在讨论与对竞争对手的平台发动 DDoS 攻击相关的话题。事实上,通过观察这些在线 DDoS 网站的流量可以看出,他们很可能确实遭到了 DDoS 攻击。
87 DDoS 网站的流量在 2017 年 7 月 1 日出现异常的峰值
一探究竟很多迹象表明,有许多不同的群体正在构建几乎完全相同的在线 DDoS 平台。但是我们一直无法确定为何这些平台使用了完全相同的布局,以及为何所有这些平台都是在最近突然出现的。但当某个中国黑客团队的聊天群中有人贴出了其在线 DDoS 平台管理页面的截图后,我们开始了解到这些问题背后的故事:
某个组织者提供的在线 DDoS 平台管理面板截图
在截图显示的设置页面中,组织者可以选择网站的名称,编写网站描述,并填写服务条款链接及网站 URL。一些有助于我们开展进一步调查的线索进入了我们的视线。首先,我们注意到的是界面左上角的 “Gemini” 字样。其次是一个以前未曾见过的 URL:“/yolo/admin/settings” 。最后是屏幕底部供管理者选择“Cloudflare 模式”的单选按钮,这让我们联想到很多此类网站都使用了 Cloudflare IP 托管服务。
源码的发现和分析至此,我们有理由怀疑这些几乎完全相同的网站不断涌现是因为有某种共享源码在背后作祟,其来源可能是中国的地下黑客论坛或黑市。于是,我们访问了多个论坛,在上面搜索截图中出现的 “/yolo/admin/settings” URL 。我们发现,有多个论坛都出现了出售在线 DDoS 平台源码的帖子,而且都是同一个外国 DDoS 平台的汉化版本。
这些帖子有很多是在 2017 年初或 2016 年底创建的,这刚好与 DDoS 平台大量涌现的时间相吻合。无独有偶,广告中的照片看起来也与我们见过的网站完全相同:
DDoS 平台源码广告的示例
说明内容为:“这是国外的一个 DDoS 平台的源码,已经汉化,大家如果有想开 DDoS 平台的话可以试试......”可以看到,页面设计和设置面板都与 QQ 群中提供的截图如出一辙,甚至连左上角的 “Gemini” 字样都原封未动。
思科 Talos 已经设法获得了一份源码,并对其进行了分析。毫无疑问,该源码与我们发现的 DDoS 网站关系密切。PHP 文件中包含的图标与这些网站上显示的图标一模一样。不仅如此,大多数网站所使用的背景图片也可以在图像文件夹中找到:
从源码可以确定,该平台基于 Bootstrap 前端设计,并使用 ajax 加载内容。在 CSS 文件中,我们发现了作者的名字:Pixelcave。对 Pixelcave 的调查结果表明,他们专门提供基于 Bootstrap 的网站设计,看上去与我们调查的中国在线 DDoS 网站十分相似。我们还注意到,我们发现的许多 DDoS 网站的右上角都有 Pixelcave 的徽标,而该徽标也作为图标包含在源码中。
在我们发现的所有 DDoS 网站上出现的 Pixelcave 徽标
通过分析源码可以得知,该平台能够从 mysql 数据库提取信息,评估用户的资格(即用户依所付费用而享有的攻击次数、攻击持续时间和并发攻击数)。然后,它会提示用户输入主机,并选择攻击方式(NTP、L7 等等)和持续时间。只要所选的攻击方法可受支持,而且攻击目标不在黑名单中,该平台就会调用服务器来执行攻击。
有趣的是,源码中提供了一份 “不可攻击的网站” 黑名单,其中包括 “.gov” 和 “.edu” 类型的网站,但这份黑名单无疑是可以修改的。此外,源码中还包含预加载的 “服务条款” (简体中文),说明网站管理者对任何 “违法” 行为概不负责,并声称其服务仅用于测试目的。
该源码还为管理者提供了以下功能:
- 监控已进行的付款和待处理的请求;
- 查看总登录数和约定的攻击;
- 以及查看攻击详细信息(例如主机、攻击持续时间、进行攻击的服务器等等);
- 管理者还可以设置一套激活码系统。
可以确定的是,该源码最初是用英文编写的,但经过修改后,最终平台可以显示中文界面(像广告中看到的一样)。该源码还为管理者提供了设置支付系统的功能,可用选项包括 Paypal 和比特币。但是中国的黑客可能会将此功能修改为支持中国的支付系统,例如第三方支付网站或中国的在线支付服务(支付宝等)。实际上,某个图像文件夹下的 Paypal 图标也确实被替换为看起来像是支付宝图标的图像。
在撰写本文时,我们还不清楚原始源码来自何处。不过,目前已知有多个英文网站提供在线 DDoS 服务,例如 DataBooter。这些网站与中国的 DDoS 平台有若干相似之处。例如,它们都采用基于 Bootstrap 的设计、都托管在 Cloudflare 上,而且都使用相似的图形界面来显示攻击数、在线用户数和在线服务器数。
Databooter[.]com 的布局。此布局与中国在线 DDoS 网站的布局有些相似。
思科 Talos 发现,有人在几年以前就曾在黑客论坛上出售过这些英文 DDoS 平台的源码。有可能中国黑客是通过这个渠道获得了源码(或代码),并对其进行了本地化和修改,使其适合中国消费者。但是我们尚未发现能够证实这一推断的直接证据。
结论
最近中国在线 DDoS 平台的不断涌现似乎与中国黑客论坛上出售的源码联系密切。该源码似乎是由原本用英文编写的在线压力测试工具汉化而来。
在线 DDoS 平台一直颇有市场,因为它们不仅具有易于使用的界面,而且会为用户提供所有必要的基础设施,用户无需自己构建僵尸网络或额外购买其他服务,只需通过可靠的支付网站购买激活代码,就可以通过输入目标发动攻击。这样一来,即便是没有相关黑客知识的菜鸟,也能发动强大的攻击,这取决于 DDoS 平台运营者的后端基础设施是否强大。
思科 Talos 将持续关注中国黑客论坛和聊天群,以便及时发现新出现的中国在线 DDoS 平台,乃至中国 DDoS 行业中更值得注意的新趋势。
思科 Talos 简介
思科 Talos 团队由业界领先的网络安全专家组成,他们分析评估黑客活动,入侵企图,恶意软件以及漏洞的最新趋势。包括 ClamAV 团队和一些标准的安全工具书的作者中最知名的安全专家,都是思科 Talos 的成员。这个团队同时得到了 Snort、ClamAV、Senderbase.org 和 Spamcop.net 社区的庞大资源支持,使得它成为网络安全行业最大的安全研究团队,也为思科的安全研究和安全产品服务提供了强大的后盾支持。
本文转自:https://mp.weixin.qq.com/s/QN7xOU4ZTpAVwXwI0_hzfA
