在线 DDoS 平台剧增,中国已经黑客化?

发布时间:2018/8/22 11:52:07

在过去几个月中,思科 Talos 团队观察到提供在线 DDoS 服务的中国网站数量在激增,而且其中许多网站的站内布局和设计都一模一样,比如都提供了一个用户选择目标主机,端口,攻击方法和攻击持续时间的简单界面。此外,大多数网站都是在过去六个月内注册的。但是,这些网站是以不同的组名运营的,并且注册人也不同,Talo 还观察到这些网站的管理员竟然还相互发动攻击。  

在本文中,Talos 团队试图找到中国的 DDoS 行业兴起的原因,并对未来的发展趋势做个估计。Talos 团队将会对最近创建的 DDoS 平台类型进行统计和监测,并分析它们的相似之处和差异。最后,再对几乎相同的 DDoS 网站的源代码进行深入研究。

DDoS 即服务在中国

目前,DDoS 工具和服务仍然是中国地下黑市中最受欢迎的产品之一。根据 Talos 团队的统计,目前<a href="http://iphone.myzaker.com/zaker/l.php?u=http%3A%2F%2Fwww.dute360.com%2F&target=_new" textvalue="" 独特="" "="" 社区="" target="_blank" style="background-image: initial; background-position: 0px 0px; background-size: initial; background-repeat: initial; background-attachment: initial; background-origin: initial; background-clip: initial; text-decoration-line: none;">" 独特 " 社区是中国最受欢迎的黑客论坛及交易平台之一,该平台会介绍各种 DDoS 相关工具,包括实际的攻击工具,以及相关的工具,例如用于不同攻击向量(包括 SSH 和 RDP)的暴力破解器。

另外,中国的社交媒体应用如 WeChat,QQ 等都有数百个 DDoS 群聊组,专门用于介绍和销售各种相关的工具、恶意软件和攻击目标。这些群聊组的人可以分为三大类:黑客群体、意向购买客户以及各种攻击工具的代理商和广告商。

以前,群聊中的主要产品都是一些让用户进行下载并安装的工具,否则无法进行操,比如,天罚 DDOS 压力测试系统

这些工具管理和提供有关客户所需的僵尸网络的信息,然后允许用户自定义攻击事件,选择目标并选择攻击方法。用户可以购买该工具,下载副本,并使用自己的服务器和僵尸网络。偶尔,黑客团体还会为客户捆绑一些服务器或一定数量的木马或包括强制性的工具来帮助用户增长自己的僵尸网络,但工具的维护最终还是得靠用户自己。

在线 DDoS 平台在中国的兴起

最近,Talos 已经注意到小组聊天中正在逐渐发生变化。在线 DDoS 平台的广告已经开始出现且出现的频率较高,下图就是 " 杀神 " 在线 DDoS 网站的宣传广告:

在监控了其中几个网站后,Talos 注意到许多网站具有相同的登录和注册页面,同样的背景图片:

此外,Talos 还观察到,这些网站中有许多网站设计和布局几乎相同,显示了在线活动用户和服务器的数量以及已执行的攻击总数(尽管这些数字在不同组之间有所不同)。此外,这些站点还包含组管理员关于该工具的最新更新,比如功能或使用限制的通知。用户只需要注册一个帐户,购买激活码即可开始发起攻击,然后通过网站上设置的界面或通过相同的命令行调用来攻击目标,方法如下:

http://website_name/api.php?username=&password=&host=&port=&time=&method=

从以上两幅图可以看出," 杀神 " 在线 DDoS 网站和王者 DDoS 的网站布局几乎一模一样。除了设计和功能方面的惊人相似之外,大多数网站在其域名中都有 "ddos",即 "shashenddos.club" 或 "87ddos.cc"。由于这些网站都是最近才注册的,除了通过智能搜索在中国社交媒体来发现这些 ddos 域名外,Talos 团队通过使用 Cisco Umbrella 对新注册网站但还未公开的网站进行了检测,检测方法是通过包含有 "ddos" 字串的正则表达式对最近注册的域名进行搜索。使用这些搜索方法,Talos 已经识别了 32 个几乎完全相同的中文在线 DDoS 网站(可能还有更多的网站),因为并不是所有的域名都有 "ddos" 字串。

由于页面的相似之处,以及一些个人为同一个群体注册了许多站点,Talos 团队最初怀疑所有网站都是由一位开发者运营的,只不过用的域名不一样而已。为了验证这个猜测,Talos 团队在每个站点注册了一个帐户,并且还使用 Cisco Umbrella 的调查工具来检查每个站点的注册信息。

不过事实推翻了研究人员的最初猜测,在各个网站注册账号后,研究人员注意到有许多用户可以通过不同的第三方中文支付网站购买激活码(价格从 20 元左右到 400 元左右)。此外,这些网站页面上的公告也显示了不同的工具功能(一些工具的攻击强度为 30-80gbps,而有一些则高达 300gbps),以及不同的联系人信息,包括用于客户服务的各种 QQ 帐户以及客服联系方式。另外,还有一个网站的页面 www.dk.ps88.Org,它列出了 44538 位用户,而另外一个网站的页面 www.pc4.Tw 则列出了 13 个用户发起的 24 次攻击。

此外,网站的注册信息也揭示了其中最主要的差异。大多数网站有不同的注册人姓名和电子邮件,以及不同的注册商。但也有一些相似之处,几乎所有人都是中国注册商,其中大多数是在过去 3 个月内注册的,且几乎全部都是在过去一年里登记的。另外,一半以上的注册商都是在 Cloudflare IP 上托管的。

所以经过各方面对比,Talos 团队最后确认,这些相似的网站背后的运营者是不同的,当研究人员在监视王者在线 DDoS 平台的 QQ 群聊聊天时,观察到一个小组成员要求对抗竞争对手的在线 DDoS 组—— 87 DDoS。

Talos 研究人员也加入了一些与在线 DDoS 平台相关的群聊,并发现有多个运营者正在讨论着对对手发起 DDoS 攻击的计划。事实上,看看这些在线 DDoS 网站的一些流量,就表明他们可能经历了 DDoS 攻击,下图显示了 2017 年 7 月 1 日,有 87 个 DDoS 网站流量大幅上升

未来发展的趋势分析

有很强的迹象表明,多个运行商正在建立几乎一模一样的在线 DDoS 平台,但至于为什么这些网站的布局相同,且都是最近才开始出现的,还有待进一步研究。

于是 Talos 团队开始深入了解这些问题的背后原因,下图是一位中国黑客组织的团队运营者所提供的一张在线 DDoS 平台管理页面的屏幕截图:

上图显示了一个设置页面,其中开发者可以选择站点的名称,编写描述,并提供服务条款和 URL 的链接。

首先,研究人员在右上角注意到 " 双子座 " 一词。

其次,研究人员注意到 "/yolo/admin/settings" 的唯一 URL。

最后,研究人员注意到屏幕底部有一个按钮,管理员可以选择 "Cloudflare 模式 ",这就意味着有很多网站被托管到相同的云端 IP。

查找和分析源代码

可以肯定,这些几乎同时兴起的类似网站,肯定具有某种共享的源代码,这可能是由中国地下黑客论坛和市场提供的。于是,研究人员去了几个论坛,并搜索屏幕截图中显示的 "/yolo /admin/settings"URL。调查发现,有几个论坛都有一个在线 DDoS 平台销售源代码的帖子,且都是已被翻译成中文的外国 DDoS 平台。

许多帖子是在 2017 年初或 2016 年底完成的,这与 DDoS 平台兴起的时间正好呼应,广告中的图片看起来就是实际看到的网站:

以上是 DDoS 平台源代码的广告示例,不过要注意的是,这是一个国外的 DDoS 平台源代码,不过已经被汉化了,该设计和设置面板和一个 QQ 频道差不多,并在右上角包括 " 双子座 " 的字眼。

Talos 获得了该 DDoS 网站源代码的副本并进行了分析。很明显,观察到的所有 DDoS 网站使用的就是这套源代码,例如文件夹中包含的 PHP 文件以及相同的网站图标。此外,这些网站中大多数使用的背景也可以在图像文件夹中找到:

源代码显示,该平台依赖于 Bootstrap 前端设计和 ajax 来加载内容。在 CSS 文件中,研究人员发现一个名为 Pixelcave 的开发者。通过对 Pixelcave 的研究,我们发现他们提供了基于 Bootstrap 的网站设计,看起来类似于检测过的在线中文 DDoS 网站。我们还注意到,Pixelcave 的标志存在于发现的许多 DDoS 网站的右上角,并且还作为图标包含在源代码中。

根据源代码的分析,该平台具有从 mysql 数据库提取信息并根据用户的支付来评估用户的身份(即攻击次数,攻击持续时间,以及允许用户的并发攻击次数)的功能。然后,它允许用户输入主机,选择攻击方法(即 NTP,L7)和持续时间。如果该方法由开发者支持,并且目标未被列入黑名单,则会调用服务器开始执行攻击。

有趣的是,源代码为不能受到攻击的站点提供了所谓的 " 黑名单 ",比如包含 ".gov" 和 ".edu" 站点。此外,源代码还附带了一个预先加载的中文服务条款,这样可以免除网站管理员对 " 非法 " 行为的任何牵连责任,并声称其服务仅用于测试目的。

该代码还允许管理员监控付款是否成功,登录和攻击的总数,以及有关攻击的详细信息,如主机,攻击持续时间以及哪个服务器正在执行攻击。此外,管理员还可以设置激活码系统。

很明显,这些源代码最初都是用英文写的,但是被汉化了。源代码还为管理员提供了通过 PayPal 和 Bitcoin 设置支付系统的选项。不过,中国的运营商很可能已将其转换成了中国支付系统,如第三方支付网站或支付宝等。因为,调查人员发现一个图像文件夹中的 Paypal 图标被更改为类似于支付宝的图标。

关于原始源代码,本文并不做具体分析。但是,有几个提供在线 DDoS 服务的英文网站,例如 DataBooter。这些网站与中国 DDoS 平台有一些相似之处。例如,它们都具有基于引导的设计,托管在 Cloudflare 上,并具有类似的显示攻击次数,用户数和服务器数量的提示。

上图就是 databooter [ . ] com 的布局,布局与中国在线 DDoS 网站有些相似。过去几年中,Talos 已经观察到在黑客论坛上已经有人在销售英文版的 DDoS 平台源代码。中国的开发者可能就是通过这个渠道获得的源代码(目前还没有找到直接的证据),并将其进行了汉化。

总结

近期中国在线 DDoS 平台的兴起似乎与中国黑客论坛的出售代码相关,而这些代码似乎都是都是由英文汉化过的。

在线 DDoS 平台由于易于使用的界面,并且已经为用户提前提供了所有必要的基础操作功能,因此不需要用户再去构建僵尸网络或购买额外的服务。用户只要通过支付购买激活码,然后简单地输入其目标就可以发动攻击了,这样即使是没有任何经验的攻击者也能够发起强大的攻击。

Talos 将继续监控中国黑客论坛和相关的群聊,为新建的在线中文 DDoS 平台以及中国 DDoS 行业带来更多趋势分析。