vDOS這個在線攻擊服務,在過去的兩年里掙了60多萬美元,同時幫助客戶發起了15萬次以上的DDoS攻擊。然而戲劇性的是,現在vDOS自己卻被入侵了,泄露了成千上萬的付費用戶和被DDoS目標的數據。
vDOS服務簡述
在2016年7月底,根據KrebsOnSecurity.com獲取的vDOS數據顯示,該攻擊服務的站長是兩個來自以色列的年輕人,此外還有著幾位來自美國的年輕人為他們做技術支持。
vDOS在過去的幾年里發起了一系列的DDoS攻擊,以攻擊持續的秒數作為定價的基準。在2016年4月到7月之間,vDOS對不同的目標發起了大約2.77億秒的攻擊,合計約8.81年的攻擊時間。
然而,這個驚人的近9年的DDoS年(筆者自己給它命的名),實際時間被vDOS的工作人員壓縮到了僅僅4個月。雖然沒有確實的證據,但是vDOS很可能已經制造了數十個DDoS年。因為泄露的數據顯示,該攻擊服務至少曾在2012年9月-2016年3月間是有記錄的。
vDOS是如何被黑的
黑掉vDOS的黑客,他在一個相似的在線攻擊服務PoodleStresser上發現了一個漏洞,這能夠讓他下載攻擊服務器的配置文件,而文件地址指向了api.vdos-s.com。有意思的是,PoodleStresser以及一大批其他在線攻擊服務,似乎完全依賴vDOS提供火力。
黑客由此發現了vDOS一個更嚴重的漏洞,足以讓他下載vDOS服務所有的數據庫和配置文件。同時,他發現了vDOS在保加利亞租用的四個攻擊服務器(由verdina.net提供)的真實地址。他們采用了Cloudflare云作為DDoS服務的保護層,而vDOS真實網絡地址為82.118.233.144。
vDOS在地下論壇有著一定的聲譽,讓人觸目驚心的是,這次泄露的vDOS數據讓我們看到了成千上萬的付費用戶。
這里有個小插曲,曾有一些vDOS客戶曾抱怨他們無法攻擊以色列的網站。而vDOS技術人員則聲稱,vDOS老大自己就是以色列人,所以由于諸多原因,他們是不能攻擊本國的。
下面是一些對話:
(‘4130′,’你好,d0rk,由于種種安全問題,所有以色列IP都被列入了黑名單,感謝您的支持。’,’03-01-201508:39),
(‘15462′,’你好,g4ng,其實我自己是以色列人,所以并不希望我的祖國出現什么事,謝謝您的支持。’,’11-03-201515:35),
(‘15462′,‘你好,roibm123,因為我自己都是以色列IP,保不齊哪天就用上了黑名單里的IP,所以我的做法相信大家都理解的。’,’06-04-201523:04),
(‘4202′,’你好,zavi156,不好意思啊,這IP是以色列的IP,已經被列入了禁止攻擊的黑名單,十分抱歉。’,’20-05-2015 10:14),
(‘4202′,’你好,zavi156,因為站長本人是以色列人,考慮到保護自身地區網絡的原因,所以我們不能攻擊以色列IP。’,’20-05-2015 11:12),
(‘9057′,’這可以用paypal支付嗎,我會支付價值超過2.5美元的貨幣,咱也算是老雇主了,客服大哥能給點方便?不行的話,能不能幫我問問你們老板AplleJack?我是在以色列聽說他的名號的,謝謝啊~’,’21-05-2015 12:51),
(‘4120′,’你好,takedown,以色列的IP都被列入了黑名單,vDOS是無法進行攻擊的,AppleJ4ck敬上。’,’02-09-201508:57),
誰在操縱vDOS服務
正如我們在vDOS技術支持回答中看到的,vDOS背后的老大是來自以色列的兩位年輕黑客,分別是P1sta.k.a.P1st0和AppleJ4ck。他們主要把自己的服務放在hackforums.net上出售,根據實際情況分級定價,大概20美元-200美元/每月不等。AppleJ4ck在hackforums上采用了同樣的ID,而P1st則論壇上采用了M30w作為ID。
vDOS可能是hackforums上最長壽的在線攻擊服務,可能也是迄今為止同類服務最賺錢的。自2014年7月以來,它擁有了有成千上萬的付費用戶,幾年間通過比特幣和PayPal收獲了61.8萬美元。
此外,曾有一段時間它也接受信用卡付款。但是由于泄露的數據庫里并沒有包含相關信息,所以這里尚不清楚有多少網站是在信用卡支付后受到攻擊的。
托管vDOS服務的Web服務器上面還有一些其他網站,比如huri.biz和ustress.io和vstress.net。幾乎所有的vDOS管理都擁有v-email.org的郵箱賬號,這個域名是Itay Huri注冊,注冊者手機號也是來自以色列的。
vDOS的在線客服系統,則使用了Nexmo.com的短信服務綁定了6個手機號。其中有2個是以色列的號碼,有一個是Itay Huri在v-email.org注冊的手機號,其他都是以色列人Yarden Bidani的號碼。
泄露的數據表明,vDOS使用了Mailgun來進行郵件管理,在泄露的文件里還含有Mailgun服務的密鑰。有數據表明,vDOS技術支持的郵箱有:
DDOS攻擊盈利后的洗錢行動
vDOS泄露的61.8萬美元的盈利很明顯是一個保守的數字,畢竟它的服務可以追朔到2012年9月。但是,在2014年前是沒有付款記錄的,所以筆者估計vDOS的管理們至少收入超過百萬美元。
vDOS目前不接受PayPal支付,但是近幾年的記錄顯示,vDOS試圖通過PayPal服務的循環鏈洗錢。
他們這樣做,是因為PayPal 正在和某學術研究團隊合作,識別追朔像vDOS這樣的在線攻擊服務相關的賬戶。如果大家想了解更多,可以看看2015年8月的文章。
此外,他們通常會采用幾種方法來掩蓋他們真實的paypal支付地址,比如短網址服務等等,這里給出相關的細節分析。
同時,AppleJ4ck和p1st會招募其他Hackforums論壇的成員,幫助他們每周給vDOS洗錢。
AppleJ4ck 在某篇文章中寫道:
“Paypal是不會驗證錢的來源的,每次交易約200-300美元,我每天會做2-3筆這樣的交易。”
2016年7月的vDOS數據顯示,站長為比特幣支付做了額外的安全措施,他們會通過Coinbase接受比特幣,同時使用45.55.55.193(美國IP)作為中間服務器來控制Coinbase的流量。當產生了一筆交易時,Coinbase會通知中間服務器,而不是直接通知保加利亞的真實服務器。
這個美國的中間服務器接收到數據后,會通知保加利亞真實服務器那邊的數據庫進行更新。這大概是因為vDOS的人認為,如果每日大規模的交易來自美國而不是保加利亞,就不會引起Coinbase太多的關注吧。
分析
vDOS的洗錢運作手段,充分表明了他們其實明白他們的用戶在利用vDOS敲詐撈錢。
在線攻擊服務的管理者們,都辯稱他們的服務是合法的。他們認為這類服務可以幫助網站所有者對自己的網站進行壓力測試,以便更好地抵御這類攻擊。雖然不知道有多少vDOS用戶是在對自己的網站使用壓力測試,但是泄露的vDOS日志表明,其中很大一部分是在線的網站業務。
紐約大學計算機科學系的助理教授Damon McCoy表示:
“實際上,vDOS是非常難區分他們的服務是否用于合法途徑的。”
想要了解更多請看這里。
McCoy還透露,許多俄羅斯的僵尸網絡運營者表示,他們不會從俄羅斯或者其他獨聯體國家購買惡意軟件,畢竟在本土惹事還是不太好的。vDOS服務還吹噓說,他們的攻擊流量可以提升到50G/秒,這大概相當于在某一時間段,目標服務器網絡管道中同時塞入兩個高清Netflix電影大小的流量。
商業風險情報公司Flashpoint的安全研究總監Allison Nixon表示,vDOS的服務生成的攻擊流量約在6-14G/秒。但是她指出,即使只是6G/秒的流量也足以打垮大部分沒有防DDOS措施的網站。
Nixon表示:
“最關鍵的是這種服務的價格基本大部分人都能承受,因為只需要大約30美元一個月。這意味著其他站長在網上必須有針對DDOS的解決方案,否則任何人都輕松打垮你。同時,這也昭示著DDOS保護已經成為了運行一個網站的額外附加條件。”
* 參考來源:KS,FB小編dawner編譯,轉載請注明來自FreeBuf(FreeBuf.COM)
京公網安備 11010502049343號