vDOS这个在线攻击服务,在过去的两年里挣了60多万美元,同时帮助客户发起了15万次以上的DDoS攻击。然而戏剧性的是,现在vDOS自己却被入侵了,泄露了成千上万的付费用户和被DDoS目标的数据。
vDOS服务简述
在2016年7月底,根据KrebsOnSecurity.com获取的vDOS数据显示,该攻击服务的站长是两个来自以色列的年轻人,此外还有着几位来自美国的年轻人为他们做技术支持。
vDOS在过去的几年里发起了一系列的DDoS攻击,以攻击持续的秒数作为定价的基准。在2016年4月到7月之间,vDOS对不同的目标发起了大约2.77亿秒的攻击,合计约8.81年的攻击时间。
然而,这个惊人的近9年的DDoS年(笔者自己给它命的名),实际时间被vDOS的工作人员压缩到了仅仅4个月。虽然没有确实的证据,但是vDOS很可能已经制造了数十个DDoS年。因为泄露的数据显示,该攻击服务至少曾在2012年9月-2016年3月间是有记录的。
vDOS是如何被黑的
黑掉vDOS的黑客,他在一个相似的在线攻击服务PoodleStresser上发现了一个漏洞,这能够让他下载攻击服务器的配置文件,而文件地址指向了api.vdos-s.com。有意思的是,PoodleStresser以及一大批其他在线攻击服务,似乎完全依赖vDOS提供火力。
黑客由此发现了vDOS一个更严重的漏洞,足以让他下载vDOS服务所有的数据库和配置文件。同时,他发现了vDOS在保加利亚租用的四个攻击服务器(由verdina.net提供)的真实地址。他们采用了Cloudflare云作为DDoS服务的保护层,而vDOS真实网络地址为82.118.233.144。
vDOS在地下论坛有着一定的声誉,让人触目惊心的是,这次泄露的vDOS数据让我们看到了成千上万的付费用户。
这里有个小插曲,曾有一些vDOS客户曾抱怨他们无法攻击以色列的网站。而vDOS技术人员则声称,vDOS老大自己就是以色列人,所以由于诸多原因,他们是不能攻击本国的。
下面是一些对话:
(‘4130′,’你好,d0rk,由于种种安全问题,所有以色列IP都被列入了黑名单,感谢您的支持。’,’03-01-201508:39),
(‘15462′,’你好,g4ng,其实我自己是以色列人,所以并不希望我的祖国出现什么事,谢谢您的支持。’,’11-03-201515:35),
(‘15462′,‘你好,roibm123,因为我自己都是以色列IP,保不齐哪天就用上了黑名单里的IP,所以我的做法相信大家都理解的。’,’06-04-201523:04),
(‘4202′,’你好,zavi156,不好意思啊,这IP是以色列的IP,已经被列入了禁止攻击的黑名单,十分抱歉。’,’20-05-2015 10:14),
(‘4202′,’你好,zavi156,因为站长本人是以色列人,考虑到保护自身地区网络的原因,所以我们不能攻击以色列IP。’,’20-05-2015 11:12),
(‘9057′,’这可以用paypal支付吗,我会支付价值超过2.5美元的货币,咱也算是老雇主了,客服大哥能给点方便?不行的话,能不能帮我问问你们老板AplleJack?我是在以色列听说他的名号的,谢谢啊~’,’21-05-2015 12:51),
(‘4120′,’你好,takedown,以色列的IP都被列入了黑名单,vDOS是无法进行攻击的,AppleJ4ck敬上。’,’02-09-201508:57),
谁在操纵vDOS服务
正如我们在vDOS技术支持回答中看到的,vDOS背后的老大是来自以色列的两位年轻黑客,分别是P1sta.k.a.P1st0和AppleJ4ck。他们主要把自己的服务放在hackforums.net上出售,根据实际情况分级定价,大概20美元-200美元/每月不等。AppleJ4ck在hackforums上采用了同样的ID,而P1st则论坛上采用了M30w作为ID。
vDOS可能是hackforums上最长寿的在线攻击服务,可能也是迄今为止同类服务最赚钱的。自2014年7月以来,它拥有了有成千上万的付费用户,几年间通过比特币和PayPal收获了61.8万美元。
此外,曾有一段时间它也接受信用卡付款。但是由于泄露的数据库里并没有包含相关信息,所以这里尚不清楚有多少网站是在信用卡支付后受到攻击的。
托管vDOS服务的Web服务器上面还有一些其他网站,比如huri.biz和ustress.io和vstress.net。几乎所有的vDOS管理都拥有v-email.org的邮箱账号,这个域名是Itay Huri注册,注册者手机号也是来自以色列的。
vDOS的在线客服系统,则使用了Nexmo.com的短信服务绑定了6个手机号。其中有2个是以色列的号码,有一个是Itay Huri在v-email.org注册的手机号,其他都是以色列人Yarden Bidani的号码。
泄露的数据表明,vDOS使用了Mailgun来进行邮件管理,在泄露的文件里还含有Mailgun服务的密钥。有数据表明,vDOS技术支持的邮箱有:
itay@huri.biz
itayhuri8@gmail.com
raziel.b7@gmail.com
DDOS攻击盈利后的洗钱行动
vDOS泄露的61.8万美元的盈利很明显是一个保守的数字,毕竟它的服务可以追朔到2012年9月。但是,在2014年前是没有付款记录的,所以笔者估计vDOS的管理们至少收入超过百万美元。
vDOS目前不接受PayPal支付,但是近几年的记录显示,vDOS试图通过PayPal服务的循环链洗钱。
他们这样做,是因为PayPal 正在和某学术研究团队合作,识别追朔像vDOS这样的在线攻击服务相关的账户。如果大家想了解更多,可以看看2015年8月的文章。
此外,他们通常会采用几种方法来掩盖他们真实的paypal支付地址,比如短网址服务等等,这里给出相关的细节分析。
同时,AppleJ4ck和p1st会招募其他Hackforums论坛的成员,帮助他们每周给vDOS洗钱。
AppleJ4ck 在某篇文章中写道:
“Paypal是不会验证钱的来源的,每次交易约200-300美元,我每天会做2-3笔这样的交易。”
2016年7月的vDOS数据显示,站长为比特币支付做了额外的安全措施,他们会通过Coinbase接受比特币,同时使用45.55.55.193(美国IP)作为中间服务器来控制Coinbase的流量。当产生了一笔交易时,Coinbase会通知中间服务器,而不是直接通知保加利亚的真实服务器。
这个美国的中间服务器接收到数据后,会通知保加利亚真实服务器那边的数据库进行更新。这大概是因为vDOS的人认为,如果每日大规模的交易来自美国而不是保加利亚,就不会引起Coinbase太多的关注吧。
分析
vDOS的洗钱运作手段,充分表明了他们其实明白他们的用户在利用vDOS敲诈捞钱。
在线攻击服务的管理者们,都辩称他们的服务是合法的。他们认为这类服务可以帮助网站所有者对自己的网站进行压力测试,以便更好地抵御这类攻击。虽然不知道有多少vDOS用户是在对自己的网站使用压力测试,但是泄露的vDOS日志表明,其中很大一部分是在线的网站业务。
纽约大学计算机科学系的助理教授Damon McCoy表示:
“实际上,vDOS是非常难区分他们的服务是否用于合法途径的。”
想要了解更多请看这里。
McCoy还透露,许多俄罗斯的僵尸网络运营者表示,他们不会从俄罗斯或者其他独联体国家购买恶意软件,毕竟在本土惹事还是不太好的。vDOS服务还吹嘘说,他们的攻击流量可以提升到50G/秒,这大概相当于在某一时间段,目标服务器网络管道中同时塞入两个高清Netflix电影大小的流量。
商业风险情报公司Flashpoint的安全研究总监Allison Nixon表示,vDOS的服务生成的攻击流量约在6-14G/秒。但是她指出,即使只是6G/秒的流量也足以打垮大部分没有防DDOS措施的网站。
Nixon表示:
“最关键的是这种服务的价格基本大部分人都能承受,因为只需要大约30美元一个月。这意味着其他站长在网上必须有针对DDOS的解决方案,否则任何人都轻松打垮你。同时,这也昭示着DDOS保护已经成为了运行一个网站的额外附加条件。”
本文转自d1net(转载)
