两年内赚到60万美元？走近以色列在线攻击服务vDOS

vDOS这个在线攻击服务，在过去的两年里挣了60多万美元，同时帮助客户发起了15万次以上的DDoS攻击。然而戏剧性的是，现在vDOS自己却被入侵了，泄露了成千上万的付费用户和被DDoS目标的数据。

vDOS服务简述

在2016年7月底，根据KrebsOnSecurity.com获取的vDOS数据显示，该攻击服务的站长是两个来自以色列的年轻人，此外还有着几位来自美国的年轻人为他们做技术支持。

vDOS在过去的几年里发起了一系列的DDoS攻击，以攻击持续的秒数作为定价的基准。在2016年4月到7月之间，vDOS对不同的目标发起了大约2.77亿秒的攻击，合计约8.81年的攻击时间。

然而，这个惊人的近9年的DDoS年（笔者自己给它命的名），实际时间被vDOS的工作人员压缩到了仅仅4个月。虽然没有确实的证据，但是vDOS很可能已经制造了数十个DDoS年。因为泄露的数据显示，该攻击服务至少曾在2012年9月-2016年3月间是有记录的。

vDOS是如何被黑的

黑掉vDOS的黑客，他在一个相似的在线攻击服务PoodleStresser上发现了一个漏洞，这能够让他下载攻击服务器的配置文件，而文件地址指向了api.vdos-s.com。有意思的是，PoodleStresser以及一大批其他在线攻击服务，似乎完全依赖vDOS提供火力。

黑客由此发现了vDOS一个更严重的漏洞，足以让他下载vDOS服务所有的数据库和配置文件。同时，他发现了vDOS在保加利亚租用的四个攻击服务器（由verdina.net提供）的真实地址。他们采用了Cloudflare云作为DDoS服务的保护层，而vDOS真实网络地址为82.118.233.144。

vDOS在地下论坛有着一定的声誉，让人触目惊心的是，这次泄露的vDOS数据让我们看到了成千上万的付费用户。

这里有个小插曲，曾有一些vDOS客户曾抱怨他们无法攻击以色列的网站。而vDOS技术人员则声称，vDOS老大自己就是以色列人，所以由于诸多原因，他们是不能攻击本国的。

下面是一些对话：

(‘4130′,’你好，d0rk，由于种种安全问题，所有以色列IP都被列入了黑名单，感谢您的支持。’,’03-01-201508:39),

(‘15462′,’你好，g4ng，其实我自己是以色列人，所以并不希望我的祖国出现什么事，谢谢您的支持。’,’11-03-201515:35),

(‘15462′,‘你好，roibm123，因为我自己都是以色列IP，保不齐哪天就用上了黑名单里的IP，所以我的做法相信大家都理解的。’,’06-04-201523:04),

(‘4202′,’你好，zavi156，不好意思啊，这IP是以色列的IP，已经被列入了禁止攻击的黑名单，十分抱歉。’,’20-05-2015 10:14),

(‘4202′,’你好，zavi156，因为站长本人是以色列人，考虑到保护自身地区网络的原因，所以我们不能攻击以色列IP。’,’20-05-2015 11:12),

(‘9057′,’这可以用paypal支付吗，我会支付价值超过2.5美元的货币，咱也算是老雇主了，客服大哥能给点方便？不行的话，能不能帮我问问你们老板AplleJack？我是在以色列听说他的名号的，谢谢啊~’,’21-05-2015 12:51),

(‘4120′,’你好，takedown，以色列的IP都被列入了黑名单，vDOS是无法进行攻击的，AppleJ4ck敬上。’,’02-09-201508:57),

谁在操纵vDOS服务

正如我们在vDOS技术支持回答中看到的，vDOS背后的老大是来自以色列的两位年轻黑客，分别是P1sta.k.a.P1st0和AppleJ4ck。他们主要把自己的服务放在hackforums.net上出售，根据实际情况分级定价，大概20美元-200美元/每月不等。AppleJ4ck在hackforums上采用了同样的ID，而P1st则论坛上采用了M30w作为ID。

vDOS可能是hackforums上最长寿的在线攻击服务，可能也是迄今为止同类服务最赚钱的。自2014年7月以来，它拥有了有成千上万的付费用户，几年间通过比特币和PayPal收获了61.8万美元。

此外，曾有一段时间它也接受信用卡付款。但是由于泄露的数据库里并没有包含相关信息，所以这里尚不清楚有多少网站是在信用卡支付后受到攻击的。

托管vDOS服务的Web服务器上面还有一些其他网站，比如huri.biz和ustress.io和vstress.net。几乎所有的vDOS管理都拥有v-email.org的邮箱账号，这个域名是Itay Huri注册，注册者手机号也是来自以色列的。

vDOS的在线客服系统，则使用了Nexmo.com的短信服务绑定了6个手机号。其中有2个是以色列的号码，有一个是Itay Huri在v-email.org注册的手机号，其他都是以色列人Yarden Bidani的号码。

泄露的数据表明，vDOS使用了Mailgun来进行邮件管理，在泄露的文件里还含有Mailgun服务的密钥。有数据表明，vDOS技术支持的邮箱有：

[email protected]

[email protected]

[email protected]

DDOS攻击盈利后的洗钱行动

vDOS泄露的61.8万美元的盈利很明显是一个保守的数字，毕竟它的服务可以追朔到2012年9月。但是，在2014年前是没有付款记录的，所以笔者估计vDOS的管理们至少收入超过百万美元。

vDOS目前不接受PayPal支付，但是近几年的记录显示，vDOS试图通过PayPal服务的循环链洗钱。

他们这样做，是因为PayPal 正在和某学术研究团队合作，识别追朔像vDOS这样的在线攻击服务相关的账户。如果大家想了解更多，可以看看2015年8月的文章。

此外，他们通常会采用几种方法来掩盖他们真实的paypal支付地址，比如短网址服务等等，这里给出相关的细节分析。

同时，AppleJ4ck和p1st会招募其他Hackforums论坛的成员，帮助他们每周给vDOS洗钱。

AppleJ4ck 在某篇文章中写道：

“Paypal是不会验证钱的来源的，每次交易约200-300美元，我每天会做2-3笔这样的交易。”

2016年7月的vDOS数据显示，站长为比特币支付做了额外的安全措施，他们会通过Coinbase接受比特币，同时使用45.55.55.193（美国IP）作为中间服务器来控制Coinbase的流量。当产生了一笔交易时，Coinbase会通知中间服务器，而不是直接通知保加利亚的真实服务器。

这个美国的中间服务器接收到数据后，会通知保加利亚真实服务器那边的数据库进行更新。这大概是因为vDOS的人认为，如果每日大规模的交易来自美国而不是保加利亚，就不会引起Coinbase太多的关注吧。

分析

vDOS的洗钱运作手段，充分表明了他们其实明白他们的用户在利用vDOS敲诈捞钱。

在线攻击服务的管理者们，都辩称他们的服务是合法的。他们认为这类服务可以帮助网站所有者对自己的网站进行压力测试，以便更好地抵御这类攻击。虽然不知道有多少vDOS用户是在对自己的网站使用压力测试，但是泄露的vDOS日志表明，其中很大一部分是在线的网站业务。

纽约大学计算机科学系的助理教授Damon McCoy表示：

 “实际上，vDOS是非常难区分他们的服务是否用于合法途径的。”

想要了解更多请看这里。

McCoy还透露，许多俄罗斯的僵尸网络运营者表示，他们不会从俄罗斯或者其他独联体国家购买恶意软件，毕竟在本土惹事还是不太好的。vDOS服务还吹嘘说，他们的攻击流量可以提升到50G/秒，这大概相当于在某一时间段，目标服务器网络管道中同时塞入两个高清Netflix电影大小的流量。

商业风险情报公司Flashpoint的安全研究总监Allison Nixon表示，vDOS的服务生成的攻击流量约在6-14G/秒。但是她指出，即使只是6G/秒的流量也足以打垮大部分没有防DDOS措施的网站。

Nixon表示：

“最关键的是这种服务的价格基本大部分人都能承受，因为只需要大约30美元一个月。这意味着其他站长在网上必须有针对DDOS的解决方案，否则任何人都轻松打垮你。同时，这也昭示着DDOS保护已经成为了运行一个网站的额外附加条件。”

 * 参考来源：KS，FB小编dawner编译