vDOS这个在线攻击服务,在过去的两年里挣了60多万美元,同时帮助客户发起了15万次以上的DDoS攻击。然而戏剧性的是,现在vDOS自己却被入侵了,泄露了成千上万的付费用户和被DDoS目标的数据。 vDOS服务简述在2016年7月底,根据KrebsOnSecurity.com获取的vDOS数据显示,该攻击服务的站长是两个来自以色列的年轻人,此外还有着几位来自美国的年轻人为他们做技术支持。 vDOS在过去的几年里发起了一系列的DDoS攻击,以攻击持续的秒数作为定价的基准。在2016年4月到7月之间,vDOS对不同的目标发起了大约2.77亿秒的攻击,合计约8.81年的攻击时间。 然而,这个惊人的近9年的DDoS年(笔者自己给它命的名),实际时间被vDOS的工作人员压缩到了仅仅4个月。虽然没有确实的证据,但是vDOS很可能已经制造了数十个DDoS年。因为泄露的数据显示,该攻击服务至少曾在2012年9月-2016年3月间是有记录的。 vDOS是如何被黑的黑掉vDOS的黑客,他在一个相似的在线攻击服务PoodleStresser上发现了一个漏洞,这能够让他下载攻击服务器的配置文件,而文件地址指向了api.vdos-s.com。有意思的是,PoodleStresser以及一大批其他在线攻击服务,似乎完全依赖vDOS提供火力。 黑客由此发现了vDOS一个更严重的漏洞,足以让他下载vDOS服务所有的数据库和配置文件。同时,他发现了vDOS在保加利亚租用的四个攻击服务器(由verdina.net提供)的真实地址。他们采用了Cloudflare云作为DDoS服务的保护层,而vDOS真实网络地址为82.118.233.144。 vDOS在地下论坛有着一定的声誉,让人触目惊心的是,这次泄露的vDOS数据让我们看到了成千上万的付费用户。 这里有个小插曲,曾有一些vDOS客户曾抱怨他们无法攻击以色列的网站。而vDOS技术人员则声称,vDOS老大自己就是以色列人,所以由于诸多原因,他们是不能攻击本国的。 下面是一些对话:
谁在操纵vDOS服务正如我们在vDOS技术支持回答中看到的,vDOS背后的老大是来自以色列的两位年轻黑客,分别是P1sta.k.a.P1st0和AppleJ4ck。他们主要把自己的服务放在hackforums.net上出售,根据实际情况分级定价,大概20美元-200美元/每月不等。AppleJ4ck在hackforums上采用了同样的ID,而P1st则论坛上采用了M30w作为ID。
vDOS可能是hackforums上最长寿的在线攻击服务,可能也是迄今为止同类服务最赚钱的。自2014年7月以来,它拥有了有成千上万的付费用户,几年间通过比特币和PayPal收获了61.8万美元。 此外,曾有一段时间它也接受信用卡付款。但是由于泄露的数据库里并没有包含相关信息,所以这里尚不清楚有多少网站是在信用卡支付后受到攻击的。 托管vDOS服务的Web服务器上面还有一些其他网站,比如huri.biz和ustress.io和vstress.net。几乎所有的vDOS管理都拥有v-email.org的邮箱账号,这个域名是Itay Huri注册,注册者手机号也是来自以色列的。 vDOS的在线客服系统,则使用了Nexmo.com的短信服务绑定了6个手机号。其中有2个是以色列的号码,有一个是Itay Huri在v-email.org注册的手机号,其他都是以色列人Yarden Bidani的号码。 泄露的数据表明,vDOS使用了Mailgun来进行邮件管理,在泄露的文件里还含有Mailgun服务的密钥。有数据表明,vDOS技术支持的邮箱有: DDOS攻击盈利后的洗钱行动vDOS泄露的61.8万美元的盈利很明显是一个保守的数字,毕竟它的服务可以追朔到2012年9月。但是,在2014年前是没有付款记录的,所以笔者估计vDOS的管理们至少收入超过百万美元。 vDOS目前不接受PayPal支付,但是近几年的记录显示,vDOS试图通过PayPal服务的循环链洗钱。 他们这样做,是因为PayPal 正在和某学术研究团队合作,识别追朔像vDOS这样的在线攻击服务相关的账户。如果大家想了解更多,可以看看2015年8月的文章。 此外,他们通常会采用几种方法来掩盖他们真实的paypal支付地址,比如短网址服务等等,这里给出相关的细节分析。 同时,AppleJ4ck和p1st会招募其他Hackforums论坛的成员,帮助他们每周给vDOS洗钱。 AppleJ4ck 在某篇文章中写道:
2016年7月的vDOS数据显示,站长为比特币支付做了额外的安全措施,他们会通过Coinbase接受比特币,同时使用45.55.55.193(美国IP)作为中间服务器来控制Coinbase的流量。当产生了一笔交易时,Coinbase会通知中间服务器,而不是直接通知保加利亚的真实服务器。 这个美国的中间服务器接收到数据后,会通知保加利亚真实服务器那边的数据库进行更新。这大概是因为vDOS的人认为,如果每日大规模的交易来自美国而不是保加利亚,就不会引起Coinbase太多的关注吧。 分析vDOS的洗钱运作手段,充分表明了他们其实明白他们的用户在利用vDOS敲诈捞钱。 在线攻击服务的管理者们,都辩称他们的服务是合法的。他们认为这类服务可以帮助网站所有者对自己的网站进行压力测试,以便更好地抵御这类攻击。虽然不知道有多少vDOS用户是在对自己的网站使用压力测试,但是泄露的vDOS日志表明,其中很大一部分是在线的网站业务。 纽约大学计算机科学系的助理教授Damon McCoy表示:
想要了解更多请看这里。 McCoy还透露,许多俄罗斯的僵尸网络运营者表示,他们不会从俄罗斯或者其他独联体国家购买恶意软件,毕竟在本土惹事还是不太好的。vDOS服务还吹嘘说,他们的攻击流量可以提升到50G/秒,这大概相当于在某一时间段,目标服务器网络管道中同时塞入两个高清Netflix电影大小的流量。 商业风险情报公司Flashpoint的安全研究总监Allison Nixon表示,vDOS的服务生成的攻击流量约在6-14G/秒。但是她指出,即使只是6G/秒的流量也足以打垮大部分没有防DDOS措施的网站。 Nixon表示:
* 参考来源:KS,FB小编dawner编译 |