Loading
0

两年内赚到60万美元?走近以色列在线攻击服务vDOS

vDOS这个在线攻击服务,在过去的两年里挣了60多万美元,同时帮助客户发起了15万次以上的DDoS攻击。然而戏剧性的是,现在vDOS自己却被入侵了,泄露了成千上万的付费用户和被DDoS目标的数据。

1.png

vDOS服务简述

在2016年7月底,根据KrebsOnSecurity.com获取的vDOS数据显示,该攻击服务的站长是两个来自以色列的年轻人,此外还有着几位来自美国的年轻人为他们做技术支持。

vDOS在过去的几年里发起了一系列的DDoS攻击,以攻击持续的秒数作为定价的基准。在2016年4月到7月之间,vDOS对不同的目标发起了大约2.77亿秒的攻击,合计约8.81年的攻击时间。

然而,这个惊人的近9年的DDoS年(笔者自己给它命的名),实际时间被vDOS的工作人员压缩到了仅仅4个月。虽然没有确实的证据,但是vDOS很可能已经制造了数十个DDoS年。因为泄露的数据显示,该攻击服务至少曾在2012年9月-2016年3月间是有记录的。

vDOS是如何被黑的

黑掉vDOS的黑客,他在一个相似的在线攻击服务PoodleStresser上发现了一个漏洞,这能够让他下载攻击服务器的配置文件,而文件地址指向了api.vdos-s.com。有意思的是,PoodleStresser以及一大批其他在线攻击服务,似乎完全依赖vDOS提供火力。

黑客由此发现了vDOS一个更严重的漏洞,足以让他下载vDOS服务所有的数据库和配置文件。同时,他发现了vDOS在保加利亚租用的四个攻击服务器(由verdina.net提供)的真实地址。他们采用了Cloudflare云作为DDoS服务的保护层,而vDOS真实网络地址为82.118.233.144。

vDOS在地下论坛有着一定的声誉,让人触目惊心的是,这次泄露的vDOS数据让我们看到了成千上万的付费用户。

这里有个小插曲,曾有一些vDOS客户曾抱怨他们无法攻击以色列的网站。而vDOS技术人员则声称,vDOS老大自己就是以色列人,所以由于诸多原因,他们是不能攻击本国的。

下面是一些对话:

(‘4130′,’你好,d0rk,由于种种安全问题,所有以色列IP都被列入了黑名单,感谢您的支持。’,’03-01-201508:39),

(‘15462′,’你好,g4ng,其实我自己是以色列人,所以并不希望我的祖国出现什么事,谢谢您的支持。’,’11-03-201515:35),

(‘15462′,‘你好,roibm123,因为我自己都是以色列IP,保不齐哪天就用上了黑名单里的IP,所以我的做法相信大家都理解的。’,’06-04-201523:04),

(‘4202′,’你好,zavi156,不好意思啊,这IP是以色列的IP,已经被列入了禁止攻击的黑名单,十分抱歉。’,’20-05-2015 10:14),

(‘4202′,’你好,zavi156,因为站长本人是以色列人,考虑到保护自身地区网络的原因,所以我们不能攻击以色列IP。’,’20-05-2015 11:12),

(‘9057′,’这可以用paypal支付吗,我会支付价值超过2.5美元的货币,咱也算是老雇主了,客服大哥能给点方便?不行的话,能不能帮我问问你们老板AplleJack?我是在以色列听说他的名号的,谢谢啊~’,’21-05-2015 12:51),

(‘4120′,’你好,takedown,以色列的IP都被列入了黑名单,vDOS是无法进行攻击的,AppleJ4ck敬上。’,’02-09-201508:57),

谁在操纵vDOS服务

正如我们在vDOS技术支持回答中看到的,vDOS背后的老大是来自以色列的两位年轻黑客,分别是P1sta.k.a.P1st0和AppleJ4ck。他们主要把自己的服务放在hackforums.net上出售,根据实际情况分级定价,大概20美元-200美元/每月不等。AppleJ4ck在hackforums上采用了同样的ID,而P1st则论坛上采用了M30w作为ID。

2.png

vDOS可能是hackforums上最长寿的在线攻击服务,可能也是迄今为止同类服务最赚钱的。自2014年7月以来,它拥有了有成千上万的付费用户,几年间通过比特币和PayPal收获了61.8万美元。

此外,曾有一段时间它也接受信用卡付款。但是由于泄露的数据库里并没有包含相关信息,所以这里尚不清楚有多少网站是在信用卡支付后受到攻击的。

托管vDOS服务的Web服务器上面还有一些其他网站,比如huri.biz和ustress.io和vstress.net。几乎所有的vDOS管理都拥有v-email.org的邮箱账号,这个域名是Itay Huri注册,注册者手机号也是来自以色列的。

vDOS的在线客服系统,则使用了Nexmo.com的短信服务绑定了6个手机号。其中有2个是以色列的号码,有一个是Itay Huri在v-email.org注册的手机号,其他都是以色列人Yarden Bidani的号码。

泄露的数据表明,vDOS使用了Mailgun来进行邮件管理,在泄露的文件里还含有Mailgun服务的密钥。有数据表明,vDOS技术支持的邮箱有:

itay@huri.biz

itayhuri8@gmail.com

raziel.b7@gmail.com

DDOS攻击盈利后的洗钱行动

vDOS泄露的61.8万美元的盈利很明显是一个保守的数字,毕竟它的服务可以追朔到2012年9月。但是,在2014年前是没有付款记录的,所以笔者估计vDOS的管理们至少收入超过百万美元。

vDOS目前不接受PayPal支付,但是近几年的记录显示,vDOS试图通过PayPal服务的循环链洗钱。

他们这样做,是因为PayPal 正在和某学术研究团队合作,识别追朔像vDOS这样的在线攻击服务相关的账户。如果大家想了解更多,可以看看2015年8月的文章。

此外,他们通常会采用几种方法来掩盖他们真实的paypal支付地址,比如短网址服务等等,这里给出相关的细节分析。

同时,AppleJ4ck和p1st会招募其他Hackforums论坛的成员,帮助他们每周给vDOS洗钱。

AppleJ4ck 在某篇文章中写道:

“Paypal是不会验证钱的来源的,每次交易约200-300美元,我每天会做2-3笔这样的交易。”

3.png

2016年7月的vDOS数据显示,站长为比特币支付做了额外的安全措施,他们会通过Coinbase接受比特币,同时使用45.55.55.193(美国IP)作为中间服务器来控制Coinbase的流量。当产生了一笔交易时,Coinbase会通知中间服务器,而不是直接通知保加利亚的真实服务器。

这个美国的中间服务器接收到数据后,会通知保加利亚真实服务器那边的数据库进行更新。这大概是因为vDOS的人认为,如果每日大规模的交易来自美国而不是保加利亚,就不会引起Coinbase太多的关注吧。

分析

vDOS的洗钱运作手段,充分表明了他们其实明白他们的用户在利用vDOS敲诈捞钱。

在线攻击服务的管理者们,都辩称他们的服务是合法的。他们认为这类服务可以帮助网站所有者对自己的网站进行压力测试,以便更好地抵御这类攻击。虽然不知道有多少vDOS用户是在对自己的网站使用压力测试,但是泄露的vDOS日志表明,其中很大一部分是在线的网站业务。

纽约大学计算机科学系的助理教授Damon McCoy表示:

 “实际上,vDOS是非常难区分他们的服务是否用于合法途径的。”

想要了解更多请看这里。

McCoy还透露,许多俄罗斯的僵尸网络运营者表示,他们不会从俄罗斯或者其他独联体国家购买恶意软件,毕竟在本土惹事还是不太好的。vDOS服务还吹嘘说,他们的攻击流量可以提升到50G/秒,这大概相当于在某一时间段,目标服务器网络管道中同时塞入两个高清Netflix电影大小的流量。

商业风险情报公司Flashpoint的安全研究总监Allison Nixon表示,vDOS的服务生成的攻击流量约在6-14G/秒。但是她指出,即使只是6G/秒的流量也足以打垮大部分没有防DDOS措施的网站。

Nixon表示:

“最关键的是这种服务的价格基本大部分人都能承受,因为只需要大约30美元一个月。这意味着其他站长在网上必须有针对DDOS的解决方案,否则任何人都轻松打垮你。同时,这也昭示着DDOS保护已经成为了运行一个网站的额外附加条件。”

【声明】:8090安全小组门户(https://www.8090-sec.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们:邮箱hack@ddos.kim,我们会在最短的时间内进行处理。