DDoSaaS！國內地下 DDoS 攻擊產業大升級揭秘 嘶吼RoarTalk

DDoS即服務在中國

目前，DDoS工具和服務仍然是中國地下黑市中最受歡迎的產品之一。根據Talos團隊的統計，目前「獨特」社區是中國最受歡迎的黑客論壇及交易平台之一，該平台會介紹各種DDoS相關工具，包括實際的攻擊工具，以及相關的工具，例如用於不同攻擊向量（包括SSH和RDP）的暴力破解器。

另外，中國的社交媒體應用如WeChat，QQ等都有數百個DDoS群聊組，專門用於介紹和銷售各種相關的工具、惡意軟體和攻擊目標。這些群聊組的人可以分為三大類：黑客群體、意向購買客戶以及各種攻擊工具的代理商和廣告商。

以前，群聊中的主要產品都是一些讓用戶進行下載並安裝的工具，否則無法進行操，比如，天罰DDOS壓力測試系統。

這些工具管理和提供有關客戶所需的殭屍網路的信息，然後允許用戶自定義攻擊事件，選擇目標並選擇攻擊方法。用戶可以購買該工具，下載副本，並使用自己的伺服器和殭屍網路。偶爾，黑客團體還會為客戶捆綁一些伺服器或一定數量的木馬或包括強制性的工具來幫助用戶增長自己的殭屍網路，但工具的維護最終還是得靠用戶自己。

在線DDoS平台在中國的興起

最近，Talos已經注意到小組聊天中正在逐漸發生變化。在線DDoS平台的廣告已經開始出現且出現的頻率較高，下圖就是「殺神」在線DDoS網站的宣傳廣告：

在監控了其中幾個網站後，Talos注意到許多網站具有相同的登錄和註冊頁面，同樣的背景圖片：

此外，Talos還觀察到，這些網站中有許多網站設計和布局幾乎相同，顯示了在線活動用戶和伺服器的數量以及已執行的攻擊總數（儘管這些數字在不同組之間有所不同）。此外，這些站點還包含組管理員關於該工具的最新更新，比如功能或使用限制的通知。用戶只需要註冊一個帳戶，購買激活碼即可開始發起攻擊，然後通過網站上設置的界面或通過相同的命令行調用來攻擊目標，方法如下：

從以上兩幅圖可以看出，「殺神」在線DDoS網站和王者DDoS的網站布局幾乎一模一樣。除了設計和功能方面的驚人相似之外，大多數網站在其域名中都有「ddos」，即「shashenddos.club」或「87ddos.cc」。由於這些網站都是最近才註冊的，除了通過智能搜索在中國社交媒體來發現這些ddos域名外，Talos團隊通過使用Cisco Umbrella對新註冊網站但還未公開的網站進行了檢測，檢測方法是通過包含有「ddos」字串的正則表達式對最近註冊的域名進行搜索。使用這些搜索方法，Talos已經識別了32個幾乎完全相同的中文在線DDoS網站（可能還有更多的網站），因為並不是所有的域名都有「ddos」 字串。

由於頁面的相似之處，以及一些個人為同一個群體註冊了許多站點，Talos團隊最初懷疑所有網站都是由一位開發者運營的，只不過用的域名不一樣而已。為了驗證這個猜測，Talos團隊在每個站點註冊了一個帳戶，並且還使用Cisco Umbrella的調查工具來檢查每個站點的註冊信息。

不過事實推翻了研究人員的最初猜測，在各個網站註冊賬號後，研究人員注意到有許多用戶可以通過不同的第三方中文支付網站購買激活碼（價格從20元左右到400元左右）。此外，這些網站頁面上的公告也顯示了不同的工具功能（一些工具的攻擊強度為30-80gbps，而有一些則高達300gbps），以及不同的聯繫人信息，包括用於客戶服務的各種QQ帳戶以及客服聯繫方式。另外，還有一個網站的頁面http://www.dk.ps88.Org，它列出了44538位用戶，而另外一個網站的頁面http://www.pc4.Tw則列出了13個用戶發起的24次攻擊。

此外，網站的註冊信息也揭示了其中最主要的差異。大多數網站有不同的註冊人姓名和電子郵件，以及不同的註冊商。但也有一些相似之處，幾乎所有人都是中國註冊商，其中大多數是在過去3個月內註冊的，且幾乎全部都是在過去一年裡登記的。另外，一半以上的註冊商都是在Cloudflare IP上託管的。

所以經過各方面對比，Talos團隊最後確認，這些相似的網站背後的運營者是不同的，當研究人員在監視王者在線DDoS平台的QQ群聊聊天時，觀察到一個小組成員要求對抗競爭對手的在線DDoS組——87 DDoS。

Talos研究人員也加入了一些與在線DDoS平台相關的群聊，並發現有多個運營者正在討論著對對手發起DDoS攻擊的計劃。事實上，看看這些在線DDoS網站的一些流量，就表明他們可能經歷了DDoS攻擊，下圖顯示了2017年7月1日，有87個DDoS網站流量大幅上升

未來發展的趨勢分析

有很強的跡象表明，多個運行商正在建立幾乎一模一樣的在線DDoS平台，但至於為什麼這些網站的布局相同，且都是最近才開始出現的，還有待進一步研究。

於是Talos團隊開始深入了解這些問題的背後原因，下圖是一位中國黑客組織的團隊運營者所提供的一張在線DDoS平台管理頁面的屏幕截圖：

上圖顯示了一個設置頁面，其中開發者可以選擇站點的名稱，編寫描述，並提供服務條款和URL的鏈接。

首先，研究人員在右上角注意到「雙子座」一詞。

其次，研究人員注意到「/yolo/admin/settings」的唯一URL。

最後，研究人員注意到屏幕底部有一個按鈕，管理員可以選擇「Cloudflare模式」，這就意味著有很多網站被託管到相同的雲端IP。

查找和分析源代碼

可以肯定，這些幾乎同時興起的類似網站，肯定具有某種共享的源代碼，這可能是由中國地下黑客論壇和市場提供的。於是，研究人員去了幾個論壇，並搜索屏幕截圖中顯示的「/yolo /admin/settings」URL。調查發現，有幾個論壇都有一個在線DDoS平台銷售源代碼的帖子，且都是已被翻譯成中文的外國DDoS平台。

許多帖子是在2017年初或2016年底完成的，這與DDoS平台興起的時間正好呼應，廣告中的圖片看起來就是實際看到的網站：

以上是DDoS平台源代碼的廣告示例，不過要注意的是，這是一個國外的DDoS平台源代碼，不過已經被漢化了，該設計和設置面板和一個QQ頻道差不多，並在右上角包括「雙子座」的字眼。

Talos獲得了該DDoS網站源代碼的副本並進行了分析。很明顯，觀察到的所有DDoS網站使用的就是這套源代碼，例如文件夾中包含的PHP文件以及相同的網站圖標。此外，這些網站中大多數使用的背景也可以在圖像文件夾中找到：

源代碼顯示，該平台依賴於Bootstrap前端設計和ajax來載入內容。在CSS文件中，研究人員發現一個名為Pixelcave的開發者。通過對Pixelcave的研究，我們發現他們提供了基於Bootstrap的網站設計，看起來類似於檢測過的在線中文DDoS網站。我們還注意到，Pixelcave的標誌存在於發現的許多DDoS網站的右上角，並且還作為圖標包含在源代碼中。

根據源代碼的分析，該平台具有從mysql資料庫提取信息並根據用戶的支付來評估用戶的身份（即攻擊次數，攻擊持續時間，以及允許用戶的並發攻擊次數）的功能。然後，它允許用戶輸入主機，選擇攻擊方法（即NTP，L7）和持續時間。如果該方法由開發者支持，並且目標未被列入黑名單，則會調用伺服器開始執行攻擊。

有趣的是，源代碼為不能受到攻擊的站點提供了所謂的「黑名單」，比如包含「.gov」和「.edu」站點。此外，源代碼還附帶了一個預先載入的中文服務條款，這樣可以免除網站管理員對「非法」行為的任何牽連責任，並聲稱其服務僅用於測試目的。

該代碼還允許管理員監控付款是否成功，登錄和攻擊的總數，以及有關攻擊的詳細信息，如主機，攻擊持續時間以及哪個伺服器正在執行攻擊。此外，管理員還可以設置激活碼系統。

很明顯，這些源代碼最初都是用英文寫的，但是被漢化了。源代碼還為管理員提供了通過PayPal和Bitcoin設置支付系統的選項。不過，中國的運營商很可能已將其轉換成了中國支付系統，如第三方支付網站或支付寶等。因為，調查人員發現一個圖像文件夾中的Paypal圖標被更改為類似於支付寶的圖標。

關於原始源代碼，本文並不做具體分析。但是，有幾個提供在線DDoS服務的英文網站，例如DataBooter。這些網站與中國DDoS平台有一些相似之處。例如，它們都具有基於引導的設計，託管在Cloudflare上，並具有類似的顯示攻擊次數，用戶數和伺服器數量的提示。

上圖就是databooter[.]com的布局，布局與中國在線DDoS網站有些相似。過去幾年中，Talos已經觀察到在黑客論壇上已經有人在銷售英文版的DDoS平台源代碼。中國的開發者可能就是通過這個渠道獲得的源代碼（目前還沒有找到直接的證據），並將其進行了漢化。

總結

近期中國在線DDoS平台的興起似乎與中國黑客論壇的出售代碼相關，而這些代碼似乎都是都是由英文漢化過的。

在線DDoS平台由於易於使用的界面，並且已經為用戶提前提供了所有必要的基礎操作功能，因此不需要用戶再去構建殭屍網路或購買額外的服務。用戶只要通過支付購買激活碼，然後簡單地輸入其目標就可以發動攻擊了，這樣即使是沒有任何經驗的攻擊者也能夠發起強大的攻擊。

Talos將繼續監控中國黑客論壇和相關的群聊，為新建的在線中文DDoS平台以及中國DDoS行業帶來更多趨勢分析。

更多相關內容可點擊瘋貓網路官網：https://www.loscat.com/

微信公眾號：iloscat