截至2014年底,ASERT提出的研究,我们映射在俄语论坛上一些DDoS攻击足球运动员的广告到他们幕后的DDoS攻击的僵尸网络基础设施。对于这篇文章,我们将通过查看这些映射中的另一个并尝试估计DDoS服务产生的收入来跟进该研究。

它始于广告

在这个市场中,它几乎总是从许多俄语公共论坛之一的DDoS引导服务广告开始。在本案例研究中,名为“Forceful”的威胁行为者运行该服务。搜索他们的ICQ号码和/或Jabber地址会从2014年11月左右开始返回一些广告。这是一个示例广告(谷歌翻译):

广告

这些类型的广告通常包含:

花哨的标志,横幅或座右铭
简要说明DDoS是什么
他们支持的DDoS攻击类型
价钱
声誉信息
联系方式
然后转向OPSEC错误

但是,这些广告通常不包含的是用于执行购买的DDoS攻击的僵尸网络的命令和控制(C2)详细信息。从广告跳转到僵尸网络通常需要威胁行为者犯下公共操作安全(OPSEC)错误。这些错误有很多种类,这是Forceful的错误之一:

av_test_p1

av_test_p2

该演员参与了一个论坛讨论,讨论了一个用于加密/混淆恶意软件可执行文件以帮助逃避防病毒检测和阻碍分析的工具。与该线程中的其他参与者一样,Forceful发布了病毒扫描服务结果的屏幕截图,以测试套管对恶意软件样本的有效性。在屏幕截图的底部,它列出了加密可执行文件的以下哈希值:

cf87f70901a1f16015bd10c289e8c3ed(MD5)
d361e3ddfc4e6f03ed7bad5586934854478708a5(SHA1)
编译日期:2015-09-19 12:39:43
Forceful的错误在于,它不是删除测试可执行文件,而是分发到野外。一旦发布,它被ASERT的恶意软件动物园和其他人接收。

恶意软件

这个恶意软件的C2域名是“kypitest [。] ru”,它的手机主页看起来像:

phonehome

HTTP请求展示了G-Bot DDoS机器人的迹象。访问机器人的C2小组证实了这种怀疑:

kypitest_panel

以下示例也相关:

7ab6d627c7149ec88909a90bd64ce6e1(MD5)
SHA1:4fab28b1bbce94f077861ca2d9d8299b005fa961(SHA1)
编译日期:2015-07-02 12:57:16
攻击

ASERT通过我们的BladeRunner僵尸网络监控系统密切关注DDoS僵尸网络及其攻击活动,而kypitest [。] ru也不例外。我们为此僵尸网络记录的第一次攻击发生在2015年7月9日,自那以后一直有稳定的活动:

攻击

在撰写本文时,已在以下国家/地区的108个唯一目标主机/ IP上发现了攻击:

国家

攻击可以分为以下几种:

attack_types

第二个OPSEC错误有助于确认

虽然自我识别的DDoS威胁演员发布已知DDoS恶意软件的MD5哈希,但感觉就像是DDoS即服务广告和DDoS僵尸网络之间的可靠链接; 威胁演员的第二次OPSEC错误有助于加强他们与kypitest [。] ru的联系。2015年11月11日,Forceful开始了一个论坛帖子(包括ICQ即时消息日志)抱怨另一个论坛(tophope [。]。ru)不公平地删除了他们的DDoS广告:

opsec2

谷歌翻译的线程并不是很好,但是一位精通俄语的同事提供了一些更有趣的部分的有用翻译:

所以,我今天决定提出我的旧帖[链接]并发现它在没有任何通知的情况下被删除了。试图联系某人聊天 - 没有回应,试图联系管理员“Nerom” - 也没有回应。好吧,我决定“充电”他们的论坛1-2个小时,只是为了测试。在几分钟内,愤怒的管理员联系我

...

Nerom:你透露了自己

Nerom:我今天会去警察局

Nerom:发表声明

555762555:嗯,你想要一个测试

555762555:这怎么不是考试?

Nerom:嗯,测试无效

Nerom:你在没有保护的情况下攻击服务器

...

Nerom:我发了言

Nerom:您的IP正在检查中

Nerom:明天有人会拜访你

两天后,即2015年11月11日,BladeRunner观察到以下情况:

bladerunner_attacks

这是由上述参考论坛及其托管IP地址上的kypitest [。] ru C2排序的多管DDoS攻击。

估计

在运行这些数字之前,让我们来看一下特定的攻击。从2015年8月8日08:47左右开始,针对加密货币采矿池启动了“.httpflood”攻击。袭击持续了两天,持续了大约21个小时,直到2015年8月11日06:07左右。根据8月8日发给采矿池Reddit的帖子,看起来好像这次袭击不幸成功:

评论

威胁演员的定价可在DDoS引导广告中找到:

每日 - 60美元
每周 - 400美元
订单满$ 500可享9折优惠
订单满1000美元可享15%折扣
广告中未指定每小时价格,因此此处使用2.50美元(60美元/ 24小时= 2.50美元)的价格。根据这些价格,上述攻击产生的估计收入为:

2天x 60美元+ 21小时x 2.50美元= 172.50美元(四舍五入至173美元)

对其他观察到的攻击使用此方法,进行了以下估算:

数字

BladeRunner大约每小时轮询一次僵尸网络,因此攻击持续时间不到一小时就不那么准确了。此外,根据Forceful的广告,他们提供免费的5-10分钟测试,因此很多这些条目都是快速测试是可行的。出于这两个原因,它们不计入收入估算。

相同时间范围内的相关域和IP在同一攻击中组合在一起。以黄色突出显示的攻击在同一目标上,但相隔数天进行。

最后,2015年7月9日至2015年10月18日期间82次袭击的估计总收入为5,408美元。每次攻击的平均估计收入为66美元,每天的平均估计收入为54美元。

结论

正如我们在Arbor最新的全球基础设施安全报告(WISR)中所看到的,DDoS攻击受害者的平均成本约为每分钟500美元。正如我们上面所看到的,攻击者的平均成本仅为每次攻击66美元。这一发现强调了DDoS攻击者与DDoS攻击受害者的经济极端不对称,以及强大的DDoS防御对所有组织的重要性,这些组织依赖于他们的在线存在以获得收入,客户支持和其他重要性业务功能。发起DDoS攻击的成本非常低,以至于攻击者进入的门槛几乎为零 - 这意味着*任何*组织都可能成为DDoS攻击的目标,因为发动攻击所需的投资很低。

此外,重要的是要了解靴子/修整器操作员的经济性是非常有利的。booter / stresser运营商正在利用PC,服务器和家庭宽带路由器等物联网设备来建立一个DDoS即服务型企业,其基础设施和带宽成本为零,因为启动/解决方案服务是秘密的,非法利用基础设施和属于他人的连通性; 基金/经纪人运营商不对服务的非法收益纳税; 数百甚至数千名攻击者可以同时利用booter / stresser服务发起DDoS攻击,从而大大提高了该服务的免税/免费收入。