この数カ月、Talos はオンライン DDoS サービスを提供する中国の Web サイト数の増加に気が付きました。これらの Web サイトの多くはレイアウトとデザインがほぼ同一で、ターゲットのホスト、ポート、攻撃手法、攻撃期間をユーザが選択できる簡単なインターフェイスを提供しています。また、サイトの大半はこの 6 ヵ月以内に登録されています。ただし、こうした Web サイトはさまざまなグループ名で運営されており、登録者もさまざまです。また、Talos はこうした Web サイトの管理者達が互いに攻撃を仕掛けていることにも気づきました。Talos は、このようなプラットフォームの作成に関与した関係者を調査し、最近流行するようになった理由を分析しようとしました。
このブログの投稿では、まずは中国の DDoS 業界を考察し、オンライン DDoS プラットフォームへの移行について解説します。次に、最近作成された DDoS プラットフォームの種類を調査し、類似点と相違点について指摘します。最後に、このようなほぼ同一の DDoS の Web サイトが最近増加している原因とされるソース コードについて調査します。
中国の”サービスとしての DDoS”
DDoS ツールおよびサービスは、依然として中国の闇市場で最も人気のある製品です。中国で最大級の人気を誇る市場のひとつ、DuTe(独特)を覗いてみると、さまざまな DDoS 関連ツールが公開されており、実際の攻撃ツールのほかに、SSH や RDP などさまざまなベクトルの Brute forcer といった関連ツールが含まれています。
さらには、WeChat や QQ などの中国のソーシャル メディア アプリケーションには、DDoS グループ、ツール、マルウェア、ターゲットの情報交換を扱う何百ものグループ チャットがあります。こうしたチャネルで交流する人々には、ハッキング グループのメンバーや顧客に加えて、仲介役の役割を果たすエージェントや広告主が含まれています。
以前、こうしたグループ チャットで普及していたのは、ユーザが購入してダウンロードし、自身のコンピュータから操作可能なツールでした。このタイプのツールの良い例が TianFa Pressure Testing System です。
TianFa DDoS ツール
こうした種類のツールは、ユーザのボットネットに関する情報を管理および提供するため、ユーザ側で攻撃イベントをカスタマイズしてターゲットの選定と攻撃手法の選択が可能です。ユーザはツールを購入してダウンロードし、自前のサーバとボットネットでこのツールを使用できます。ハッカー グループが、ツールと一緒にサーバや一定量のボットをバンドルしたり、ユーザが自分のボットネットを拡大できるようにブルートフォース ツールを含める場合もありますが、ツールの保守と展開を行うのはエンドユーザです。
オンライン DDoS プラットフォームの台頭
最近、Talos はグループ チャットで進行しているパラダイム シフトに気づきました。オンライン DDoS プラットフォームの広告がより頻繁に表示されるようになってきたのです。
広告主がオンライン DDoS の Web サイト「ShaShen」を宣伝
こうした Web サイトをいくつか調査したところ、Talos は、その多くでログインと登録ページが同一であり、背景イメージまで同じであることに気が付きました。
その上、これらの Web サイトの多くで Web サイトのデザインとレイアウトがほぼ同じで、アクティブ ユーザ数とオンラインのサーバの数、実行された攻撃の合計数(ただし、これらの数字はグループによって異なります)を掲載していることに気が付きました。さらには、こうしたサイトには、ツールの最新の更新、ツールの機能、または使用に関する制限についてグループ管理者からの通知が掲載されています。サイドバーでは、ユーザは、攻撃の準備を開始するためにアカウントを登録してアクティベーション コードを購入できます。その後、Web サイトにセットアップされたグラフィカル インターフェイスを通して、または以下に示すのと同じコマンドラインを呼び出すことで、ターゲットを攻撃できます。
http://website_name/api.php?username=&password=&host=&port=&time=&method=
ShaShen DDoS グループと Wang Zhe sec DDoS グループのほぼ同一の Web サイトのレイアウト。
デザインと機能が奇妙なほど類似していることに加えて、ほとんどの Web サイトでは、「shashenddos.club」や「87ddos.cc」など、ドメイン名に単語「ddos」が含まれていました。こうしたサイトはすべて最近登録されたものであったため、中国のソーシャル メディアからの情報だけに頼らず、Cisco Umbrella の調査ツールを使用して、名前に単語「ddos」が含まれている最近登録されたドメインの正規表現検索を実施して、Talos は新たにいくつかの Web サイトを特定できました。このような複合的な検索方法を使用して、Talos は 32 件のほぼ同一の中国語のオンライン DDoS Web サイトを特定できました(これらの Web サイトのすべてのドメイン名に「ddos」が含まれているわけではなかったので、今存在しているこのようなサイトの数はもっと多いと思われます)。
ページの類似点、および何人かの個人が同じグループで複数のサイトを登録していたという事実から、当初は 1 人の人物がすべてのサイトに関与している可能性があり、さまざまな偽名で運営しているだけではないかと考えていました。この見解を検証するために、各サイトでアカウントを登録し、Cisco Umbrella の調査ツールを使用して各サイトの登録情報も調査しました。
当事者は 1 人であるという見解はすぐに覆されました。さまざまなサイトでアカウントを登録したところ、ユーザがアクティベーション コードを購入するのに使うサードパーティの中国の決済 Web サイトが、多くの場合違うことに気が付きました(一般的な価格は 1 日使用の 20 人民元から 1 カ月使用パスの 400 人民元までさまざまです)。さらには、共通しないツールの機能(30~80 gbps の攻撃力を宣伝するサイトもあれば、300 gbps を誇るサイトもありました)がページ上に通知されていたり、別々の連絡先情報が掲載されており、カスタマー サービス用の QQ アカウントや顧客と管理者がやりとりするためのグループ チャット番号なども共通ではありませんでした。攻撃回数とユーザ数にも大きな違いがあり、あるページ(www[.]dk[.]ps88[.]org)では 44,238 人のユーザが 168,423 回攻撃したと書かれており、別のサイト(www[.]pc4[.]tw)では 13 人のユーザが 24 回攻撃したと書かれていました。
さらには、Web サイトの登録情報でも重要な違いが判明しました。ほとんどの Web サイトで登録者名や電子メールが異なっており、レジストラも異なっていました。ただし、いくつか類似点もありました。ほとんどすべてのサイトが中国のレジストラを使用し、大半がこの 3 カ月内に登録されており、ほぼすべてのサイトがこの 1 年間に登録されました。また、過半数が Cloudflare IP でホストされていました。
Wang Zhe sec と呼ばれるオンライン DDoS プラットフォームと提携している QQ グループ チャット チャネルを Talos が監視していた際、こうした Web サイトの背後には別々の関係者がいるという最終確認が得られました。というのも、私達がすでにアカウントを登録していた、ライバルのオンライン DDoS グループ、87 DDoS への攻撃をあるグループ メンバーが依頼していたのです。
Wang Zhe sec のチャット グループのメンバーがライバルのオンライン DDoS Web サイトへの攻撃を依頼
Talos は、オンライン DDoS のプラットフォームに関連する多数のグループ チャットに参加し、ライバル グループへの DDoS 攻撃の開始について数名の人物が話し合っているのに気が付きました。確かに、こうしたオンライン DDoS の Web サイトのトラフィックに目を通すと、DDoS 攻撃を受けていた可能性が示唆されています。
2017 年 7 月 1 日周辺で劇的な急上昇を示す 87 DDoS の Web サイトのトラフィック
背後に垣間見えるもの
複数のグループがほぼ同一のオンライン DDoS プラットフォームを構築しているという確信がありましたが、なぜ同じレイアウトを使用しているのか、あるいはなぜ最近一斉に出回り始めたのかがまだ分かりませんでした。中国のハッカー グループが運営するグループ チャットのある関係者が、オンライン DDoS プラットフォームの管理ページのスクリーン ショットを投稿したことで、こうした疑問の背後にある状況を把握することができました。
ある関係者がオンライン DDoS プラットフォームの管理パネルのスクリーン ショットを投稿
スクリーン ショットは、関係者がサイトの名前の選択、説明の記載、利用規約とへのリンクと URL を設定できる設定ページを示していました。興味深い項目をいくつか見つけたことで、調査のためのさらなる道筋がもたらされました。最初に、右上隅にある「Gemini」という単語に気が付きました。次に、「/yolo/admin/settings」という独自の URL に気が付きました。最後に、画面の下部にあるボタンで管理者が「Cloudflare モード」を選択できることに気が付き、多くの Web サイトが Cloudflare IP でホストされていたのを思い出しました。
ソース コードの発見と分析
この段階で、このようなほぼ同一の Web サイトの台頭は、中国のアンダーグラウンドのハッキング フォーラムや市場で提供されている、ある種の共通のソース コードが原因であるという予感がしました。我々は、こうしたフォーラムにいくつか参加して、このスクリーン ショットにある「/yolo/admin/settings」の URL を検索しました。この結果、複数のフォーラムで、オンライン DDoS プラットフォームのソース コードの販売を申し出る投稿があることが判明しました。これらはすべて中国語に翻訳された外国製の DDoS プラットフォームであると記しています。
投稿の多くは 2017 年初めか 2016 年末に行われており、DDoS プラットフォームが台頭してきた時期に合致しています。広告の写真は私達が目にした Web サイトと同じに見えました。
DDoS プラットフォームのソースコードの広告の例。
説明:「これは外国製の DDoS プラットフォームのソースコードですが、すでに中国式に修正されており、DDoS プラットフォームを手掛けたい方であれば誰でもお試しいただけます。」
デザインと設定パネルが QQ チャネルで関係者が投稿したスクリーン ショットに類似しており、右上隅に「Gemini」が含まれていることが分かります。
Talos はソース コードのコピーを入手して、分析に取り掛かりました。ソース コードが私達の監視していた DDoS の Web サイトと一致していることは明らかでした。PHP ファイルには、Web サイトで発見したアイコンと一致するアイコンが含まれていました。さらに、これらのサイトの大半が採用している背景も、画像フォルダーから見つかりました。
ソース コードから、プラットフォームが Bootstrap のフロントエンドの設計と ajax を利用してコンテンツをロードしていたことが分かりました。CSS ファイル内では作成者として Pixelcave という名前を発見しました。Pixelcave を調べてみると、調査を行ったオンラインの中国の DDoS Web サイトと同じような Bootstrap ベースの Web サイトのデザインを提供していることが判明しました。また、私達が発見した多くの DDoS Web サイトの右上隅に Pixelcave のロゴが存在しており、ソース コード内にもアイコンとして含まれていることに気が付きました。
特定されたすべての DDoS Web サイトに存在していた Pixelcave のロゴ。
ソース コードによると、このプラットフォームは、mysql データベースから情報を取得してユーザの地位(ユーザの支払いに基づいて許可される攻撃量、攻撃期間、同時攻撃回数)を評価する機能を備えています。これにより、ユーザがホストを入力して、攻撃手法(NTP、L7)および期間を選択できるようになります。この手法がサポートされておりターゲットがブラックリストに入っていなければ、サーバを呼び出して攻撃の実行を開始します。
興味深いことに、ソース コードには、攻撃できないサイトのブラックリストが掲載されており、その中には「.gov」や「.edu」のサイトが含まれていますが、変更可能であることは明らかです。さらに、あらかじめ組み込まれている利用規約(北京語)が付属しており、サイトの管理者は「違法」行為に対する一切の責任を免除され、このサービスはテスト目的のためのみであると主張しています。
このコードでは、支払い額、未払いチケット、契約中のログインと攻撃の合計回数の概要、およびホスト、攻撃期間、攻撃を実施するサーバといった攻撃の詳細情報を、管理者が監視できます。管理者はアクティベーション コード システムを設定することもできます。
ソース コードはもともと英語で書かれていましたが、(宣伝通りに)最終的なプラットフォームでは中国語のグラフィックス表示になるよう変更されたことは明らかです。ソース コードには、Paypal およびビットコイン経由の決済システムを管理者が設定するオプションも用意されています。中国の関係者がこれに変更を加えて、サードパーティの支払いサイトや Alipay といった中国の決済システムに切り替えたようです。実際に、あるイメージ フォルダ内の Paypal のアイコンが Alipay アイコンのように変更されています。
元のソース コードの派生元はこの記事の執筆の時点では明らかではありません。ただし、DataBooter ツールといった、オンライン DDoS サービスを提供する英語の Web サイトがいくつか存在しています。このような Web サイトは中国の DDoS プラットフォームと類似している部分があります。たとえば、ブートストラップベースのデザインで、Cloudflare でホストされており、攻撃回数、ユーザ数、オンラインのサーバ数を通知する同様のグラフィックを備えています。
databooter [..]com のレイアウト。レイアウトが中国語のオンライン DDoS Web サイトに少し似ています。
Talos は、この数年間ハッカー フォーラムでこうした種類の英語の DDoS プラットフォームのソースコードが販売されているのに気が付いていました。直接的な証拠は見つかっていませんが、中国の関係者がこのソース コードまたはこれをベースとしたコードを入手して、変更を加えて中国の消費者に合うようにローカライズした可能性があります。
まとめ
最近の中国語のオンライン DDoS プラットフォームの台頭は、中国のハッカー フォーラムで販売されるソース コードと関連しているようです。このソース コードは、もともと英語のオンライン booter 用に作成されたコードのローカライズ版のように思われます。
容易に操作できるインターフェイスであり、必要なインフラストラクチャをすべてユーザに提供しているのでボットネットの構築やサービスの追加購入が不要であることから、オンライン DDoS プラットフォームは人気を維持しています。代わりに、ユーザは信頼できる支払サイトを通じてアクティベーション コードを購入し、ターゲットを入力するだけですみます。これにより、DDoS グループのバックエンド インフラストラクチャの強さによっては、ほぼ初心者でも強力な攻撃を仕掛けられるようになります。
Talos は、中国の DDoS 業界に出現するさらに大きな傾向に加えて、新たに作成されるオンラインの中国語の DDoS プラットフォームに関する中国のハッカー フォーラムとグループ チャットを引き続き監視していきます。
IOC:
オンライン DDoS Web サイト
www[.]794ddos[.]cn
www[.]dk.ps88[.]org
www[.]tmddos[.]top
www[.]wm-ddos[.]win
www[.]tc4[.]pw
www[.]hkddos[.]cn
www[.]ppddos[.]club
www[.]lnddos[.]cn
www[.]711ddos[.]cn
www[.]830ddos[.]top
www[.]bbddos[.]com
www[.]941ddos[.]club
www[.]123ddos[.]net
www[.]the-dos[.]com
www[.]etddos[.]cn
www[.]jtddos[.]me
www[.]ccddos[.]ml
www[.]87ddos[.]cc
www[.]ddos[.]cx
www[.]hackdd[.]cn
www[.]shashenddos[.]club
www[.]minddos[.]club
www[.]caihongtangddos[.]cn
www[.]zfxcb[.]top
www[.]91moyu[.]top
www[.]xcbzy[.]club
www[.]this-ddos[.]cn
www[.]aaajb[.]top
www[.]ddos[.]qv5[.]pw
www[.]tdddos[.]com
www[.]ddos[.]blue
IP
104[.]18.54.93
104[.]18.40.150
115[.]159.30.202
104[.]27.161.160
104[.]27.174.49
104[.]27.128.111
144[.]217.162.94
104[.]27.130.205
103[.]255.237.138
45[.]76.202.77
104[.]27.177.67
104[.]31.86.177
103[.]42.212.68
142[.]4.210.15
104[.]18.33.110
104[.]27.154.16
104[.]27.137.58
23[.]230.235.62
104[.]18.42.18
162[.]251.93.27
104[.]18.62.202
104[.]24.117.44
104[.]28.4.180
104[.]31.76.30
本稿は 2017年8月15日に Talos Group のブログに投稿された「Booters with Chinese Characteristics: The Rise of Chinese Online DDoS Platforms」の抄訳です。