一个被黑客攻击的DDoS点播网站提供了“引导”用户的想法

2018-06-19 29

一个被黑客攻击的拒绝服务网站泄露的数据库提供了一些关于个人为了几美元或比特币离线支付什么样的目标的信息。而且可以肯定的说,其中很大一部分不是天空中最亮的星星。为了了解谁将使用这种服务以及出于什么目的,Ars分析了最近被黑客攻击的DDoS出租网站lizardsland s LizardStresser的数据。

Booter 或 stresser 站点为用户提供了支付针对目标的分布式拒绝服务攻击的能力,这些站点承诺试图用合法负载测试站点的遮羞布来掩饰攻击的性质。与LizardStresser的情况不同,LizardStresser是由被称为lizardsbland的分布式拒绝服务小组建立的雇佣僵尸网络。该组织利用其圣诞节周对微软Xbox Live网络和索尼Playstation网络的DDoS攻击作为新服务的广告形式。

从那以后,对玩家的攻击占了LizardStresser工作负载的很大一部分。尽管服务客户发起的攻击有一半以上是针对Web服务器,但很大一部分是针对个人或小型社区游戏服务器,包括《我的世界》服务器。

自从LizardStresser推出以来,lizardbland的情况并没有那么好。这项使用黑客入侵的家庭和机构路由器的僵尸网络的服务推出后不久,lizardbland的成员开始被捕。上周,LizardStresser服务器遭到黑客攻击,其数据库被darknet doxing site Doxbin的前运营商转储并发布到Mega。

因此,lizardband s customers的用户名和密码,以及被路由器僵尸网络攻击的互联网地址的日志,都公开给大家看。无论你信不信,在lizardsland提出了DMCA拆除请求后,Mega已经撤回了数据库转储。但是这个文件已经被镜像到了其他地方,现在那些犯了重新使用密码和注册实际电子邮件地址错误的服务客户已经遭到了另一种攻击。

另一个潜在问题是用户 IP地址的混淆日志。为了防止用户与其朋友共享 booter 帐户,LizardStresser根据帐户设置时使用的地址散列来检查用户的IP地址。对于任何愿意花一点时间破解数据库中包含的用户 IP地址MD5散列的人来说,这都是潜在的黄金——考虑到散列数据的结构,这项任务并不是密码学问题中最困难的。任何潜在的破解者都会完全归因于过去一个月发生的数千起拒绝服务攻击。

未清洗的massethought近13000个用户注册了LizardStresser服务,实际上只有大约250个用户使用它做了任何事情。半数以上的用户发起的短攻击不到20次,只有30个用户发起的短攻击超过100次。lizardband的客户支持显然是基于lulz的,因为这些用户中的许多人显然无法按照指示行事——这清楚地表明了大多数试图购买(或免费乞求) DDOS时间的人的技术技能。

日志中针对故障单最常见的消息是,这是我们的票证系统自动发出的响应,表示我们已关闭您的票证而没有响应,因为您显然还没有阅读常见问题解答,今后请在打开票证之前阅读它,这种情况不会再次发生。

然后有一个用户留言:

问候y 所有蜥蜴。

我在你的Twitter账户上听说,你的引导程序正在大量黑客攻击的路由器中运行。我想到了一个主意。

我计划在不久的将来用自己的恶意软件感染几千人(不会做任何DDoS方面的事情。) .我知道有1到2 / 3的人不会增加太多的能量,但是当我用他们做我的事情时,有什么方法可以帮助你感染这些人吗?

你可能想知道我为什么要帮忙。良好的...比方说,我很开心的看着所有的大惊小怪,好吧,我计划在未来得到一个终身包,那么,为什么不帮助我未来的DDoS提供商呢?我在等你的回答,向你问好。

lizardband s回答:

你是弱智,如果我们想要人,那我们就这样得到他们?如果我们可以有专门的机器人,为什么我们会让你参与进来。

哟,我把你从《我的世界》赶走了,LizardStresser发起的攻击几乎没有一个是针对主要网站的。大多数Web攻击都集中在小型主机公司的服务器上,尽管许多攻击都是在CloudFlare后面保护的站点上进行的,这些站点的IP地址无法识别。位于旧金山的Centauri通信公司的一台服务器d托管公司是唯一最有针对性的地址,收到了由一个用户订购的来自LizardStresser的1480次攻击。

该用户总共攻击了20个站点(而且经常是反复攻击),是lizardband的最佳客户,负责日志中该服务发起的所有攻击的五分之一。具有讽刺意味的是,他的用户名是 ryanbrogan ——一名联邦调查局特工的名字,他为新泽西州纽瓦克的调查局部门调查网络犯罪。布罗根参与了2013年主机提供商Linode遭黑客攻击的调查。

Ars对the zardstresser数据库的分析发现,该服务在过去一个月中发起了近16000次单独攻击,目标是仅超过3900个IP地址。这些攻击绝大多数( 67 % )都是针对公共Web服务器端口( HTTP的端口80和8080;以及对HTTPS端口443的少量但很大数量的攻击)。占攻击总数近7 %的第二大攻击目标是《我的世界》服务器使用的网络端口25565端口。

其次最受欢迎的目标是共享主机帐户的Parallels Plesk控制面板,约占攻击的5.5 %。LizardStresser的客户还尝试攻击域名服务和文件传输协议服务。排在最前面的攻击是对Xbox Live和战场4游戏流量的攻击,其目的可能是基于特定个人指向住宅IP地址的事实来中断对他们的服务。

其他主要目标是内华达州、魁北克、波兰和马来西亚的主机公司。这些攻击很可能集中在攻击者怀恨在心的Web论坛和个人网站上。ars试图联系Centauri和其他托管公司,询问他们有关袭击的情况,但我们只联系到一家拒绝透露身份的公司的现场人员。我们一直受到攻击,他说,并指出上个月拒绝服务攻击的数量没有什么特别值得注意的。