freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

起底世界上最大的防弹主机服务提供商
2020-05-02 15:00:43

过去至少十年中,一个被称为Yalishanda、Downlow、Stas_vl的人运营着世界上最受欢迎的“防弹主机”服务提供商之一,该服务满足了众多的恶意需求,如网络钓鱼、网络犯罪论坛、恶意软件下载服务器等。以下介绍一系列线索指向一名现实中的俄罗斯男子可能是当今互联网上大量犯罪活动基础设施的提供者。

在查阅了大量有关取缔防弹主机服务所面临挑战的资料后,进行了这项研究。攻击者依靠这些防弹主机服务对执法机构的滥用投诉与法律传票视而不见。Yalishanda 作为世界上最受欢迎的防弹主机服务提供商之一,也在网络犯罪论坛中进行大规模的宣传。根据其宣传,其基础设施已经托管了数百个恶意网站,其中包括大量的网络犯罪论坛、盗窃***交易平台、勒索软件下载服务器、和 Magecart 相关的基础设施与大量模仿银行、政府网站的钓鱼网站。

对我个人而言,在 2010 年撰写关于Fizot的稿件时首次发现了 Yalishanda 这个称呼。当时这个称呼被另一个网络犯罪分子所使用,他们通过TDSS恶意软件感染了数量巨大的 Windows 计算机构建了庞大的网络结构,帮助他们的客户将流量匿名路由到全球互联网中。

Fizot 的故事广为流传后,我们从一位知情人士处得知“Yalishanda 与 Fizot 共享某些基础设施”。消息来源同时指出了当时正在活跃的域名mo0be-world.com是 2010 年通过电子邮件stas_vl@mail.ru使用Aleksandr Volosovyk注册。现在的网络犯罪分子通常不会在域名注册记录中使用真实姓名了,尤其是用于非法行为的域名。但是不论出于什么原因,看上去确实是 Volosovyk 先生所为。

身份之谜

根据 Aleksandr Volosovyk 先生注册的域名和电子邮件地址可以发现他居住在 Vladivostok(符拉迪沃斯托克,原名海参崴),该城市是俄罗斯一个主要的太平洋港口城市,与中国和朝鲜较近。Yalishanda 这一称呼在中国的普通话中与其名字 Alexander 相同,都为“亚历山大”。

以下是 Yalishanda 在 2011 年在一个网络犯罪论坛的宣传简介,当时在.biz下运行防弹主机服务。

架设在亚洲与欧洲

允许的网站:普通网站、门户网站、广告软件、tds、warez、pharma、间谍软件、zeus、IRC 等

允许被动垃圾邮件,如 Web 垃圾邮件类的 Hrumer、A-Poster

禁止的网站:外发垃圾邮件、DP、色情网站、钓鱼网站(鱼叉邮件、社交网络钓鱼除外)

僵尸网络(zeus)中的服务器可以立即使用,价格令人满意!价格与具体托管内容有关!!!

多年来,Yalishanda 在各种网络犯罪论坛上塑造它价格昂贵的防弹主机服务提供商的品牌形象,其中包括一个长期存在且易于被滥用的项目abushost[.]ru。

2017 年的Black Hat上,思科网络情报公司Intel 471将 Yalishanda 称为世界上最顶级的防弹主机服务提供商之一。研究人员指出,在 2017 年的短短 3 个月内其基础设施与某些传播最广泛的恶意软件下载相关,包括 Dridex 与 Zeus 以及一些勒索软件。

Intel 471 的首席运营官 Jason Passwaters 表示:“任何能够负担得起该基础设施价格的攻击者,都比大多数网络犯罪攻击者要复杂得多”,“防弹主机可能是在网络犯罪中能找到的最大的支持性服务,如果有任何一个组织或攻击者想要进行更多的网络犯罪,那就可以利用防弹主机托管服务”。

Jason Passwaters 在会上表示,Intel 471 不确定 Alex 是 Yalishanda 的真名。后续我与 Intel 471 沟通时,他们表示他们当时知道 Yalishanda 实际上是 Alexander Volosovyk,但是不希望在公开场合谈论他的真实姓名。

2010 年 ChronoPay 被窃超过四年的电子邮件记录数据,ChronoPay 是一家俄罗斯在线支付提供商,其首席执行官和联合创始人在我 2014 年出版的书籍《Spam Nation: The Inside Story of Organized Cybercrime》中有提到过。在这些数据中查询 Yalishanda 的电子邮件地址stas_vl@mail.ru可以发现,此人在 2010 年向 ChronoPay 申请了他所经营的销售假冒民牌手表的付款处理服务。

作为服务申请的一部分,还将六份文件转给了 ChronoPya 的经理,包括他在中国拥有的公司的注册记录与银行流水,以及他的俄罗斯**的完整扫描件。如下所示,其真名为 Alexander Alexandrovich Volosovik,出生于乌克兰,大约 37 岁。(截至 2020 年 3 月)

根据 Intel 471 的分析,Yalishanda 在 Vladivostok 之前曾在北京居住(**是俄罗斯驻北京大使馆签发的)。大约一年半前搬到了俄罗斯圣彼得堡。目前他所运营的防弹主机托管服务提供商名为Media Land LLC,这一发现可以得到Rusprofile.ru的支持,数据指出 Alexander Volosovik 的确与该圣彼得堡公司的董事同名。

不破金身?

在俄罗斯境内运营的防弹主机管理员,只要留在该国(也许独联体国家都可以)范围内就不会遭到逮捕。对于防弹主机运营而言,这也不是高枕无忧了,他们也必须小心翼翼地遵守这些地区的法律法规。例如,必须成立一家正式的公司,定期就业务的各个方面进行定期报告,就像 Volosovik 先生所做的一样。

有时,那些独联体国家的大型防弹主机服务确实会遭到干扰。7 月 11 日,乌克兰执法人员宣布,他们进行了 29 次搜查并逮捕了两名与大规模防弹主机服务有关的个人。乌克兰总检察长办公室的新闻稿中并没有透露被捕者的姓名,但据美联社的报道,其中一个叫 Mikhail Rytikov,当局称这名男子是著名的防弹服务管理员,绰号AbdAllah.。

2015 年,美国司法部认定两名俄罗斯黑客 Vladimir Drinkman 与 Alexandr Kalinin 是主要的基础设施提供商 Rytikov 的管理员,政府当时称为最大的已知数据泄露事件与此事有关。根据司法部的说法, Drinkman 与 Kalinin 要为包括纳斯达克、7-11、家乐福等十余起攻击入侵事件负责。

Intel 471 的 Passwaters 曾经指出,2016 年 12 月美国联合英国与欧洲当局拆除了 Avalanche,该网络被用于防弹主机服务,部署了无数的恶意软件与网络钓鱼。在这次行动之前,某个名为 Sosweet 的人与另一个防弹主机的管理员进行了联系,大约在同一时间 Avalanche 得到了关于即将进行的突击检查行动的消息提示。行动 24 后,利用全部备份重新上线。

对 2011 年涉嫌制造和传播 Conficker的几名乌克兰男子而言,似乎也是这样。如果大多数防弹主机选择在法制不能保障的地区开展业务,似乎只能干扰他们从这种犯罪活动中获利的能力。

在一篇名为《Platforms in Everything: Analyzing Ground-Truth Data on the Anatomy and Economics of Bulletproof Hosting》,由纽约大学、代尔夫特理工大学、沙特***国王大学与荷兰国家高科技犯罪研究部的研究人员撰写。该论文已经被 USENIX Security 2019 接受,文章介绍了 MaxiDed 的日常运作,该公司是一家总部位于荷兰的防弹主机服务提供商。2018 年夏天,当局没收了其服务器拆除了该服务。论文发现防弹主机托管(BPH)运营的利润很微薄,即使是很小的服务中断也会迅速产生亏损。研究人员表示:“我们已经发现 BPH 上游数百家服务提供商导致了资源过剩,尽管利润微薄但 BPH 供应商在供应链中几乎没有可以压缩成本的空间。因此即使运营成本略有提高,也可能导致业务无以为继。”

*参考来源:KrebsonSecurity,FB 小编 Avenger 编译,转载请注明来自 FreeBuf.COM

# 防弹主机 # Yalishanda # 服务提供商
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者