ロシア製DDoS攻撃代行サービスの収益試算

dennis

投稿者:Dennis Schwarz
投稿アーカイブ:分析、攻撃とDDoS攻撃、ボットネット、DDoSツールとサービス、関心の高い調査、マルウェア、脅威分析

ASERTは2014年末に、ロシア語フォーラムでのDDoS攻撃広告の背後に存在するDDoSボットネットインフラに結びつける調査結果を報告しました。この投稿では、その調査のフォローアップとして、これらのマッピングされたDDoS攻撃広告の1つを追跡し、DDoS攻撃代行サービスによる収益について試算します。

まずは広告の調査から

このインターネット市場では、常に、ロシア語の多くのパブリック・フォーラムはDDoS攻撃代行サービス広告から始まります。このケース・スタディでは、「Forceful」として知られる脅威アクターが運営しているサービスを取り上げます。ForcefulのICQ番号および/またはJabberアドレスを検索すると、2014年11月頃から多くの広告が見つかります。下記は広告一例です。(Google翻訳)。

ad-1024x474

この手の広告には、一般的に、次の情報が含まれます。

アクターを露わにしたOPSECミス

これらの広告に通常含まれないのは、購入したDDoS攻撃を実行するために使用されるボットネットのコマンド&コントロール(C2)についての詳細情報です。広告から次の段階であるボットネットの説明に移行する際に、脅威アクターは通常、自身が特定されてしまうような運用セキュリティ(OPSEC)上のミスを犯してしまいます。これらのミスは、アクターについての多くの特徴を示します。次にForcefulの特徴を示します。

av_test_p1
av_test_p2

アクターは、クリプターについてのフォーラム・ディスカッションに参加していました。クリプターは、マルウェア実行可能ファイルを暗号化/難読化するために使用されるツールで、ウイルス対策による検出を回避し、分析を妨害することを可能にします。スレッドでの他の参加者と同じく、Forcefulはウイルス・スキャン・サービスの結果を示すスクリーンショットを投稿し、マルウェア検体に関してクリプターがとれほど効果的であるかを示そうとしました。スクリーンショットの下部には、暗号化された実行可能ファイルの以下のハッシュがリストされていました。

Forcefulのミスは、テスト用実行可能ファイルを削除しなかったことです。そのファイルは、ネットワーク上に配布されてしまいました。リリースされたファイルは、ASERTのマルウェア・ヅーやその他の検出サービスによって捕捉されました。

マルウェアの解析

このマルウェアのC2ドメインは「kypitest[.]ru」で、ボットからC2への通信(Phone Home)は、次のように解析されます。

phonehome-1024x781

HTTPリクエストは、G-Bot DDoSボットの紛れもない証拠を示します。ボットのC2パネルにアクセスすると、このことを確認できます。

kypitest_panel-1024x674

次の検体も関連しています。

攻撃の解析

ASERTはBladeRunnerボットネット監視システムでDDoSボットネットとその攻撃アクティビティを監視しており、kypitest[.]ruも当然ながら監視対象として含まれています。このボットネットに関して初めて攻撃が記録されたのは2015年7月9日で、それ以降、一定のアクティビティが記録されています。

attacks-1024x293

この投稿の記述時点で、以下の国の108の個別ホスト/IPを標的にした攻撃が観測されています。

countries

攻撃は、次の種類に分類されます。

attack_types

致命傷となった2つ目のOPSECミス

既知のDDoSマルウェアのMD5ハッシュを投稿し、自ら正体を明かしたDDoS脅威アクターは、DDoS-as-a-service広告とDDoSボットネットとの間の強固なつながりを感じさせましたが、脅威アクターによる2つ目のOPSECミスにより、脅威アクターとkypitest[.]ruとの結びつきが確実視されるようになりました。2015年11月11日、Forcefulは(ICQインスタント・メッセージ・ログを含めた)フォーラム・スレッドを開始しました。Forcefulはこのスレッドで、別のフォーラム(tophope[.].ru)が彼らのDDoS広告を不当に削除したと不満を述べています。

opsec2-1024x562

スレッドをGoogleで翻訳しましたが役に立たず、ロシア語に堪能な同僚が翻訳したところ、いくつかの興味深いことが見つかりました。

そのため、私の古いスレッド[リンク]を今日提示することを決意しましたが、通知されることなく削除されていました。チャット内の何人かに問い合わせてみましたが、返事はなく、管理者の「Nerom」に問い合わせても返事はありませんでした。それで、彼らのフォーラムに1~2時間の間、単にテストのために「チャージする」ことを決意しました。数分後、怒った管理者が私に連絡してきました。

Nerom: お前はだれだ

Nerom: 今日、警察に通報して

Nerom: 訴えてやる

555762555: テストして欲しかったんだろう?

555762555: テストしてやったんだよ

Nerom: 何がテストだよ

Nerom: 身内のサーバーを攻撃してどうすんだよ

Nerom: 訴えたぞ

Nerom: 今IPをチェックしている

Nerom: 明日、お前のところに押しかけてやる

2日後の2015年11月11日、BladeRunnerは次のトラフィックを観測しました。

bladerunner_attacks-1024x324

これは、前述のフォーラムで言及されているkypitest[.]ruのC2とそのホスティングIPアドレスにより指示された多要素のDDoS攻撃です。

試算

試算する前に、特定の攻撃について調査します。2015年8月8日の8時47分頃から、「.httpflood」攻撃が暗号通貨マイニング・プールに対して開始されました。攻撃は、2015年8月11日の6時7分頃まで、2日と約21時間継続しました。残念ながら、マイニング・プールのRedditへの8月8日の投稿によると、この攻撃は成功したようです。

comment-1024x115

脅威アクターの値付けは、DDoSブーター広告に提示されています。

1時間の料金は広告で指定されていないので、ここでは$2.50 ($60/24時間 = $2.50)を使用します。これらの料金を適応すると、前述の攻撃により生み出された収益は、次のように試算できます。

2日 x $60 + 21時間 x $2.50 = $172.50 (四捨五入で$173)

観測された他の攻撃にもこの方法を使用することにより、次の試算が算出されます。

numbers

BladeRunnerは約1時間に1回、ボットネットをポーリングするので、1時間未満の攻撃に関しては、試算が不正確になります。さらに、Forcefulの広告では5~10分の無料テストが提供されているので、これらのエントリの多くはクイック・テストである可能性があります。これら2つの理由により、1時間未満の攻撃は収益試算から除外されています。

同じ時間枠の関連するドメインとIPは、同じ攻撃にグループ化されました。黄色で強調されている攻撃は同じ標的を対象にしていますが、複数の日に分散して行われています。

結果として、2015年7月9日から2015年10月18日までの合計82回の攻撃の総収益の試算額は、$5,408でした。攻撃当たりの収益の平均試算額は$66で、1日当たりの収益の平均試算額は$54でした。

結論

Arborの最新のワールドワイド・インフラストラクチャ・セキュリティ・レポート (WISR)で報告されているように、DDoS攻撃が被害者に与える平均的な損害は、分当たり約$500です。前述のように、攻撃者の平均コストは、攻撃当たりわずか$66です。この調査結果は、DDoS攻撃者の費用とDDoS攻撃の被害者の被害額が極めて乖離していることと、収益、顧客サポート、および他の重要なビジネス機能のためにオンライン・サービスを必要とするすべての組織にとって堅牢なDDoS防御対策が重要であることの両方を強調しています。DDoS攻撃を実行するコストはあまりに低いので、攻撃者はほとんど障壁なくDDoS攻撃に参入できます。また、コストの低さは、どんな組織でもDDoS攻撃の標的になる可能性があることを意味します。
さらに、ブーター/ストレッサー事業者のビジネスは、極めて好調であることを理解する必要があります。ブーター/ストレッサー事業者は、PC、サーバー、家庭のブロードバンド・ルーターなどのIoTデバイスを活用して、インフラと帯域幅にコストをかけることなくDDoS-as-a-serviceエンタープライズをセットアップできます。しかも、ブーター/ストレッサー・サービスは他人が所有するインフラおよび接続能力をひそかにかつ不法に活用し、サービスの違法な運営について納税せず、数百、さらには数千の攻撃者が同時にブーター/ストレッサー・サービスを利用してDDoS攻撃を開始できるので、無税でコストのかからない、かなり大きなサービス収益を上げることできます。