以色列公司“BRIGHT DATA”(LUMINATI NETWORKS)支持對卡拉帕坦的攻擊
針對Karapatan網站的 長達 25 天的DDoS 攻擊 是由近 30.000 個 IP 地址發起的,而其中三分之一的地址來自未運行“開放代理”或“Tor 出口”的設備。識別僵尸網絡的這個神秘部分變成了一項引人入勝的研究和數字取證挑戰。這些痕跡使我們找到了一家以色列公司,該公司提供對移動運營商、數據中心和住宅建筑中數百萬個代理的訪問權——這是隱藏 DDoS 攻擊源的完美基礎設施。
這是我們正在進行的針對 Karapatan 的 DDoS 攻擊研究的第二部分。有關背景信息,請閱讀“人權聯盟‘卡拉帕坦’遭受長期 DDoS 攻擊”的報告。
尋找模式——識別集群
一旦我們能夠標記與 Tor 網絡關聯的地址以及來自公開可見代理服務的地址,我們就根據國家、運營商、時間和攻擊集群對池中的 8,000 個“未知”IP 地址進行分類。我們將“攻擊集群”定義為在一小時內用類似請求淹沒網站的一組 IP 地址。
一些模式很快就顯現出來,第一個是大部分地址來自俄羅斯和烏克蘭的一些移動提供商,例如 MTS、MegaFon、T2 Mobile、PVimpelCom 和 Kyivstar。
我們還注意到 IP 每小時都在輪換,并且 50 個新 IP 的塊同時發起相同的查詢攻擊。
在這種性質的攻擊中,如果沒有快速的數據和日志處理以及臨時工具,很難找到明確的模式,但我們的 DNS 服務器在每次僵尸網絡更新 IP 地址時都清楚地記錄了這些 DNS 更新峰值。我們喜歡圖案,在這里我們找到了一個清晰的圖案!
第一個發現是攻擊者繼續使用他們的“CC-Attack 修改過的 python 腳本”生成 GET 和 POST 洪水到 karapatan.org 的 /resources 部分,但他們沒有使用開放代理和 Tor 網絡,而是通過代理攻擊流量位于少數幾個國家的“私人代理網絡”。
意外的名稱解析請求
奇怪的是,雖然攻擊來自俄羅斯和烏克蘭,但這些定期 DNS 解析中有許多來自非常不同的提供商,特別是 AS20473 Choopa 和 AS62567 Digital Ocean。因此,無論淹沒我們的是從這些提供商內部解析域 karapatan.org。
使用很少的提供商進行強地理定位的攻擊浪潮
到 2021 年 8 月的第二周,我們知道俄羅斯和烏克蘭移動運營商內部的私有代理網絡正在通過在其他地方對目標域進行名稱解析來加速他們的連接。
Luminati 代理作為 DDoS 僵尸網絡
對這些 DNS 基礎設施中數百臺服務器的審查發現數百個帶有橫幅的代理:
< HTTP/1.1 407 需要代理認證 < X-Luminati-Error:需要代理身份驗證 <代理驗證:基本領域=“ Luminati ” < 日期:2021 年 8 月 21 日星期六 10:49:31 GMT < 連接:保持連接 < 保持活動:超時=5 < 傳輸編碼:分塊
誰是 Bright Data (Luminati Networks)?
Bright Data(前身為 Luminati)總部位于以色列內坦亞,提供對移動運營商、數據中心和住宅建筑中數百萬個代理的訪問,并承諾“解鎖任何網站并收集準確的數據以做出數據驅動的業務決策”。他們的商業行為 長期以來一直 因使用移動 VPN和其他“后門”移動應用程序來訪問住宅和移動設備而受到批評。
Bright Data/Luminati 的“永遠不會被阻止”的銷售演示
一旦我們發現了這個“超級代理”基礎設施的樣子,我們就可以在 Censys 中搜索它們,然后通過查看它們的關聯域來發現數千個它們的位置:lum-superproxy.io 和 l-cdn.com
我們知道超級代理打開了端口 7547、5000-44818。使用 Shodan 中的16993.https.get.headers.proxy_authenticate=Luminati 或“X-Luminati-Error”對 Censys 進行簡單查詢 就足以找到超級代理的主要位置。
Luminati 文檔也很有啟發性,因為它與 DNS 解析異常一致。
攻擊者從 CC-Attack 連接到 Luminati 安裝的代理管理器以淹沒 Karapatan.org
Luminati 的專家文檔解釋了“在超級代理上解析 DNS”功能
數以千計的輪換 IP 泛濫網站
我們記錄的流量模式與每小時輪換的新 IP 池一致。在我們研究之初,我們推測這種行為可能是“現收現付”壓力測試服務的結果,該服務允許最多一小時的攻擊時間。在對網站進行幾天監控后,我們可以確定流量模式是 Luminati 每小時自動輪換其住宅和移動代理的結果。
在數周內,Luminati 每小時以不少于 100 個新 IP 和每秒數千個請求淹沒網站。
在攻擊的最后十天內每小時檢測到的 Luminati IP 數
攻擊流量的成本是多少?
毫不奇怪,這是 Qurium 第一次看到這種用于拒絕服務攻擊的基礎設施,因為 Luminati 流量遠非便宜。移動代理的 1 GB 流量介于 26-35 美元和住宅代理的 10-15 美元之間。
僅在 2021 年 8 月 10 日至 20 日這十天期間,我們估計來自 Luminati 的攻擊流量接近 10 TB (10.000 GB)。使用 Luminati 的“Plus”包, 僅在 10 天內,攻擊就達到了260,000 美元的瘋狂數字 。
很難相信 Luminati 數周以來都沒有發現攻擊者發起了數十億個請求淹沒一個網站的情況。只有“Bright Data / Luminati Networks”才能揭開此案的面紗,并向公眾解釋這筆“商業交易”是如何安排的。
每月訂閱的 Luminati 定價模型。
Bright Data 對濫用報告的回應
2021 年 8 月 21 日,向 Bright Data(Luminati Networks)發送了一份關于這次攻擊的濫用報告。與該公司共享了洪水流量日志的樣本,流量日志包括來自 MTS 和 Megafon 的 68 個網絡的 1556 個 IP 地址。
我們共享的一些前綴包含 50 多個參與泛洪的 IP。
2021 年 8 月 10 日至 19 日攻擊期間前綴 188.170.83.0/24(56 個 IP)的洪水活動樣本)
Bright_Data_IPs 網絡 56 188.170.83.0/24 55 188.170.75.0/24 54 188.170.74.0/24 49 188.170.86.0/24 49 188.170.81.0/24 49 188.170.80.0/24 48 188.170.77.0/24 47 188.170.76.0/24 47 188.170.73.0/24 46 188.170.84.0/24 42 188.170.87.0/24 42 188.170.82.0/24 38 188.170.78.0/24 37 188.170.72.0/24 36 188.170.79.0/24 35 188.170.85.0/24 28 95.153.129.0/24 28 213.87.157.0/24
經過一些電子郵件交流,Bright Data 沒有要求提供更多證據,我們在 8 月 24 日收到了這個引人入勝的解釋。
“您附加(再次附加)列表中的 IP 屬于 Bright Data,但是我們在發送到報告域的請求中沒有找到任何 IP。由于缺乏調查結果,我們對所有客戶以及我們所有網絡的報告域進行了阻止,因此我們預計不會通過我們的網絡向其發送請求。感謝您的報告,希望我們能夠為您提供足夠的幫助。”
與我們追溯攻擊基礎設施的其他情況一樣,電子郵件交換以常見的 “不用擔心。我們沒有這樣做。不會有下一次”:
(...) 我們讓域被阻止,因此沒有流量通過我們的網絡到達 karapatan.org。這樣我們就可以確保您 將來不會從我們的網絡中產生濫用行為。
