중국 DDoS산업의 현재

최근 몇달동안 Talos 그룹(cisco소속)은 온라인으로 DDoS 서비스를 제공하는 중국 홈페이지들이 끊임없이 증가하고 있는 것을 확인하였습니다. 이러한 홈페이지들은 대부분 거의 유사한 구조와 대쉬보드를 갖고 있었으며, 기본적으로 간단한 UI를 제공하고 있었습니다. UI를 통해서 타겟 호스트, 포트, 공격방법 및 공격지속시간 등을 설정할  수 있습니다. 또한 이러한 홈페이지들은 대부분 지난 6개월 이내에 등록되었지만, 확인결과 운영하는 조직은 각자 다른 것으로 확인되었습니다. 

Talos 그룹은 또한 이러한 홈페이지 관리자들끼리 종종 서로 공격 하는것을 보았습니다. 보안연구원들은 이러한 플랫폼에 대해 연구하고, 무슨 이유로 최근 이러한 서비스를 제공하는 플랫폼이 급속도로 증가하였는지 분석하였습니다. 

중국 DDoS 업계의 발전방향 및 DDoS 플랫폼들이 온라인으로 이동한 원인을 분석해 보았습니다. 또한 이러한 DDoS 플랫폼 유형과 그 차이점을 분석해 보았습니다. 

중국의 DDoS 업계 현황

중국에서 DDoS 툴과 서비스는 블랙마켓에서 여전히 인기있는 제품중 하나로, DuTe(독특)이라는 툴도 그 중 한가지로, 해당 툴에는 각종 DDoS 관련 툴들, 각종 네트워크 공격 툴 및 각종 네트워크 프로토콜 공격툴 들이 포함되어 있습니다(예를들어 각기 다른 네트워크 프로토콜 SSH 와 RDP 공격 툴). 이밖에 중국의 SNS 어플리케이션(예를들어 위챗, QQ등)중에는 수백개의 DDoS 툴과 관련된 그룹이 존재하며, 이러한 그룹들을 통하여 DDoS 공격 툴이나 악성코드등을 공유합니다. 이러한 그룹에는 사람들은 해커, 고객, 대리상 및 광고주 들이 속해 있습니다. 

이 전에는, 일부 단체 채팅방의 주요 제품들에 대해서 사용자들은 구매를 할 수 있거나 툴을 내려받을 수 있었습니다. 이러한 툴들 중에서, 대표적인 툴은  TianFa Pressure Testing System 입니다. 

이러한 툴은 주로 사용자들의 좀비 PC를 관리하고, 사용자들이 손쉽게 공격 타겟 및 공격방법을 설정할 수 있도록 도와줍니다. 일반적으로, 사용자는 우선 해당 툴들 구매한 후, 내려받는 다음에, 자신의 서버 혹은 좀비네트워크를 통하여 공격을 진행합니다. 하지만 때로는 해커그룹들이 일부 서버 혹은 일정수량의 좀비 PC도 함께 번들로 묶어 판매를 하기도 합니다. 하지만 유지보수나 설치는 구매자들이 알아서 해야합니다.

<이미지 출처 : http://blog.talosintelligence.com/2017/08/chinese-online-ddos-platforms.html>

온라인 DDoS 플랫폼의 유행

최근 이런 DDoS 단체채팅방에 점차 변화가 생기고 있습니다. 이런 단체채팅방에 DDoS 온라인 플랫폼 광고가 게재되는 빈도수가 점차 늘어나고 있기 때문입니다. 

<이미지 출처 : http://blog.talosintelligence.com/2017/08/chinese-online-ddos-platforms.html>

 

몇몇 DDoS 서비스를 제공하는 홈페이지들에대해 분석 결과, 대부분의 플랫폼들이 동일한 로그인과 회원가입 페이지 및 동일한 배경화면을 갖고 있었습니다. 

<이미지 출처 : http://blog.talosintelligence.com/2017/08/chinese-online-ddos-platforms.html>

<이미지 출처 : http://blog.talosintelligence.com/2017/08/chinese-online-ddos-platforms.html>

 

 

또한 이러한 홈페이지의 구조 및 대쉬보드들 역시 거의 유사했습니다. 이밖에 이런 홈페이지들에는 관리자가 DDoS 툴 업데이트, 기능 소개 및 사용제한에 대한 공지사항도 포함되어 있었습니다. 해당 페이지들은, 사용자가 가입을 한 후, 활성화 코드를 구매하면 바로 공격을 진행할 수 있습니다. 공격 방식은, 홈페이지 상의 GUI 혹은 CUI 방식을 통하여 공격을 진행할 수 있습니다. 

<이미지 출처 : http://blog.talosintelligence.com/2017/08/chinese-online-ddos-platforms.html>

<이미지 출처 : http://blog.talosintelligence.com/2017/08/chinese-online-ddos-platforms.html>

 

이런 디자인이나 기능적인 측면 이외의, 대부분으 홈페이지 도메인에는 “ddos”라는 단어가 들어가 있었습니다. 예를들어shashenddos.club” 혹은 “87ddos.cc”도메인들은 모두 최근에 등록된 것입니다. 이렇게 최근 새로이 등록된 도메인들은 중국의 SNS 메신저들에서 발견되었을 뿐만 아니라Cisco Umbrella 툴에서 최근 등록된 도메인에 대한 스캔을 통하여도 확인할 수 있었습니다.

기본적으로 DDoS 서비스를 제공하는 웹페이지의 유사하였기 때문에, 동일한 개인 혹은 동일한 그룹이 여러개의 도메인을 구매하여 DDoS 서비스를 제공하는 것이라고 추측했습니다. 하지만 그것은 사실이 아니였으며, 이 홈페이지들은 모두 각기 다른 계좌로 돈을 받고있었습니다. 이밖에 해당 홈페이지들에는 해당 툴들의 각기 다른 기능들이 안내되어 있으며, 각기 다른 연락처가 적혀있었습니다. 또한 사용자수 및 공격횟수 역시 모두 달랐습니다. 

이밖에 홈페이지 등록 정보에도 큰 차이점이 있었는데, 대부분의 홈페이지 등록자명과 이메일 주소 등이 모두 달랐습니다. 하지만 유사한 점은 : 대부분 중국의 register를 통하여 등록되었으며, 그 중의 대부분이 3개월 이내에 등록되었으며, 거의 모두가 1년 이내에 등록되었다는 점입니다. 또한 절반 이상의 서버가 모두 cloudflare ip로 호스트 되었습니다. 

연구

연구과정중, 작은 그룹들이 거의 비슷한 DDoS 플랫폼을 구축하고 있는 것으로 확인되었습니다. 하지만 여전히 이렇게 동일한 구조와 대쉬보드를 띄고있는지, 이러한 플랫폼들이 최근 출현하게 되었는지는 밝혀지지 않았습니다. 

<이미지 출처 : http://blog.talosintelligence.com/2017/08/chinese-online-ddos-platforms.html>

캡쳐에서도 볼 수 있듯이, 설정 페이지에서 관리자가 홈페이지의 이름, 홈페이지 관련 설명 및 서비스 약관 및 url 연결 등을 설정할 수 있습니다. 우리는 여기에서 단서를 얻었습니다.우선 왼쪽 상단에 쌍둥이자리뜻인 gemini 단어를 주목하였으며, 두번째는 url중의“/yolo/admin /settings” 를 주목하였습니다. 또한 화면 하단에 클릭하는 곳이 있었는데, 관리자는 이를 통하여 “cloudflare 모드”를 선택할 수 있는 것입니다. 이를 통하여 여러 사이트들이 cloudflare ip 로 호스트 된 것입니다. 

코드분석

이러한 점들에 비추어 보았을 때 동일한 ddos 프랫폼들은 동일한 홈페이지 소스코드를 이용하여 구축하였을 가능성이 높으며, 이러한 소스코드들은 중국의 블랙마켓이나 게시판 등에서 공유되고 있을 것이라고 추측하였습니다. 그리고 몇몇 게시판에서“/yolo/admin/settings” 문자열이 포함된 url을 검색해 본 결과, ddos 플랫폼 소스코드를 판매하는 게시글을 찾을 수 있었습니다. 이 소스코드는 해외 DDoS 플랫폼의 중국어 버전 이였습니다. 

해당 게시글은 2017년 초 혹은 2016년 말에 게시되었으며, DDoS 플랫폼이 활발해 지는 시기와 맞물리는 것을 확인할 수 있었습니다. 

<이미지 출처 : http://blog.talosintelligence.com/2017/08/chinese-online-ddos-platforms.html>

해당 플랫폼의 프론트는 Bootstrap을 기반으로 설계되었으며, ajax를 이용하여 컨텐츠를 로딩합니다. Css 파일 중 Pixelcave라는 제작자가 제작한 것을 확인할 수 있었습니다. 

소스코드를 분석하면서 흥미로운 점을 발견하였는데, 해당 플랫폼에는 mysql DB export 및 사용자 결제를 통한 사용자 신분을 평가할 수 있는 기능이 있었습니다. 또한 사용자가 특정 호스트 입력, 공격 방식 및 지속 시간 등을 설정할 수 있도록 하는 기능도 포함되어 있었습니다. 

흥미로운점은, 소스코드에서 블랙리스트 기능을 제공하는데, 블랙리스트는 기본적으로 공격이 불가능하게 설정되어 있습니다. 이 중에는 “.gov” “.edu” 등의 최상위 도메인을 가진 페이지들이 기본적으로 포함되어 있습니다. 하지만 이런 리스트들은 사용자가 수정할 수 있습니다. 이 밖에 해당 서비스에는 중문으로 된 서비스 약관이 포함되어 있는데 이는 홈페이지 관리자는 “비 합법적인” 공격행위에 대한 아무런 법률적 책임이 있으며, 해당 플랫폼은 테스트만을 목적으로 하고있다는 내용이 명시되어 있습니다. 해당 코드는 또한 관리자들이 사용자의 금전 지불 여부를 확인할 수 있도록 되어있으며, 로그인, 공격횟수 및 관련 공격에 대한 상세한 내용 등을 확인할 수 있도록 되어 있습니다. 원본 코드는 영문으로 작성되어 있으며, 수정을 통하여 다음과 같은 중문 플래폼을 만든 것입니다. 원래 코드중에는 PayPal과 Bitcoin의 결제수단을 허용하고 있었지만, 중국관리자들은 이를 중국의 간편결제로 바꿀 수 있습니다. 

해당 소스코드의 원본의 출처가 어디인지 확실히 밝혀지지는 않았지만, 온라인 DDoS 서비스를 제공하는 해외 서비스(예를들어 DataBooter등)를 확인한 결과 중국의 DDoS 플랫폼과 매우 유사한 것을 확인하였습니다. 

<이미지 출처 : http://blog.talosintelligence.com/2017/08/chinese-online-ddos-platforms.html>

추측하기로는 일부 해커들이 영문 DDoS 플랫폼의 소스코드를 판매하였으며, 중국 해커들이 해당 소스코드를 구매하여 중국어 버전으로 수정하고, 이후 다시 중국인들에게 재 판매를 한 것으로 보여집니다. 

출처 :

http://blog.talosintelligence.com/2017/08/chinese-online-ddos-platforms.html