過去至少十年中，一個被稱爲Yalishanda、Downlow、Stas_vl的人運營着世界上最受歡迎的“防彈主機”服務提供商之一，該服務滿足了衆多的惡意需求，如網絡釣魚、網絡犯罪論壇、惡意軟件下載服務器等。以下介紹一系列線索指向一名現實中的俄羅斯男子可能是當今互聯網上大量犯罪活動基礎設施的提供者。

在查閱了大量有關取締防彈主機服務所面臨挑戰的資料後，進行了這項研究。攻擊者依靠這些防彈主機服務對執法機構的濫用投訴與法律傳票視而不見。Yalishanda 作爲世界上最受歡迎的防彈主機服務提供商之一，也在網絡犯罪論壇中進行大規模的宣傳。根據其宣傳，其基礎設施已經託管了數百個惡意網站，其中包括大量的網絡犯罪論壇、盜竊***交易平臺、勒索軟件下載服務器、和 Magecart 相關的基礎設施與大量模仿銀行、政府網站的釣魚網站。

對我個人而言，在 2010 年撰寫關於 Fizot 的稿件時首次發現了 Yalishanda 這個稱呼。當時這個稱呼被另一個網絡犯罪分子所使用，他們通過 TDSS 惡意軟件感染了數量巨大的 Windows 計算機構建了龐大的網絡結構，幫助他們的客戶將流量匿名路由到全球互聯網中。

Fizot 的故事廣爲流傳後，我們從一位知情人士處得知“Yalishanda 與 Fizot 共享某些基礎設施”。消息來源同時指出了當時正在活躍的域名mo0be-world.com是 2010 年通過電子郵件[email protected]使用Aleksandr Volosovyk註冊。現在的網絡犯罪分子通常不會在域名註冊記錄中使用真實姓名了，尤其是用於非法行爲的域名。但是不論出於什麼原因，看上去確實是 Volosovyk 先生所爲。

身份之謎

根據 Aleksandr Volosovyk 先生註冊的域名和電子郵件地址可以發現他居住在 Vladivostok（符拉迪沃斯託克，原名海參崴），該城市是俄羅斯一個主要的太平洋港口城市，與中國和朝鮮較近。Yalishanda 這一稱呼在中國的普通話中與其名字 Alexander 相同，都爲“亞歷山大”。

以下是 Yalishanda 在 2011 年在一個網絡犯罪論壇的宣傳簡介，當時在.biz下運行防彈主機服務。

架設在亞洲與歐洲

允許的網站：普通網站、門戶網站、廣告軟件、tds、warez、pharma、間諜軟件、zeus、IRC 等

允許被動垃圾郵件，如 Web 垃圾郵件類的 Hrumer、A-Poster

禁止的網站：外發垃圾郵件、DP、色情網站、釣魚網站（魚叉郵件、社交網絡釣魚除外）

殭屍網絡（zeus）中的服務器可以立即使用，價格令人滿意！價格與具體託管內容有關！！！

多年來，Yalishanda 在各種網絡犯罪論壇上塑造它價格昂貴的防彈主機服務提供商的品牌形象，其中包括一個長期存在且易於被濫用的項目abushost[.]ru。

2017 年的 Black Hat 上，思科網絡情報公司 Intel 471 將 Yalishanda 稱爲世界上最頂級的防彈主機服務提供商之一。研究人員指出，在 2017 年的短短 3 個月內其基礎設施與某些傳播最廣泛的惡意軟件下載相關，包括 Dridex 與 Zeus 以及一些勒索軟件。

Intel 471 的首席運營官 Jason Passwaters 表示：“任何能夠負擔得起該基礎設施價格的攻擊者，都比大多數網絡犯罪攻擊者要複雜得多”，“防彈主機可能是在網絡犯罪中能找到的最大的支持性服務，如果有任何一個組織或攻擊者想要進行更多的網絡犯罪，那就可以利用防彈主機託管服務”。

Jason Passwaters 在會上表示，Intel 471 不確定 Alex 是 Yalishanda 的真名。後續我與 Intel 471 溝通時，他們表示他們當時知道 Yalishanda 實際上是 Alexander Volosovyk，但是不希望在公開場合談論他的真實姓名。

2010 年 ChronoPay 被竊超過四年的電子郵件記錄數據，ChronoPay 是一家俄羅斯在線支付提供商，其首席執行官和聯合創始人在我 2014 年出版的書籍《Spam Nation: The Inside Story of Organized Cybercrime》中有提到過。在這些數據中查詢 Yalishanda 的電子郵件地址[email protected]可以發現，此人在 2010 年向 ChronoPay 申請了他所經營的銷售假冒民牌手錶的付款處理服務。

作爲服務申請的一部分，還將六份文件轉給了 ChronoPya 的經理，包括他在中國擁有的公司的註冊記錄與銀行流水，以及他的俄羅斯**的完整掃描件。如下所示，其真名爲 Alexander Alexandrovich Volosovik，出生於烏克蘭，大約 37 歲。（截至 2020 年 3 月）

根據 Intel 471 的分析，Yalishanda 在 Vladivostok 之前曾在北京居住（**是俄羅斯駐北京大使館簽發的）。大約一年半前搬到了俄羅斯聖彼得堡。目前他所運營的防彈主機託管服務提供商名爲Media Land LLC，這一發現可以得到 Rusprofile.ru 的支持，數據指出 Alexander Volosovik 的確與該聖彼得堡公司的董事同名。

不破金身？

在俄羅斯境內運營的防彈主機管理員，只要留在該國（也許獨聯體國家都可以）範圍內就不會遭到逮捕。對於防彈主機運營而言，這也不是高枕無憂了，他們也必須小心翼翼地遵守這些地區的法律法規。例如，必須成立一家正式的公司，定期就業務的各個方面進行定期報告，就像 Volosovik 先生所做的一樣。

有時，那些獨聯體國家的大型防彈主機服務確實會遭到干擾。7 月 11 日，烏克蘭執法人員 宣佈 ，他們進行了 29 次搜查並逮捕了兩名與大規模防彈主機服務有關的個人。烏克蘭總檢察長辦公室的新聞稿中並沒有透露被捕者的姓名，但據美聯社的 報道 ，其中一個叫 Mikhail Rytikov，當局稱這名男子是著名的防彈服務管理員，綽號AbdAllah.。

2015 年，美國司法部 認定 兩名俄羅斯黑客 Vladimir Drinkman 與 Alexandr Kalinin 是主要的基礎設施提供商 Rytikov 的管理員，政府當時稱爲最大的已知數據泄露事件與此事有關。根據司法部的說法， Drinkman 與 Kalinin 要爲包括納斯達克、7-11、家樂福等十餘起攻擊入侵事件負責。

Intel 471 的 Passwaters 曾經指出，2016 年 12 月美國聯合英國與歐洲當局拆除了 Avalanche，該網絡被用於防彈主機服務，部署了無數的惡意軟件與網絡釣魚。在這次行動之前，某個名爲 Sosweet 的人與另一個防彈主機的管理員進行了聯繫，大約在同一時間 Avalanche 得到了關於即將進行的突擊檢查行動的消息提示。行動 24 後，利用全部備份重新上線。

對 2011 年涉嫌 製造和傳播 Conficker 的幾名烏克蘭男子而言，似乎也是這樣。如果大多數防彈主機選擇在法制不能保障的地區開展業務，似乎只能干擾他們從這種犯罪活動中獲利的能力。

在一篇名爲 《Platforms in Everything: Analyzing Ground-Truth Data on the Anatomy and Economics of Bulletproof Hosting》 ，由紐約大學、代爾夫特理工大學、沙特***國王大學與荷蘭國家高科技犯罪研究部的研究人員撰寫。該論文已經被 USENIX Security 2019 接受，文章介紹了 MaxiDed 的日常運作，該公司是一家總部位於荷蘭的防彈主機服務提供商。2018 年夏天， 當局 沒收了其服務器拆除了該服務。論文發現防彈主機託管（BPH）運營的利潤很微薄，即使是很小的服務中斷也會迅速產生虧損。研究人員表示：“我們已經發現 BPH 上游數百家服務提供商導致了資源過剩，儘管利潤微薄但 BPH 供應商在供應鏈中幾乎沒有可以壓縮成本的空間。因此即使運營成本略有提高，也可能導致業務無以爲繼。”

*參考來源： KrebsonSecurity ，FB 小編 Avenger 編譯，轉載請註明來自 FreeBuf.COM

相關文章