Back to Posts

Share this post

Bulletproof Hosting

Posted by: voidsec

Reading Time: 7 minutes

So che la pubblicazione di questo articolo è arrivata enormemente in ritardo rispetto alle mie promesse, vi accorgerete però leggendolo quanto lavoro di ricerca ci sia dietro a queste informazioni.

Cos’è un Bullet Proof Hosting?

ISP, compagnie di hosting o fornitori di servizi online che permettono al cliente di “pubblicare” online qualsiasi tipo di contenuto.

Solitamente molti servizi hanno dei Termini di Servizio (ToS) che non permettono al cliente di caricare determinati contenuti, impedendo, di fatto, l’uso del servizio; sospendendo l’account incriminato dopo aver ricevuto delle notifiche di avvertimento, tutto per minimizzare i rischi che la subnet di IP assegnata all’ISP venga bloccata da filtri anti-spam.

Spesso un Bullet Proof server permette al cliente di bypassare la legge o i termini di contratto che regolano i contenuti su internet traendo vantaggio dalla posizione geografica del content provider; la maggior parte di questi hosting è in Cina, Asia, Russia e in tutte le nazioni con leggi in materia ancora retrogadre o inesistenti; questo però non è sempre vero, McColo, responsabile dei 2/3 dello spam mondiale era basato in USA.

reversehost

Quali sono i contenuti di un bullet proof hosting:

  • Botnet, exploit kit
  • Spam
  • Tor hidden node (Silkroad, Sheep Market, commercio di droga e armi)
  • Pornografia, pedopornografia
  • Black Market (acquisto di carte di credito, virus, exploit 0day e servizi di hacking)
  • DoS/DDoS
  • Proxy
  • Qualsiasi contenuto eticamente e moralmente discutibile/illegale

Uno tra i più famosi Bullet Proof hosting, tristemente passato alla storia per essere l’origine di MPack e la Botnet Storm fu: RBN (Russian Business Network), in questo caso l’RBN era direttamente affiliato con organizzazioni criminali virtuali e al cyber terrorismo.

dedibullet

I Prezzi:

Tor Hidden node: 2048 MB RAM, 100GB HDD 70$/m

VPS:

plan1

Dedicated Server:

plan2

Come potete notare sono tutti prezzi molto abbordabili, se invece volete andare sul sicuro: Il DataCenter di WikiLeaks

All’interno di un bulletproof hosting

Grazie alle ricerche svolte siamo riusciti ad ottenere un account presso un noto ISP a prova di proiettile, ora vi mostriamo i risultati dopo un mese di ricerca: ISP con locazione in Unione Europea

Vogliamo sottolineare come il pagamento del servizo possa essere del tutto anonimo con Bitcoin o Litecoin ma che vengono comunque accettati metodi più tradizionali quali carte di credito e PayPal e questi sono tutti i dati “necessari” alla sottoscrizione del servizio:

  • panelAttacchi DoS e DDoS: durante i 30 giorni di ricerca abbiamo attaccato mecchine di test (di nostra proprietà) con svariate tipologie di attacchi DoS, alcuni volumetrici (volti quindi a saturare la banda), altri a layer applicativo (Layer 7), nessuno di questi attacchi è stato interrotto dal nostro ISP
  • Inoltre abbiamo potuto notare con estrema sorpresa come sia possibile effettuare IP Spoofing, forgiando pacchetti con IP falsi e dando così origine ai ben noti Reflection DDoS
    Come potete vedere dall’immagine il nostro ip reale era: 80.xx.xx.xx
    Mentre tutti i pacchetti ricevuti dall’attacco DoS provengono dagli IP più disparati
    wiresh120dos
  • Scansioni massive di reti: abbiamo scansionato intere subnet di IP e tutti gli host al loro interno (su tutte le porte) con i più classici metodi TCP Scan e Syn Scan senza essere mai fermati dal nostro provider (alcuni hanno inserito il nostro IP in blacklist utilizzando una nullroute per tutti i pacchetti provenienti dal nostro IP)
  • C&C (botnet): Abbiamo inoltre hostato per questo periodo il pannello di un Command & Control di una botnet piuttosto famosa, Zeus nel nostro caso, siamo stati inclusi in vari Zeus Tracker (Servizi che creano liste di C&C di botnet per poterli filtrare e/o in seguito smantellare) e il nostro servizio è rimasto UP per tutto il mese.
  • Copyright seedbox: (test non eseguito), abbiamo però chiesto informazioni al support tecnico che ci ha spiegato come qualsiasi material protetto da Copyright è in terra franca, infatti essendo in europa ignorano completamente qualsiasi DMCA (Notifiche di rimozione dei contenuti illeciti: Per saperne di più)
  • Tor Node: (test parzialmente eseguito), abbiamo ricreato una “copia” di silk road mettendo in vendita prodotti fittizi, ma dato che nessun acquisto è stato realmente eseguito non possiamo con certezza affermare che il servizio non sarebbe stato chiuso dall’ISP.
  • Proxy: per tutto il mese sul nostro account è stato operante un proxy senza tener traccia di nessun log, il servizio è rimasto operante fino alla chiusura del contratto
  • Email Spamming: abbiamo creato ad hoc alcuni indirizzi email quail abbiamo inviato anche più di 5000 mail di spam al giorno, il nostro provider non ci ha mai impedito di farlo.

Top 10 Hosting exploit e Bullet Proof Hosting e relativa posizione geografica

worlhex

HostExploit

Possiamo notare che l’Italia e più precisamente Aruba è collocata al 7° posto per la distribuzione di Malware (magari ci verrà fuori un articolo?)

Nuovi Trend:

Recentemente IntelCrawler ha annunciato la comparsa di nuovi BulletProof Hosting basati sui paesi del Vicino Oriente, come il Libano e la Siria. Il centro dati in Libano è stato costruito circa due anni fa, mentre quello che si trova in Siria, è stato istituito durante il recente periodo tumultuoso.

Secondo fonti d’intelligence attendibili, il nuovo hosting a prova di proiettile chiamato “Web Host” ha organizzato un proprio centro tecnico per l’hosting di contenuti illeciti e software dannoso.

i proprietari del ” WebHost “, spiegano: «Non avrai bisogno di supporto standard , avrai un sostegno individuale tramite Jabber e ICQ»

Essi forniscono inoltre varie opzioni, tra cui la configurazione individuale di hardware su qualsiasi server dedicato, che può richiedere da 2 a 5 giorni , e la possibilità di scegliere la propria sottorete di indirizzi IP .

Perché questa location è così attraente per l’hosting?

La risposta è semplice, prima di tutto, a causa dei rapporti geopolitici molto negativi, entrambi i paesi sono ancora isolati dalla UE e dagli USA in termini di qualsiasi cooperazione reciproca, soprattutto nel settore delle telecomunicazioni e dei settori della sicurezza .

Le forze dell’ordine, gli ISP e le aziende private hanno migliorato la loro cooperazione nella lotta alla criminalità informatica, sono state condotte operazioni congiunte contro il crimine online e i principali governi stanno lavorando alla definizione del quadro normativo contro la criminalità su Internet su scala globale .

In secondo luogo, la Siria è del tutto indipendente e non ben sviluppata in termini di business ISP; prima della guerra civile siriana, le telecomunicazioni si stavano lentamente muovendo verso la liberalizzazione, con un numero crescente di licenze concesse e servizi lanciati nel mercato della fornitura di servizi Internet. La maggior parte delle forme di comunicazioni di rete sono fornite dall’operatore statale , Syrian Telecom ( Syriatel o STE ).

I proprietari del nuovo fornitore di hosting hanno detto che il loro centro dati è meraviglioso, con collegamento diretto a Francoforte ( Level3 , GLBX , Tinet , Cogent).

«E’ per questo che la loro infrastruttura potrebbe essere situata in uno dei centri dati STE in diversi rack , sufficiente per l’hosting di una grande quantità di contenuti illeciti, in primo luogo: codice dannoso»IntelCrawler.

D’altra parte , “WebHost”, ha detto che può fornire hosting a prova di proiettile in più di 25 paesi con prezzi a partire da soli 80 dollari.

Probabilmente, vedremo nascere nuove zone “antiproiettile” in Taiwan , Romania , Indonesia , Lettonia o Yemen , Egitto, Iraq , Iran

di VoidSec

Back to Posts