安装格式工厂后，一个名为Birght data后台进程常住在后台
格式工厂解释为 “为用户提供免费白金服务”
但经过研究后发现这个名为Birght data后台进程并不简单
（具体内容请看下方B站视频）

以下内容转自网安（https://www.wangan.com/p/7fygf763cd3aacaf）

以色列公司“BRIGHT DATA”（LUMINATI NETWORKS）支持对卡拉帕坦的攻击

针对 Karapatan 网站的 长达 25 天的 DDoS 攻击 是由近 30.000 个 IP 地址发起的，而其中三分之一的地址来自未运行 “开放代理” 或 “Tor 出口” 的设备。识别僵尸网络的这个神秘部分变成了一项引人入胜的研究和数字取证挑战。这些痕迹使我们找到了一家以色列公司，该公司提供对移动运营商、数据中心和住宅建筑中数百万个代理的访问权 —— 这是隐藏 DDoS 攻击源的完美基础设施。

这是我们正在进行的针对 Karapatan 的 DDoS 攻击研究的第二部分。有关背景信息，请阅读 “人权联盟‘卡拉帕坦’遭受长期 DDoS 攻击” 的报告。

寻找模式 —— 识别集群
一旦我们能够标记与 Tor 网络关联的地址以及来自公开可见代理服务的地址，我们就根据国家、运营商、时间和攻击集群对池中的 8,000 个 “未知” IP 地址进行分类。我们将 “攻击集群” 定义为在一小时内用类似请求淹没网站的一组 IP 地址。

一些模式很快就显现出来，第一个是大部分地址来自俄罗斯和乌克兰的一些移动提供商，例如 MTS、MegaFon、T2 Mobile、PVimpelCom 和 Kyivstar。

我们还注意到 IP 每小时都在轮换，并且 50 个新 IP 的块同时发起相同的查询攻击。

在这种性质的攻击中，如果没有快速的数据和日志处理以及临时工具，很难找到明确的模式，但我们的 DNS 服务器在每次僵尸网络更新 IP 地址时都清楚地记录了这些 DNS 更新峰值。我们喜欢图案，在这里我们找到了一个清晰的图案！

第一个发现是攻击者继续使用他们的 “CC-Attack 修改过的 python 脚本” 生成 GET 和 POST 洪水到 karapatan.org 的 /resources 部分，但他们没有使用开放代理和 Tor 网络，而是通过代理攻击流量位于少数几个国家的 “私人代理网络”。

意外的名称解析请求
奇怪的是，虽然攻击来自俄罗斯和乌克兰，但这些定期 DNS 解析中有许多来自非常不同的提供商，特别是 AS20473 Choopa 和 AS62567 Digital Ocean。因此，无论淹没我们的是从这些提供商内部解析域 karapatan.org。

使用很少的提供商进行强地理定位的攻击浪潮

到 2021 年 8 月的第二周，我们知道俄罗斯和乌克兰移动运营商内部的私有代理网络正在通过在其他地方对目标域进行名称解析来加速他们的连接。

Luminati 代理作为 DDoS 僵尸网络
对这些 DNS 基础设施中数百台服务器的审查发现数百个带有横幅的代理：

< HTTP/1.1 407 需要代理认证
< X-Luminati-Error：需要代理身份验证
<代理验证：基本领域=“ Luminati ”
< 日期：2021 年 8 月 21 日星期六 10:49:31 GMT
< 连接：保持连接
< 保持活动：超时=5
< 传输编码：分块

谁是 Bright Data (Luminati Networks)？
Bright Data（前身为 Luminati）总部位于以色列内坦亚，提供对移动运营商、数据中心和住宅建筑中数百万个代理的访问，并承诺 “解锁任何网站并收集准确的数据以做出数据驱动的业务决策”。他们的商业行为 长期以来一直 因使用移动 VPN 和其他 “后门” 移动应用程序来访问住宅和移动设备而受到批评。

一旦我们发现了这个 “超级代理” 基础设施的样子，我们就可以在 Censys 中搜索它们，然后通过查看它们的关联域来发现数千个它们的位置：lum-superproxy.io 和 l-cdn.com

我们知道超级代理打开了端口 7547、5000-44818。使用 Shodan 中的 16993.https.get.headers.proxy_authenticate=Luminati 或 “X-Luminati-Error” 对 Censys 进行简单查询 就足以找到超级代理的主要位置。



Luminati 文档也很有启发性，因为它与 DNS 解析异常一致。


攻击者从 CC-Attack 连接到 Luminati 安装的代理管理器以淹没 Karapatan.org

数以千计的轮换 IP 泛滥网站
我们记录的流量模式与每小时轮换的新 IP 池一致。在我们研究之初，我们推测这种行为可能是 “现收现付” 压力测试服务的结果，该服务允许最多一小时的攻击时间。在对网站进行几天监控后，我们可以确定流量模式是 Luminati 每小时自动轮换其住宅和移动代理的结果。

在数周内，Luminati 每小时以不少于 100 个新 IP 和每秒数千个请求淹没网站。

攻击流量的成本是多少？
毫不奇怪，这是 Qurium 第一次看到这种用于拒绝服务攻击的基础设施，因为 Luminati 流量远非便宜。移动代理的 1 GB 流量介于 26-35 美元和住宅代理的 10-15 美元之间。

仅在 2021 年 8 月 10 日至 20 日这十天期间，我们估计来自 Luminati 的攻击流量接近 10 TB (10.000 GB)。使用 Luminati 的 “Plus” 包， 仅在 10 天内，攻击就达到了 260,000 美元的疯狂数字 。

很难相信 Luminati 数周以来都没有发现攻击者发起了数十亿个请求淹没一个网站的情况。只有 “Bright Data / Luminati Networks” 才能揭开此案的面纱，并向公众解释这笔 “商业交易” 是如何安排的。

Bright Data 对滥用报告的回应
2021 年 8 月 21 日，向 Bright Data（Luminati Networks）发送了一份关于这次攻击的滥用报告。与该公司共享了洪水流量日志的样本，流量日志包括来自 MTS 和 Megafon 的 68 个网络的 1556 个 IP 地址。

我们共享的一些前缀包含 50 多个参与泛洪的 IP。

2021 年 8 月 10 日至 19 日攻击期间前缀 188.170.83.0/24（56 个 IP）的洪水活动样本）

Bright_Data_IPs 网络

• 56 188.170.83.0/24
• 55 188.170.75.0/24
• 54 188.170.74.0/24
• 49 188.170.86.0/24
• 49 188.170.81.0/24
• 49 188.170.80.0/24
• 48 188.170.77.0/24
• 47 188.170.76.0/24
• 47 188.170.73.0/24
• 46 188.170.84.0/24
• 42 188.170.87.0/24
• 42 188.170.82.0/24
• 38 188.170.78.0/24
• 37 188.170.72.0/24
• 36 188.170.79.0/24
• 35 188.170.85.0/24
• 28 95.153.129.0/24
• 28 213.87.157.0/24
• 经过一些电子邮件交流，Bright Data 没有要求提供更多证据，我们在 8 月 24 日收到了这个引人入胜的解释。

“您附加（再次附加）列表中的 IP 属于 Bright Data，但是我们在发送到报告域的请求中没有找到任何 IP。由于缺乏调查结果，我们对所有客户以及我们所有网络的报告域进行了阻止，因此我们预计不会通过我们的网络向其发送请求。感谢您的报告，希望我们能够为您提供足够的帮助。”

与我们追溯攻击基础设施的其他情况一样，电子邮件交换以常见的  “不用担心。我们没有这样做。不会有下一次”：

(...) 我们让域被阻止，因此没有流量通过我们的网络到达 karapatan.org。这样我们就可以确保您  将来不会从我们的网络中产生滥用行为

最后放上一个视频