有一種黑客叫做工具黨
有人說大數據黑客,大數據攻擊早N年都在使用了,其實我是相信的,我們所知的“黑產”或“灰產”很多攻擊模式都是這樣,舉幾個例子:
曾經瘋狂的網馬產業(yè)鏈
知道創(chuàng)宇07年底就開始推出的全國第一個最全面的全國網馬監(jiān)控系統(tǒng)(蜜罐里是HOOK IE很多系統(tǒng)APIs的沙盒系統(tǒng)),08年是這個系統(tǒng)的成熟期,也是網馬產業(yè)鏈持續(xù)高潮的時期,那時針對黑客攻擊的刑法修正案(七)還沒頒布,我們捕獲了數萬各種變形的網馬源頭以及大量的木馬病毒樣本,根據這些網馬的特征,我們發(fā)現(xiàn)幾個地下產業(yè)的團隊活動,當時我們就被這些團隊的行為折服與震撼。
這種折服與震撼放到之后的科普文章里寫吧,因為本次的主題是“工具黨”。
我們發(fā)現(xiàn)數萬網站一次性被黑,然后植入網馬(掛馬),就是通過工具批量進行,比如當時類似挖掘雞這樣的傻瓜工具,基本就是掛機掃描網站主機的常見服務端口的弱口令、Google Hack常見漏洞、后臺地址+暴力口令、SQL注入(尤其是SQL Server的)、IIS缺陷等,別小瞧,大規(guī)模模式下的攻擊,往往會有驚喜(因為這時需要用統(tǒng)計學規(guī)律來解釋,你知道嗎?),尤其是針對一個 0day(未修補的漏洞)。
挖掘雞太挫了?當然,編寫一個在Linux下高效工作,甚至集群工作的掃描器也很簡單,對于有經驗的黑客來說,就是幾小時的事:)
為了看AV
大家記住一點:一旦一個東東上升到了統(tǒng)計學層面,就得擔心了,舉個真實例子,我們團隊有個神一般的黑客人物,曾經(年輕人嘛),想得到某AV論壇的一些種子,要邀請碼才能注冊,手頭一時沒這個論壇應用的0day,怎么辦?他靈機一動,想出了個令我佩服得要死的高招……
這個論壇有個功能是可以列出所有在線用戶的(這個數量很可觀),在Linux下,他把這些用戶賬號全部采集到,然后結合弱口令123456去批量登錄(當時沒驗證碼),登錄失敗的狀態(tài)特征我們是知道的,一旦發(fā)現(xiàn)不是這個狀態(tài)特征,那就是成功了。通過這個方式,搞下數十個賬號,而且還有VIP的……
恩,他此時就是一個工具黨。
俄羅斯黑客
我們最近又發(fā)現(xiàn)一起和這個國家的黑客團隊有關的一起攻擊案例(黑產),這起案例放在下次科普介紹,這次回顧下2012/3/20我們發(fā)布的一篇文章《Web 應用漏洞的大規(guī)模攻擊案例分析》,由我們安全研究員小G撰寫,語言生動詼諧、精彩之極!忍不住要看等看完本文再點擊這:
這篇文章當時就跟蹤出了背后的主謀:俄羅斯黑客。他們利用WordPress插件TimThumb的漏洞批量拿到目標網站的后門權限(Webshell),3500站點,批量掛了網馬,感染了全球150000用戶。手段之陰險毒辣,行為之狡詐令我們團隊咬牙。
要快速利用曝光了的0day(我們稱之nday)進行大規(guī)模攻擊,就必須成為工具黨,大規(guī)模、掛馬、數據采集、數據分析、精準投放……我們可以肯定,很多很多安全公司的團隊和他們比起來簡直弱爆了!
全球弱口令設備
膜拜一下,雖然我們團隊也做了些嘗試,可惜僅僅搞了幾個國家的,這樣全球的,而且還開放出來,包括paper、庫、統(tǒng)計,出自一人之手,這才是真的黑客。恩,他也是工具黨。自己膜拜去吧,地址:
http://internetcensus2012.bitbucket.org/paper.html
看完如上幾個案例后,我所說的工具黨是褒義詞,很多人鄙視用工具的,經常說:“啥技術含量都沒,負分,滾粗!”告訴你吧,一旦一個玩意上升到統(tǒng)計學層面(或者說大數據層面),這個威力就不小了,能玩好統(tǒng)計學,能玩好群體,是一種巨大的本領,別整天意淫自己,這個圈子背后有一批真正的牛人,如幽靈般地行走。
你相信我說的嗎?
附注:我們會持續(xù)性的進行安全科普,大家有什么問題可以在微信里給我們留言,我們會認真對待每份留言,并在下次發(fā)文時進行必要的解答。如果大家有什么安全八卦也歡迎投稿給我們,我們的微信:網站安全中心/wangzhan_anquan。科普改變世界,我們一起努力讓這個互聯(lián)網更好更安全吧!
