8
如果你的每一條搜索記錄,每一次軟件的操作都被人監視,記錄在案,并且加以分析,還寫成分析報告。一個真實的你就如同顯影液中的照片一般逐漸清晰,那么你很可能是一個被“重點關照”的犯罪嫌疑人。
性別為男性; (曾搜索關鍵詞“街頭絲襪美女”、“關于楊冪黃色的照片”查看圖片,并且 向某貼作者支付論壇金幣索取美女圖片,建議有關部門向論壇索取數據進行追查。)
年齡范圍猜測:15~20;
使用自由門翻墻; (曾經下載該軟件。)
喜歡玩“摩爾莊園”游戲,玩PSP游戲機; (曾搜索關鍵詞“摩爾莊園大鯉魚什么”,曾訪問網址下載PSP游戲。)
使用Windows XP操作系統;
可能喜歡玩YY等語音平臺, 使用QQ旋風作為默認下載軟件;(曾下載YY視頻錄制插件,且默認彈出的下載工具為QQ旋風。 )
可能是明星“鐘漢良”的粉絲; (曾查看明星“鐘漢良”的照片,請求來源為百度圖片,搜索關鍵字為:“鐘漢良”。)
此人可能有近期出行計劃。(曾在百度搜索“旅行小背包”查看圖片。)
以上內容就節選自這樣一份分析報告,報告中這個“可憐人”的興趣愛好和所作所為一覽無余。但這個人并不是一個普通人,他是一個黑客,同時也是一個犯罪嫌疑人。知道創宇團隊正在奉命向公安機關提供一份有關他的溯源報告(由于保密需要,已隱去大量敏感信息),這里呈現的僅僅是初步信息,通過持續偵察,還有可能獲得他的真實IP地址和地理位置。然而, 目前這名黑客很可能還絲毫沒有察覺,對于他的包圍圈正在越來越小。。。
知道創宇產品部總監 金皓
這位黑客“指紋”的采集者,就是知道創宇的產品部總監——金皓。作為知道創宇主要產品“創宇盾”的負責人,他的團隊剛剛打退了黑客們在反法西斯紀念日期間對某些“敏感網站”的攻擊行為。
黑客如何留下指紋?
我們的指紋庫中有8000萬個惡意IP,這其中有大約33萬個活躍的 IP,在這些 IP 背后,就是那些活生生的黑客。無論黑客攻擊是使用真實 IP 還是 VPN 代理 IP,都會進入指紋庫,而黑客的攻擊行為和攻擊路線,也都會被同時記錄。
金皓隨手打開一家重量級網站的安全后臺,數據顯示這個網站正在承受流量約為7G的CC攻擊。而在凌晨,攻擊流量一度達到了20-30G。
后臺顯示某網站被攻擊的實時動態和歷史數據
在黑客指紋庫里,每一個IP都會關聯它的歷次攻擊行為,進而根據利用漏洞的能力和攻擊威脅、頻率等參數被分級。每個攻擊者都會被標識上危險等級,滿分為五顆星。金皓告訴雷鋒網:
如果一個黑客成功利用了一個0Day漏洞進行入侵,那么他就有可能被標為五顆星;如果一個黑客運用了罕見的軍用級別的漏洞掃描器進行探測,也會被定為四顆星或者五顆星。
除此之外,黑客們還會被加上各種描述標簽。
某黑客的指紋信息
上圖所示,就是一個黑客的指紋信息。對于圖中的亮點,金皓解釋說,由于該黑客經常搜索各種同性戀“專用詞匯”,所以果斷被貼上了“同性戀”這一標簽。。。(關鍵詞請自行腦補。)
那么問題來了,這些大神們如何得到黑客的搜索記錄呢?
其實邏輯并不難。根據知道創宇提供的數據,“加速樂”、“創宇盾”等產品約保護了中國大約四分之一的域名。雖然最主流的百度、新浪微博等網站沒有與知道創宇合作,但是這些在”創宇生態圈“之中的網站仍然提供了大量的“破案線索”。如果一個危險IP訪問了知道創宇保護的網站,它的相關行為就被記錄了下來。
而瀏覽器的特性決定了在點擊可監控網站的前一跳同樣是可以追溯的。也就是說,黑客是通過搜索哪一關鍵詞,或者通過哪一網頁進入監控的視野,是一覽無余的。這樣就大大增加了指紋監控的范圍,于是在文首提到的黑客,他曾經搜索了哪些關鍵詞,就可以被記錄在案了。
誰是真正的對手?
過去的黑客可能大多是針對特定的網站,采取針對性的方式進行攻擊,就像拿魚叉“叉魚”一樣。而現在的黑客,大部分都進化成了“撒網捕魚”的“漁民”。
金皓回憶,以往可能兩年才會曝出一個國際的通用漏洞,但是現在這種“重量級”漏洞被爆出來的速度越來越快,幾乎一年就會出現兩三個。黑客們利用這種通用漏洞,可以一次性黑掉上千甚至上萬個網站。所以,在黑客的世界中,那種一條條叉魚的“田園詩”般的生活一去不復返了,取而代之的是有人專職織網(挖漏洞),有人撒網捕魚(大批量黑網站拖數據),有人分銷魚肉(把盜取的信息分類變現)這樣的工業化流水線作業。
這樣的轉變對于安全從業者來說其實是更簡單了。因為他們不用針對特定的攻擊制定應對計劃,而是集中精力研究一個被曝光的通用漏洞,然后批量修復就好了。事實證明,在指紋庫中活躍度黑客,大多數應用的都是已經曝出的通用漏洞,在33萬活躍的黑客 IP 中,可能有32萬 IP 都在利用已經有完整應對策略的漏洞,而真正的高手,正是那不到一萬人的神秘魅影。這些人,才是知道創宇真正的對手。
“指紋庫中底層的黑客會不斷變換,而你會發現,真正的高手永遠在榜首。你看不到他們,但他們真實地存在著。”說到這些對手,金皓臉上露出了笑容。研究這些四星、五星黑客進攻路線的時候,知道創宇的技術團隊會進行一些技術反推,有時甚至會發現黑客使用的一些非常有價值的0Day漏洞。金皓說:“有時團隊通過追蹤黑客的指紋發現的重大漏洞,甚至比自主研究得到的漏洞還多。”
收集黑客指紋的內部系統界面
白帽子的反擊戰
對于金皓來說,即使黑客的攻擊指紋再豐富,犯罪證據再確鑿,他也沒有任何權利進行反擊。原因不言自明——“打人犯法”。
不能還擊,至少可以捂臉。黑客指紋實際上對諸多IP構建了一個信用評級體系,如果一個IP被列入了黑名單,受保護的網站可以選擇不接受這個黑客的一切訪問請求,如果一個IP的威脅級別沒有那么高,那么網站可以在知道創宇的協助下響應一部分請求。
然而,這些都不過癮。我們要的,是!反!擊!
其實,包括知道創宇在內的諸多安全公司手里都掌握著各式“兇器”——0Day漏洞,可以通過種種方法對黑客進行反黑。只不過,正當防衛需要一把“尚方寶劍”,那就是神秘的“有關部門”。
這種反制在國內的黑客身上比較有效。金皓為雷鋒網舉了一個栗子:
一名看起來經驗不太豐富卻膽大包天的黑客攻入了北京某大學網站,網監部門在知道創宇的技術協助下,把黑客的身世翻了一個底朝天。
確定了黑客的職業——電腦維修店老板;
定位到了黑客的活動范圍(下圖所示);
拿到了黑客的工作流水賬本(下圖所示);
找到了黑客本人。
對此,金皓的評價是:“沒想到修電腦比做安全賺錢多了!”
在黑客電腦里起獲的賬目流水
黑客的活動范圍(黃線以內)
“狡猾的狐貍”仍在和“好獵手”周旋
黑客不可能瀏覽一切網頁都掛代理,所以理論上只要時間夠長,黑客的真實身份(IP)都會暴露。但是,面對最狡猾的狐貍,再好的獵手也顯得辦法不足。金皓說,如果有黑客足夠小心,無論做什么都用虛擬機,那么他的指紋將很難采集。這些黑客,往往會做出非常有破壞力的事情:
有些全球性的0Day漏洞在剛剛曝出的幾小時內,一些有特殊目的的黑客就會在網站還沒有防護能力的時候黑進去。埋下后門,然后潛伏不動,有的甚至可以潛伏數年,在他認為最合適的時候一舉進行攻擊。對于某些后門,如果不進行代碼級別的排查,是根本不可能發現的。
如果這樣的黑客進行攻擊,是非常難防范的。于是,苦逼的知道創宇團隊針對政企客戶開發了一個名為“防黑鎖”的東東,即使黑客改了網站首頁圖片,也并不會被普通瀏覽者看到。這算是下策。
而真正困擾金皓的,還是指紋數據的規模。目前知道創宇的用戶雖然不算少,但是仍然不能形成“遮天蔽日”的局面。只有黑客同知道創宇的用戶發生了“聯系”,其“指紋”才有可能被采集。從這個角度來看,還有非常多的黑客沒有進入金皓的視線。對他來說,讓更多的人使用自己的產品,才是讓黑客無處遁形的最好途徑。
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
專題
