如果你的每一條搜索記錄,每一次軟件的操作都被人監(jiān)視,記錄在案,并且加以分析,還寫(xiě)成分析報(bào)告。一個(gè)真實(shí)的你就如同顯影液中的照片一般逐漸清晰,那么你很可能是一個(gè)被“重點(diǎn)關(guān)照”的犯罪嫌疑人。
性別為男性; (曾搜索關(guān)鍵詞“街頭絲襪美女”、“關(guān)于楊冪黃色的照片”查看圖片,并且 向某貼作者支付論壇金幣索取美女圖片,建議有關(guān)部門(mén)向論壇索取數(shù)據(jù)進(jìn)行追查。)
年齡范圍猜測(cè):15~20;
使用自由門(mén)翻墻; (曾經(jīng)下載該軟件。)
喜歡玩“摩爾莊園”游戲,玩PSP游戲機(jī); (曾搜索關(guān)鍵詞“摩爾莊園大鯉魚(yú)什么”,曾訪問(wèn)網(wǎng)址下載PSP游戲。)
使用Windows XP操作系統(tǒng);
可能喜歡玩YY等語(yǔ)音平臺(tái), 使用QQ旋風(fēng)作為默認(rèn)下載軟件;(曾下載YY視頻錄制插件,且默認(rèn)彈出的下載工具為QQ旋風(fēng)。 )
可能是明星“鐘漢良”的粉絲;(曾查看明星“鐘漢良”的照片,請(qǐng)求來(lái)源為百度圖片,搜索關(guān)鍵字為:“鐘漢良”。)
此人可能有近期出行計(jì)劃。(曾在百度搜索“旅行小背包”查看圖片。)
以上內(nèi)容就節(jié)選自這樣一份分析報(bào)告,報(bào)告中這個(gè)“可憐人”的興趣愛(ài)好和所作所為一覽無(wú)余。但這個(gè)人并不是一個(gè)普通人,他是一個(gè)黑客,同時(shí)也是一個(gè)犯罪嫌疑人。知道創(chuàng)宇團(tuán)隊(duì)正在奉命向公安機(jī)關(guān)提供一份有關(guān)他的溯源報(bào)告(由于保密需要,已隱去大量敏感信息),這里呈現(xiàn)的僅僅是初步信息,通過(guò)持續(xù)偵察,還有可能獲得他的真實(shí)IP地址和地理位置。然而, 目前這名黑客很可能還絲毫沒(méi)有察覺(jué),對(duì)于他的包圍圈正在越來(lái)越小。。。
知道創(chuàng)宇產(chǎn)品部總監(jiān) 金皓
這位黑客“指紋”的采集者,就是知道創(chuàng)宇的產(chǎn)品部總監(jiān)——金皓。作為知道創(chuàng)宇主要產(chǎn)品“創(chuàng)宇盾”的負(fù)責(zé)人,他的團(tuán)隊(duì)剛剛打退了黑客們?cè)诜捶ㄎ魉辜o(jì)念日期間對(duì)某些“敏感網(wǎng)站”的攻擊行為。
黑客如何留下指紋?
我們的指紋庫(kù)中有8000萬(wàn)個(gè)惡意IP,這其中有大約33萬(wàn)個(gè)活躍的 IP,在這些 IP 背后,就是那些活生生的黑客。無(wú)論黑客攻擊是使用真實(shí) IP 還是 VPN 代理 IP,都會(huì)進(jìn)入指紋庫(kù),而黑客的攻擊行為和攻擊路線,也都會(huì)被同時(shí)記錄。
金皓隨手打開(kāi)一家重量級(jí)網(wǎng)站的安全后臺(tái),數(shù)據(jù)顯示這個(gè)網(wǎng)站正在承受流量約為7G的CC攻擊。而在凌晨,攻擊流量一度達(dá)到了20-30G。
后臺(tái)顯示某網(wǎng)站被攻擊的實(shí)時(shí)動(dòng)態(tài)和歷史數(shù)據(jù)
在黑客指紋庫(kù)里,每一個(gè)IP都會(huì)關(guān)聯(lián)它的歷次攻擊行為,進(jìn)而根據(jù)利用漏洞的能力和攻擊威脅、頻率等參數(shù)被分級(jí)。每個(gè)攻擊者都會(huì)被標(biāo)識(shí)上危險(xiǎn)等級(jí),滿(mǎn)分為五顆星。金皓告訴雷鋒網(wǎng):
如果一個(gè)黑客成功利用了一個(gè)0Day漏洞進(jìn)行入侵,那么他就有可能被標(biāo)為五顆星;如果一個(gè)黑客運(yùn)用了罕見(jiàn)的軍用級(jí)別的漏洞掃描器進(jìn)行探測(cè),也會(huì)被定為四顆星或者五顆星。
除此之外,黑客們還會(huì)被加上各種描述標(biāo)簽。
某黑客的指紋信息
上圖所示,就是一個(gè)黑客的指紋信息。對(duì)于圖中的亮點(diǎn),金皓解釋說(shuō),由于該黑客經(jīng)常搜索各種同性戀“專(zhuān)用詞匯”,所以果斷被貼上了“同性戀”這一標(biāo)簽。。。(關(guān)鍵詞請(qǐng)自行腦補(bǔ)。)
那么問(wèn)題來(lái)了,這些大神們?nèi)绾蔚玫胶诳偷乃阉饔涗浤兀?/p>
其實(shí)邏輯并不難。根據(jù)知道創(chuàng)宇提供的數(shù)據(jù),“加速樂(lè)”、“創(chuàng)宇盾”等產(chǎn)品約保護(hù)了中國(guó)大約四分之一的域名。雖然最主流的百度、新浪微博等網(wǎng)站沒(méi)有與知道創(chuàng)宇合作,但是這些在”創(chuàng)宇生態(tài)圈“之中的網(wǎng)站仍然提供了大量的“破案線索”。如果一個(gè)危險(xiǎn)IP訪問(wèn)了知道創(chuàng)宇保護(hù)的網(wǎng)站,它的相關(guān)行為就被記錄了下來(lái)。
而瀏覽器的特性決定了在點(diǎn)擊可監(jiān)控網(wǎng)站的前一跳同樣是可以追溯的。也就是說(shuō),黑客是通過(guò)搜索哪一關(guān)鍵詞,或者通過(guò)哪一網(wǎng)頁(yè)進(jìn)入監(jiān)控的視野,是一覽無(wú)余的。這樣就大大增加了指紋監(jiān)控的范圍,于是在文首提到的黑客,他曾經(jīng)搜索了哪些關(guān)鍵詞,就可以被記錄在案了。
誰(shuí)是真正的對(duì)手?
過(guò)去的黑客可能大多是針對(duì)特定的網(wǎng)站,采取針對(duì)性的方式進(jìn)行攻擊,就像拿魚(yú)叉“叉魚(yú)”一樣。而現(xiàn)在的黑客,大部分都進(jìn)化成了“撒網(wǎng)捕魚(yú)”的“漁民”。
金皓回憶,以往可能兩年才會(huì)曝出一個(gè)國(guó)際的通用漏洞,但是現(xiàn)在這種“重量級(jí)”漏洞被爆出來(lái)的速度越來(lái)越快,幾乎一年就會(huì)出現(xiàn)兩三個(gè)。黑客們利用這種通用漏洞,可以一次性黑掉上千甚至上萬(wàn)個(gè)網(wǎng)站。所以,在黑客的世界中,那種一條條叉魚(yú)的“田園詩(shī)”般的生活一去不復(fù)返了,取而代之的是有人專(zhuān)職織網(wǎng)(挖漏洞),有人撒網(wǎng)捕魚(yú)(大批量黑網(wǎng)站拖數(shù)據(jù)),有人分銷(xiāo)魚(yú)肉(把盜取的信息分類(lèi)變現(xiàn))這樣的工業(yè)化流水線作業(yè)。
這樣的轉(zhuǎn)變對(duì)于安全從業(yè)者來(lái)說(shuō)其實(shí)是更簡(jiǎn)單了。因?yàn)樗麄儾挥冕槍?duì)特定的攻擊制定應(yīng)對(duì)計(jì)劃,而是集中精力研究一個(gè)被曝光的通用漏洞,然后批量修復(fù)就好了。事實(shí)證明,在指紋庫(kù)中活躍度黑客,大多數(shù)應(yīng)用的都是已經(jīng)曝出的通用漏洞,在33萬(wàn)活躍的黑客 IP 中,可能有32萬(wàn) IP 都在利用已經(jīng)有完整應(yīng)對(duì)策略的漏洞,而真正的高手,正是那不到一萬(wàn)人的神秘魅影。這些人,才是知道創(chuàng)宇真正的對(duì)手。
“指紋庫(kù)中底層的黑客會(huì)不斷變換,而你會(huì)發(fā)現(xiàn),真正的高手永遠(yuǎn)在榜首。你看不到他們,但他們真實(shí)地存在著。”說(shuō)到這些對(duì)手,金皓臉上露出了笑容。研究這些四星、五星黑客進(jìn)攻路線的時(shí)候,知道創(chuàng)宇的技術(shù)團(tuán)隊(duì)會(huì)進(jìn)行一些技術(shù)反推,有時(shí)甚至?xí)l(fā)現(xiàn)黑客使用的一些非常有價(jià)值的0Day漏洞。金皓說(shuō):“有時(shí)團(tuán)隊(duì)通過(guò)追蹤黑客的指紋發(fā)現(xiàn)的重大漏洞,甚至比自主研究得到的漏洞還多。”
收集黑客指紋的內(nèi)部系統(tǒng)界面
白帽子的反擊戰(zhàn)
對(duì)于金皓來(lái)說(shuō),即使黑客的攻擊指紋再豐富,犯罪證據(jù)再確鑿,他也沒(méi)有任何權(quán)利進(jìn)行反擊。原因不言自明——“打人犯法”。
不能還擊,至少可以捂臉。黑客指紋實(shí)際上對(duì)諸多IP構(gòu)建了一個(gè)信用評(píng)級(jí)體系,如果一個(gè)IP被列入了黑名單,受保護(hù)的網(wǎng)站可以選擇不接受這個(gè)黑客的一切訪問(wèn)請(qǐng)求,如果一個(gè)IP的威脅級(jí)別沒(méi)有那么高,那么網(wǎng)站可以在知道創(chuàng)宇的協(xié)助下響應(yīng)一部分請(qǐng)求。
然而,這些都不過(guò)癮。我們要的,是!反!擊!
其實(shí),包括知道創(chuàng)宇在內(nèi)的諸多安全公司手里都掌握著各式“兇器”——0Day漏洞,可以通過(guò)種種方法對(duì)黑客進(jìn)行反黑。只不過(guò),正當(dāng)防衛(wèi)需要一把“尚方寶劍”,那就是神秘的“有關(guān)部門(mén)”。
這種反制在國(guó)內(nèi)的黑客身上比較有效。金皓為雷鋒網(wǎng)舉了一個(gè)栗子:
一名看起來(lái)經(jīng)驗(yàn)不太豐富卻膽大包天的黑客攻入了北京某大學(xué)網(wǎng)站,網(wǎng)監(jiān)部門(mén)在知道創(chuàng)宇的技術(shù)協(xié)助下,把黑客的身世翻了一個(gè)底朝天。
確定了黑客的職業(yè)——電腦維修店老板;
定位到了黑客的活動(dòng)范圍(下圖所示);
拿到了黑客的工作流水賬本(下圖所示);
找到了黑客本人。
對(duì)此,金皓的評(píng)價(jià)是:“沒(méi)想到修電腦比做安全賺錢(qián)多了!”
在黑客電腦里起獲的賬目流水
黑客的活動(dòng)范圍(黃線以?xún)?nèi))
“狡猾的狐貍”仍在和“好獵手”周旋
黑客不可能瀏覽一切網(wǎng)頁(yè)都掛代理,所以理論上只要時(shí)間夠長(zhǎng),黑客的真實(shí)身份(IP)都會(huì)暴露。但是,面對(duì)最狡猾的狐貍,再好的獵手也顯得辦法不足。金皓說(shuō),如果有黑客足夠小心,無(wú)論做什么都用虛擬機(jī),那么他的指紋將很難采集。這些黑客,往往會(huì)做出非常有破壞力的事情:
有些全球性的0Day漏洞在剛剛曝出的幾小時(shí)內(nèi),一些有特殊目的的黑客就會(huì)在網(wǎng)站還沒(méi)有防護(hù)能力的時(shí)候黑進(jìn)去。埋下后門(mén),然后潛伏不動(dòng),有的甚至可以潛伏數(shù)年,在他認(rèn)為最合適的時(shí)候一舉進(jìn)行攻擊。對(duì)于某些后門(mén),如果不進(jìn)行代碼級(jí)別的排查,是根本不可能發(fā)現(xiàn)的。
如果這樣的黑客進(jìn)行攻擊,是非常難防范的。于是,苦逼的知道創(chuàng)宇團(tuán)隊(duì)針對(duì)政企客戶(hù)開(kāi)發(fā)了一個(gè)名為“防黑鎖”的東東,即使黑客改了網(wǎng)站首頁(yè)圖片,也并不會(huì)被普通瀏覽者看到。這算是下策。
而真正困擾金皓的,還是指紋數(shù)據(jù)的規(guī)模。目前知道創(chuàng)宇的用戶(hù)雖然不算少,但是仍然不能形成“遮天蔽日”的局面。只有黑客同知道創(chuàng)宇的用戶(hù)發(fā)生了“聯(lián)系”,其“指紋”才有可能被采集。從這個(gè)角度來(lái)看,還有非常多的黑客沒(méi)有進(jìn)入金皓的視線。對(duì)他來(lái)說(shuō),讓更多的人使用自己的產(chǎn)品,才是讓黑客無(wú)處遁形的最好途徑。