知道创宇金皓:如何围猎一名黑客——虚拟空间里的“指纹采集”

如果你的每一条搜索记录,每一次软件的操作都被人监视,记录在案,并且加以分析,还写成分析报告。一个真实的你就如同显影液中的照片一般逐渐清晰,那么你很可能是一个被“重点关照”的犯罪嫌疑人。

  • 性别为男性; (曾搜索关键词“街头丝袜美女”、“关于杨幂黄色的照片”查看图片,并且   向某贴作者支付论坛金币索取美女图片,建议有关部门向论坛索取数据进行追查。)

  • 年龄范围猜测:15~20;

  • 使用自由门翻墙; (曾经下载该软件。)

  • 喜欢玩“摩尔庄园”游戏,玩PSP游戏机; (曾搜索关键词“摩尔庄园大鲤鱼什么”,曾访问网址下载PSP游戏。)

  • 使用Windows XP操作系统;

  • 可能喜欢玩YY等语音平台, 使用QQ旋风作为默认下载软件;(曾下载YY视频录制插件,且默认弹出的下载工具为QQ旋风。 )

  • 可能是明星“钟汉良”的粉丝; (曾查看明星“钟汉良”的照片,请求来源为百度图片,搜索关键字为:“钟汉良”。)

  • 此人可能有近期出行计划。(曾在百度搜索“旅行小背包”查看图片。)

以上内容就节选自这样一份分析报告,报告中这个“可怜人”的兴趣爱好和所作所为一览无余。但这个人并不是一个普通人,他是一个黑客,同时也是一个犯罪嫌疑人。知道创宇团队正在奉命向公安机关提供一份有关他的溯源报告(由于保密需要,已隐去大量敏感信息),这里呈现的仅仅是初步信息,通过持续侦察,还有可能获得他的真实IP地址和地理位置。然而, 目前这名黑客很可能还丝毫没有察觉,对于他的包围圈正在越来越小。。。

知道创宇金皓:如何围猎一名黑客——虚拟空间里的“指纹采集”

知道创宇产品部总监 金皓

这位黑客“指纹”的采集者,就是知道创宇的产品部总监——金皓。作为知道创宇主要产品“创宇盾”的负责人,他的团队刚刚打退了黑客们在反法西斯纪念日期间对某些“敏感网站”的攻击行为。

黑客如何留下指纹?

我们的指纹库中有8000万个恶意IP,这其中有大约33万个活跃的 IP,在这些 IP 背后,就是那些活生生的黑客。无论黑客攻击是使用真实 IP 还是 VPN 代理 IP,都会进入指纹库,而黑客的攻击行为和攻击路线,也都会被同时记录。

金皓随手打开一家重量级网站的安全后台,数据显示这个网站正在承受流量约为7G的CC攻击。而在凌晨,攻击流量一度达到了20-30G。

知道创宇金皓:如何围猎一名黑客——虚拟空间里的“指纹采集”

后台显示某网站被攻击的实时动态和历史数据

在黑客指纹库里,每一个IP都会关联它的历次攻击行为,进而根据利用漏洞的能力和攻击威胁、频率等参数被分级。每个攻击者都会被标识上危险等级,满分为五颗星。金皓告诉雷锋网(公众号:雷锋网)

如果一个黑客成功利用了一个0Day漏洞进行入侵,那么他就有可能被标为五颗星;如果一个黑客运用了罕见的军用级别的漏洞扫描器进行探测,也会被定为四颗星或者五颗星。

除此之外,黑客们还会被加上各种描述标签。

知道创宇金皓:如何围猎一名黑客——虚拟空间里的“指纹采集”

某黑客的指纹信息

上图所示,就是一个黑客的指纹信息。对于图中的亮点,金皓解释说,由于该黑客经常搜索各种同性恋“专用词汇”,所以果断被贴上了“同性恋”这一标签。。。(关键词请自行脑补。)

那么问题来了,这些大神们如何得到黑客的搜索记录呢?

其实逻辑并不难。根据知道创宇提供的数据,“加速乐”、“创宇盾”等产品约保护了中国大约四分之一的域名。虽然最主流的百度、新浪微博等网站没有与知道创宇合作,但是这些在”创宇生态圈“之中的网站仍然提供了大量的“破案线索”。如果一个危险IP访问了知道创宇保护的网站,它的相关行为就被记录了下来。

而浏览器的特性决定了在点击可监控网站的前一跳同样是可以追溯的。也就是说,黑客是通过搜索哪一关键词,或者通过哪一网页进入监控的视野,是一览无余的。这样就大大增加了指纹监控的范围,于是在文首提到的黑客,他曾经搜索了哪些关键词,就可以被记录在案了。

谁是真正的对手?

过去的黑客可能大多是针对特定的网站,采取针对性的方式进行攻击,就像拿鱼叉“叉鱼”一样。而现在的黑客,大部分都进化成了“撒网捕鱼”的“渔民”。

金皓回忆,以往可能两年才会曝出一个国际的通用漏洞,但是现在这种“重量级”漏洞被爆出来的速度越来越快,几乎一年就会出现两三个。黑客们利用这种通用漏洞,可以一次性黑掉上千甚至上万个网站。所以,在黑客的世界中,那种一条条叉鱼的“田园诗”般的生活一去不复返了,取而代之的是有人专职织网(挖漏洞),有人撒网捕鱼(大批量黑网站拖数据),有人分销鱼肉(把盗取的信息分类变现)这样的工业化流水线作业。

这样的转变对于安全从业者来说其实是更简单了。因为他们不用针对特定的攻击制定应对计划,而是集中精力研究一个被曝光的通用漏洞,然后批量修复就好了。事实证明,在指纹库中活跃度黑客,大多数应用的都是已经曝出的通用漏洞,在33万活跃的黑客 IP 中,可能有32万 IP 都在利用已经有完整应对策略的漏洞,而真正的高手,正是那不到一万人的神秘魅影。这些人,才是知道创宇真正的对手。

“指纹库中底层的黑客会不断变换,而你会发现,真正的高手永远在榜首。你看不到他们,但他们真实地存在着。”说到这些对手,金皓脸上露出了笑容。研究这些四星、五星黑客进攻路线的时候,知道创宇的技术团队会进行一些技术反推,有时甚至会发现黑客使用的一些非常有价值的0Day漏洞。金皓说:“有时团队通过追踪黑客的指纹发现的重大漏洞,甚至比自主研究得到的漏洞还多。”

知道创宇金皓:如何围猎一名黑客——虚拟空间里的“指纹采集”

收集黑客指纹的内部系统界面

白帽子的反击战

对于金皓来说,即使黑客的攻击指纹再丰富,犯罪证据再确凿,他也没有任何权利进行反击。原因不言自明——“打人犯法”。

不能还击,至少可以捂脸。黑客指纹实际上对诸多IP构建了一个信用评级体系,如果一个IP被列入了黑名单,受保护的网站可以选择不接受这个黑客的一切访问请求,如果一个IP的威胁级别没有那么高,那么网站可以在知道创宇的协助下响应一部分请求。

然而,这些都不过瘾。我们要的,是!反!击!

其实,包括知道创宇在内的诸多安全公司手里都掌握着各式“凶器”——0Day漏洞,可以通过种种方法对黑客进行反黑。只不过,正当防卫需要一把“尚方宝剑”,那就是神秘的“有关部门”。

这种反制在国内的黑客身上比较有效。金皓为雷锋网举了一个栗子:

一名看起来经验不太丰富却胆大包天的黑客攻入了北京某大学网站,网监部门在知道创宇的技术协助下,把黑客的身世翻了一个底朝天。

确定了黑客的职业——电脑维修店老板;

定位到了黑客的活动范围(下图所示);

拿到了黑客的工作流水账本(下图所示);

找到了黑客本人。

对此,金皓的评价是:“没想到修电脑比做安全赚钱多了!”

知道创宇金皓:如何围猎一名黑客——虚拟空间里的“指纹采集”

在黑客电脑里起获的账目流水

知道创宇金皓:如何围猎一名黑客——虚拟空间里的“指纹采集”

黑客的活动范围(黄线以内)

“狡猾的狐狸”仍在和“好猎手”周旋

黑客不可能浏览一切网页都挂代理,所以理论上只要时间够长,黑客的真实身份(IP)都会暴露。但是,面对最狡猾的狐狸,再好的猎手也显得办法不足。金皓说,如果有黑客足够小心,无论做什么都用虚拟机,那么他的指纹将很难采集。这些黑客,往往会做出非常有破坏力的事情:

有些全球性的0Day漏洞在刚刚曝出的几小时内,一些有特殊目的的黑客就会在网站还没有防护能力的时候黑进去。埋下后门,然后潜伏不动,有的甚至可以潜伏数年,在他认为最合适的时候一举进行攻击。对于某些后门,如果不进行代码级别的排查,是根本不可能发现的。

如果这样的黑客进行攻击,是非常难防范的。于是,苦逼的知道创宇团队针对政企客户开发了一个名为“防黑锁”的东东,即使黑客改了网站首页图片,也并不会被普通浏览者看到。这算是下策。

而真正困扰金皓的,还是指纹数据的规模。目前知道创宇的用户虽然不算少,但是仍然不能形成“遮天蔽日”的局面。只有黑客同知道创宇的用户发生了“联系”,其“指纹”才有可能被采集。从这个角度来看,还有非常多的黑客没有进入金皓的视线。对他来说,让更多的人使用自己的产品,才是让黑客无处遁形的最好途径。

雷锋网原创文章,未经授权禁止转载。详情见转载须知

知道创宇金皓:如何围猎一名黑客——虚拟空间里的“指纹采集”

(完)