黑产马仔躲山里柴油机发电搞攻击，幕后老大闹市喝茶——老司机独家揭秘真实网络对抗

有一种对抗，“杀人”不见“血”，却更可怕；

它的主战场在网络，有时针对一个人或者企业悄然攻击，有时是国与国之间厮杀战斗；

攻方，狡诈无比，守方，斗智斗勇。

这就是网络安全领域的攻方对抗，外人看上去惊心动魄，守者，却视为常态，处变不惊。

但这是每一个身处赛博世界的人无法逃离的战场，有时被波及，有时是主要受害人，我们，无法置身事外。

绿盟科技的高级副总裁叶晓虎已经置身这种战斗 15 年，2002 年，他初加入绿盟科技时，就卷入了与DDoS 的对抗。时刻警惕与抵抗赛博世界的攻方来袭，揪出背后的始作俑者，这是他 15 年来最重要的工作。

15 年来，让这个经验丰富的守方老将印象深刻的攻守战斗有两场。

2005 年，一名“唐山黑客”的案子震惊了全国，甚至惊动了国家公安部。

事情是这样的：从 2004 年 10 月份开始，原本并不火爆的北京境内的某音乐网站，却突然“热闹”起来，在某些时段，要想登录这家网站非常困难，后经该网站技术人员确认造成这一问题的原因在于有人恶意实施攻击。

为了摆脱困境，网站的经营者曾专门请来专家“会诊”，试图“死里逃生”，但事与愿违，面对这种攻击手法，似乎无计可施，期间专家在试图抵御攻击时，结果是你一动，攻击者下手更狠。无奈，为了躲避攻占，网站经营者将网站服务器转移到了我国台湾境内，但攻击者仍然一路穷追猛打，网站依然频频告急，网站经营者又生一计，越跑越远，干脆将服务器转移到美国境内，结果再次失败，攻击者如影相随，跑到哪儿打到哪儿，大有致其于死地而后快之势。疲于“奔命”的网站经营者无奈之下最后向国家信息产业部上报了这一情况，接着国家信息产业部向公安部紧急报案。

叶晓虎和团队配合有关部门，对该网站进行防护和调查了好几个月，没有线索。直到有一天，他们发现了系统的一条毫不起眼的攻击日志，从而定位了位于某部门内部的一台机器，在机器上捕获了攻击样本，最后定位到背后的这位“唐山黑客”。

叶晓虎告诉我们（微信ID：letshome），“唐山黑客”案的攻击手法不断变化，且频率非常高，而 2016 年报道的“证券幽灵”案攻击者潜伏时间之长实属罕见。

这是一起典型的 APT 攻击，在一些证券商报告发现账户异动后，邀请绿盟科技专家排查，发现一名操作人员的电脑“被搞了”，内部的服务器都被攻陷，再一查，吓人一跳！

这场“潜伏”与“信息盗窃”已经持续了 10 年。让人不可思议的是，中途入侵行为还曾被发现和处理过，但诡异的是，看上去已经打扫干净的战场却仍有敌人潜伏，而且此后的入侵手段还发生了变化和升级。

叶晓虎说：

“我们调查分析发现，几乎所有漏洞都已经修复，但是，唯一一台对外的服务器端口被开了，这就导致了攻击还能持续进行，我们在其他地方也发现了类似情况，做了很多取证，前一段时间攻击者已经被判刑。”

事实上，在攻防对抗的“金字塔”中，这种造大案的对手只占据顶尖的 20 %，剩下的 80 %都是“小毛贼”。

叶晓虎告诉小编，“小毛贼”虽然单个收益少，但有时社会影响大；而塔尖的人会用高精尖的技术，比如，花血本进行“零日攻击”、“组合攻击”和 APT攻击。

叶晓虎说：

“现在，很多企业一个基础的问题还解决得不太好，认识不到网络资产的价值、脆弱性、暴露面，甚至连连资产都不清楚，防护就更难了。IT技术发展非常快，企业管理的资产和暴露面呈现几何级地增长，大点公司安全防护人员也就是几个人，小的公司更难说了。在有的公司，安全团队和IT 团队是分开的，安全团队不了解业务，这也是安全管理的困难。”

顶尖的金字塔上的攻击者如果发动 APT攻击，长时间攻击一个企业，成功率非常高。“在某一个时刻保持安全不难，但要一直不犯错误很难，在网络安全上保持很高的水平，投入会要很大，不是每个企业都能负担得了。”

不怕贼偷，“最怕贼惦记”。

这位攻防领域的老将还在长时间的对抗中意识到，攻防对抗的形势越来越严峻。

叶晓虎在早期做攻防对抗时，其实相当清楚一场庞大的 DDoS 的幕后黑手是谁。那些黑手在国内都掌握了很多资源，甚至对抗双方还电话沟通。对方都能猖狂地承认，但是攻击者“背后的资源”让人动不了他。

这种“看破却不能说破”的境地还不是最艰难的。现在，有人明目张胆，却还行踪隐秘。

还是以DDoS 为例，现在它已形成了比较完整的产业链，由背后的人提供基础设施，把攻击作为一种服务进行售卖。

发起一场DDoS攻击，只要简单填写一个需求，成本非常低，一个“肉鸡”甚至只要几分钱，搞一场“万把块钱”都算贵的。

“电话诈骗的一个窝点在我的老家福建龙岩，一些人拿柴油机躲到山里发电，这样就很难监控，而且这些地区的人只是马仔，真正老板在台湾。”叶晓虎说。

被攻击方和防守方都很难找到敌人在哪里——这让守方很难受，攻击者的行踪越来越隐蔽。

从 RSA 大会回来后，叶晓虎对攻防对抗的新形势感受更深刻了。他和同事们甚至因此做了一份“攻防对抗的军备竞赛”清单：

如何攻

攻1：各种攻击元素出租，灰色市场居然可以这样搞？

灰色市场已进入更为精细化的“专业分工”，漏洞、利用、工具开发、 僵尸出租、社工库等成了“各种专门服务”。

某勒索软件要求受害者在一个星期内支付赎金或查找两个新的受害者。如果事件中另外两名“下线”受害者支付了赎金要求，原始的受害者可以免费获得解密密钥。不管这种类“传销模式“最终是否会带来更大的杀伤力，但灰产挖掘人性弱点并在运作模式中区充分利用的尝试得以充分展现。

另外，臭名昭著的 DDoS 攻击者在直接敲诈和烟幕服务等之外，提供非常低廉 DDoSas a Service(DDoS即服务)，5 美元起卖和分销。

攻2：守方使劲搞的机器学习，攻方也在盯着

各种机器学习和人工智能算法和工具被引入安全产品和系统。但是，机器学习只是一个数学工具，攻守双方都可以使用。

通过对抗性图像攻击可以欺骗机器学习模型，在一个图像识别的例子中，识别引擎给出了公共汽车车窗的误判。以此类推，如果攻击者面对机器学习的安全产品及系统，同样有可能利用这样的误判，发起致命的攻击。

（编辑：PHP编程网 - 黄冈站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!