在看不到的“地下”,雇佣黑客发起网络攻击已经拥有成熟的黑产链和交易平台,这篇文章不仅将曝光这条黑产链,还会讲述一群人与网络犯罪对抗的日常。当我卧在沙发里正与即将合上的双眼皮做回合制搏斗时,听到了熟悉的“沉稳”脚步,使劲睁眼瞅了下,果然是熟悉的老友,云鼎实验室研究员宋兵和张壮。“堵路上了啊?”“啊,有点堵,我们实验室的其他人还在路上,要不我们先开聊?”壮哥顺手从桌子上抽了张纸抹去额头的汗,一屁股坐在对面的沙发里喘着粗气。我和宋兵对视了下会心一笑,看来这个夏天对胖子来说还没过去。“没问题,那咱们先聊,喝点什么?”“来杯威士忌吧,加冰”“大早上就喝酒,真的好吗?”“随便润润嗓子”“……”壮哥没有把冰块倒进威士忌里,而是把威士忌倒进了一整杯冰块里。他拿着整杯“冰块”,咕咚咕咚喝了口后舒爽的“啊~”了一声,往后一躺陷进了沙发里。腾讯安全云鼎实验室是背负着守护腾讯云重任的团队之一,对他们来说与各种网络攻击做对抗只是家常便饭,之后他们与我聊的便是在今年CSS云安全分论坛上的部分内容。宋兵的日常工作就是与各种网络攻击打交道,据他介绍,在常人看不到的“地下”,雇佣黑客进行攻击服务其实已拥有成熟的黑产链并且还在不断的进行技术革新,其中规模最大、盈利最多的便是DDoS网络攻击。

而谈DDoS网络攻击,一定绕不过“暗云” 事件,时间线先拉回到去年——

 

5月26日19点,腾讯云安全的大禹系统监测到一起大面积的DDoS网络攻击在全国互联网上肆虐,国内至少有数百万台电脑被感染沦为“肉鸡”,仅仅单个IP遭受黑客攻击的流量规模就高达650G。

 

此次网络攻击事件因木马感染而起,这款被称之为“暗云”的木马其实早在前些年便被捕获,但随着木马不断更新迭代,“暗云Ⅱ”、“暗云Ⅲ”等变种接连而至,这起如此大规模的网络攻击活动便是由“暗云Ⅲ”引发。

 

照此看来,如果不抓到“暗云”背后的网络犯罪团伙,那恐怕由“暗云”引发的网络犯罪事件将会无休止的继续下去。

 

从最初监测到“暗云”的DDoS网络攻击行为,再通过分析病毒还原出其作案手法、逆向追踪找到病毒的传播源,宋兵他们发现暗网背后的犯罪团伙是通过破解版游戏来扩散病毒,并顺着这条线抓捕到了暗云犯罪团伙。

宋兵边用手指在沙发扶手上有节奏的敲打,边和我形象的解释了什么是DDoS行为。

如果说把我们的计算机(数据库、服务器等等)比做一个商店,里面有各种各样的商品。某一天有人看你的店铺很火,就派人来你的店里乱转,还不购买商品,而店铺只有这么大,这些恶意的流量进来后正常流量就很难进来了,像这种攻击被称为DoS攻击。

佛系灵魂画作

而随着计算机和网络技术的不断发展,店铺越来越大,DoS攻击就显得没什么效果了。这时派遣恶意流量的店铺便开始联合其他店铺,一同派遣恶意流量,这时就形成了DDoS攻击。在这种攻击下,不仅会导致正常的流量很难进入,甚至会让服务器崩溃和瘫痪。

出于各种恶意目的,网络攻击服务有着巨大的“市场需求”,网络犯罪者瞄准了这块可口的“蛋糕”,在网上提供各种工具和服务,发展到现在已有了成熟的黑产链条,甚至还有了线上交易平台。

 

宋兵以DDoS网络攻击的发展过程为例,向我揭露了这条黑产链的现状。

1. 炫技时期

DDoS很早之前就被利用过多次,但这一攻击技术一直未被重视,直到2000年初时,全球最大门户网站雅虎被攻击停止服务——这次攻击是加拿大高中生Michael Demon Calce发起的,其网名为“黑手党男孩”,后续他又利用DDoS成功攻陷eBay、CNN、Amazon等。

以此事件为时间坐标,DDoS攻击开始被人们关注和重视,研究这项技术的高级技术人员也越来越多,大家有新的攻击类型与方法时往往只是炫耀技术能力,未有任何的利益获取与商业运作模式。此时的DDoS攻击无论在人员组成或攻击方法上都较为单一,其控制链条也较短。

宋兵分析,这个阶段的网络犯罪者首先会制作黑客软件,之后通过弱口令、漏洞等方式将软件植入个人电脑或服务器中,来获取被病毒感染的电脑(肉鸡/僵尸)。

之后网络犯罪者会以服务器作为控制端,管理成百上千台肉鸡,形成一股强大的攻击力量,针对目标服务器进行DDoS攻击。

2. 个人获利时期

此时期的肉鸡的整体连接与管理模式都发生重大的发展,通过技术的发展,肉鸡可容纳的数据上限大大增加,周时管理也相对简化了很多。一些传统的例如在后台运行命令、视频监控等功能,慢慢开始弱化或消失,其核心功能向单一的DDoS攻击又迈进了一步。

在人员上,出现了发单人与担保商两个角色,催生出这两个角色主要是因为从炫技时期转化到了个人获利时期,网络犯罪者进行DDoS攻击会更有针对性并且要求有额外的报酬。

宋兵谈到,如果网络犯罪者想要获取更大的利益,那么就需要寻找更多的买家,这时就有了担保商的角色。

担保商说白了就是传统中介,他们有较广的人脉和信誉,不仅仅能为网络犯罪者找到更多的买家,还能让买家信任其具有DDoS的攻击渠道。他们在促使交易达成后,通过从中间抽取一定的分成做为回报。

3. “反射放大”与团伙时期

在DDoS黑产的逐利性越来越明显的同时,肉鸡已不能满足网络犯罪者的需求。一个是因为其规模扩充较难,要建立各种传播渠道;另一个是反病毒软件的快速发展与响应周期越来越短,致使肉鸡的存活时间也相应变短,僵尸网络构建更加困难。

网络犯罪者为了寻求更低的成本和更便捷的管理,达到攻击与利益最大化,“反射放大”便应运而生。

经云鼎实验室分析,“反射放大”只需要维护10-50不等的高配置发包机,收集几万个反射源IP,便可替代肉鸡,甚至攻击出比肉鸡更大的流量。反射放大在DDoS攻击的占比逐年增加,目前甚至已超过一半。

随着DDoS攻击手法的增加和升级,利用DDoS进行勒索、攻击竞争对手的情况也越来越普及。这进一步催生了DDoS人员的细化,增加了肉鸡商、接单人、资源提供者、接发单平台等几个维度。在这个阶段中,DDoS攻击人员由原先少量分散的工作方式真正向团伙发展。

此时期DDoS已开始被做为网络武器,由团伙获利上升到了网络武器层面。例如2007年4月爱沙尼亚的国会、总统府、总办理公室、央行、主要媒体报社等遭受DDoS攻击。2008年俄罗斯在与格鲁吉亚的五日战争中也出现了DDoS攻击。

4. 平台化与成熟的DDoS黑产链条

看似成熟的体系背后其实也仍存在许多不足之处,例如成单率难以保障、攻击效果无法考量、响应时间太长等问题。

“但在巨大经济利益面前一切问题都是可以克服的”,宋兵笑着调侃道。

从目前存在的DDoS攻击产业链条来看,原先的多个环节已逐渐完成了自动化,使整个链条无需人工参与。发单人直接在DDoS服务平台下单就可以完成全部操作,宋兵称这样的平台为“页端DDoS攻击平台”。

页端DDoS攻击平台包括用户注册、套餐付费、攻击发起等一系列操作,且在用户端都可以完成,不需要其他人员参与,此处省去了担保商的环节。从购买者下单到平台发起DDOS攻击,时间不过短短几分钟。

宋兵笑着无奈的叹气,“这种平台不仅实现了能方便快捷的达成交易,也真正意义上的做到了没有中间商赚差价”。

5. 未来发展的暗网化

在DDoS的攻防战中,始终是DDoS黑色产业链快人一步,而DDoS的各种安全防御只能被动承受。

因为目前的页端DDoS攻击平台的暴露面太大,在平台小有名气后,面临的就是被封禁的风险,而为了使投入产出能够最大化,未来页端DDoS攻击平台暗网化必然是一个趋势。

让网络犯罪的“黑箱”见光 “DDoS只是网络攻击中比较常见的一种手法,最常和各种五花八门的病毒木马打交道的还是张壮。喂,壮壮,别睡了,该你聊聊了”,宋兵推醒了旁边已经开始打呼的张壮。“喔~”,张壮拿起桌上剩的威士忌一饮而尽,甩了甩头,唠家常似的谈起了自己的研究方向——病毒溯源,换言之就是探寻藏在“黑箱”背后犯罪团伙的破案过程。那我们就继续把想要保护的计算机(数据库、服务器等等)比做一个商店,里面存放着大量有价值的重要信息,被许多小偷和强盗觊觎已久,这些病毒大多会在一个月黑风高之夜作案,这样就可以完美隐蔽自己的犯罪痕迹了。店家往往只能在事后才知道这里遭到了入侵,并大致估算下店内哪些有价值的东西遭到行窃或利用。在店家“报警”后,便是名侦探 · 张壮的破案时间了。由于是在夜晚作案,目前已有的信息仅仅是知道有人来过这家店并发生过盗窃行为,其它一无所知。在这样的情况下,张壮选择的破案手法是——“猜”,对于隐藏了痕迹的犯罪现场,如果想要溯源,那么只能通过推理。猜当然不能瞎猜,首先要做的是横向猜测,这些病毒总的来说有几种常见的手法来盗取信息,比方说通过数据库、Web、Windows漏洞等等,根据不同手法采用类似于插入探针的方式进行猜想验证,从而可以判断出病毒大概是利用了哪一个大致的方向进入。在有一个大致方向后,做的便是纵向深入猜想,这一个大致方向又细分为众多小项,通过不断猜测验证、猜测验证……如此周而复始,还原出病毒隐藏着的真实作案手法。无论如何,这些病毒的最终目标大多都瞄准了店内最有价值的东西,而这些有价值的重要信息大多会被存放在特殊地点,病毒在通往这些地方的关口极有可能留下犯罪痕迹。就此,张壮会在破案的过程中部署许多类似于摄像头的“点”,通过这些点来监测可疑目标的行为日志,进而确认嫌疑目标的具体作案手法。这是我不禁向张壮提了个问题,“如果这些病毒的行为十分隐蔽,并没要留下作案证据,那又该怎么办?”“对于这种情况最好的还是能够事先预防,这其实就涉及到了杀毒引擎的问题,就以我们自己的云镜为例做下解释吧。首先进入店内的文件像人一样,会有自己的指纹(哈希值),通过指纹与犯罪人员数据库比对就可以识别这个人是否是坏人。”说到这儿,壮哥也聊嗨了,放下酒杯用手指在空中比划,边解释边自我提问。

“那如果比对的数据库里没有这个罪犯呢?这个人也许是突发歹意,遇到这种情况,我们大多会通过文件特征进行识别。比方说像昆山龙哥那样的人,大金链子大金表,左青龙右白虎小猪盘腰间,那你会觉得他是个好人吗?再比如拿刀手抖,说不定就是后遗症。文件也会有类似于这样的特征,我们利用AI技术,通过海量的样本训练学习来区分病毒样本和正常样本。”

“除了上面说的通过指纹和特征来进行判别,我们还会通过行为来检验文件。简单来说我们会让顾客先进一个假的商店,店内的配置和真的商店一摸一样,唯一的区别是店内有价值的信息全是是假的(也被称为虚拟机),我们会通过这个虚拟的真实环境来检验这些文件是否会发生恶意行为。”

但人工智能也不是万能的,特别是“对抗性神经网络”(GAN)出现后。什么是GAN网络,为什么可以对抗AI呢?

做个简单的比喻,周伯通被东邪“黄药师”困在桃花岛的地洞里,为了打发无聊的时间,周伯通就使用了“GAN网络”的原理,使武功倍增。周伯通自我训练的武学核心便是,左手画圆,右手画方,左右互搏。

而GAN网络的原理便是让机器做到“左右互搏”,一个扮演攻方,一个扮演守方,经过反复搏斗获得经验,提高攻守双方的能力。

张壮提到,利用GAN网络来自动批量生成不同的恶意样本,这些恶意样本都会调整自身特征,使得杀软无法查杀。

同样的,对于垃圾邮件监测、人脸监测、图像识别均可以用同样的方法进行攻击,甚至GAN网络一旦应用到电话诈骗,通过合成熟人语音,会使诈骗成功率大大增加。

到时我们听到的声音不一定是真的、看到的图片不一定是实的,就如同活在了“西部世界”中。

 “不好意思啊,来晚了”,说话的这位是刘少东,同样是云鼎实验室的研究员。“我负责的大多还是病毒查杀和逆向分析这一块,要说真正把绝大多恶意攻击拒之门外的还是少东”,张壮一边说一边拉着少东坐下。在之后的聊天中了解到,少东的主要工作是关于WAF防火墙的,对他来说,拦截DDoS网络攻击,防止病毒木马入侵已是家常便饭,而他做的防火墙又与常规的防火墙大不相同。防火墙就相当于商店门前的保安,网络攻击者经过多番试探,已经摸清楚了这个保安判别坏人的标准,那这个坏人就完全可以通过各种伪装手段来绕过保安的判别规则。少东在做的与传统防火墙不同的点便是将WAF技术同AI技术相结合。少东说,传统防火墙像是一个乐观主义者,他认为可以通过自身的规则防护住所有恶意攻击。而他对于AI防火墙一直采用的是悲观主义的设计哲学,AI防火墙认为自己不可能防御的住各种恶意攻击,他为了做的更好需要不断的计划和学习来完善自身的能力,并且不断去猜想自己可能被何种攻击绕过。从结果上来看,与普通防火墙80%的恶意攻击检出率相比,AI智能防火墙检出率达到了98%。上面讲的这种情况属于传统的Web威胁攻击,而随着技术不断的迭代,出现了新型的业务层的攻击。相比于这种传统的DDoS攻击,业务层的攻击维度已经进行了上升,也代表着从之前的片段点式攻击上升到了连续线式攻击。比方说这家店是卖电视的,库存里一共有10台电视,竞争对手通过撰写一个程序让恶意流量进入,下单订走这10台电视,而不付钱。如果下单30分钟不付款的话,订单会自动取消,但一被取消,这个恶意程序便会重新下单,如此周而复始的重复,使整个业务线不能正常运行。并且这些恶意流量还会自动爬取这家店铺的商业数据,比如说还有多少存货、客流多少、什么价格标准等等,通过获取这些有价值的信息来最终实现商业价值。这样的案例举不胜举,随着网络攻击手段的更新迭代,常规防火墙对于恶意网络攻击的抵抗能力已经开始显得日趋薄弱,AI智能防火墙便是在这样的条件下应用而生。“黑箱”,简单来说就是把一个系统比做看不透的黑色箱子,可被观察的仅仅是输入箱子里的和从中产出的。在“黑箱”的限制下,人们想要了解系统的运作流程难免显得十分困难。很多黑产和网络犯罪者把自己包裹在“黑箱”中,以此来隐藏作案手法和细节,从而逍遥法外。庆幸的是,有很多像云鼎实验室这样的一群人,一直努力着去让光照亮“黑箱”。

 

关注“安全客”微信公众号,倾听有思想的安全声音。

文章原文链接:https://www.anquanke.com/post/id/159714