0
| 本文作者: 李勤 | 2017-10-13 10:53 |
這個世界上住得最偏遠的除了大山的子孫,還有搞黑產的馬仔。
“十一”假期前幾天,阿里云安全的 JX 剛接到同事郁悶的信息:“糟糕,假期回不去了。”JX 一驚,難道這次他作為技術支持,與警方一起深入虎穴打擊黑產團伙出了什么意外?
“不是不是,這個搞 DDoS 的團伙藏得也挺深的,這么偏遠的地方,我先坐了馬車,再坐了汽車,等我到了火車站,沒票了!”同事說。
JX 只能安慰同事,建議他假期到處逛逛,接力回家。
JX 所在的團隊,是被云安全全面武裝的網絡安全技術團隊,應用阿里云全網安全態勢感知系統等云安全分析工具,與警方對接、合作,只為一件事:打擊灰黑產業鏈。
注:配合警方打擊黑產,風險很大,JX、MQ為兩位受訪者化名,應受訪者要求,雷鋒網編輯沒有拍攝兩人照片。
9 月 27 日,阿里云棲峰會召開前期,阿里云在北京召開了一場發布會,發布首個企業云安全架構,以及《2017阿里云安全白皮書》。在發布會上,阿里云稱其每天成功抵御了 16 億次攻擊,遭遇最多的是 DDoS 攻擊。
與其他在線上與黑客斗智斗勇的安全研究員同事不同的是,他們不僅要在線上構筑防衛城墻,還要在警方破案時,利用云安全能力追尋黑產的蛛絲馬跡,必要時配合警方抓捕黑產團伙。
親手促成打掉黑產團伙,是他們最痛快的事。
JX坐在雷鋒網編輯面前,依然記得 20 年前進入 IDC 行業時,不少客戶遭遇 DDoS 攻擊時無助的場景。
“那時候,無論是客戶遇到攻擊,還是IDC遇到攻擊,都特別無助,唯一的辦法就是勸客戶換機器,甚至換服務商,因為IDC扛不住,還會影響其他客戶。”JX回憶起 20 年前的場景。那時,JX所在公司的老板還焦急地給總理寫了一封信:“不聯合打擊黑產,我們互聯網就要完蛋了。”
但是,當時即使帶著所有的網絡日志和數據找警方報案,依然很難解決問題,因為警方也覺得為難——沒有辦法抓到這個黑產團伙。“明明知道問題,大家卻無能為力,隱藏在網上的黑客攻擊,你只能默默承受。”JX說。
從 IDC 到云計算,來自于黑產團伙的攻擊仍然是困擾 JX 和整個社會的問題。但與 20 年前不一樣的是,云上的數據分析能力更加強大,通過對大量黑產樣本模型進行學習提升,可以對黑產案件進行智能關聯,圈出嫌疑犯,并給出關鍵線索。
這么一來,隱密在互聯網中的黑客終將被其繩之以法。
目前,阿里云在集中火力解決的主要是這三類黑產攻擊:
第一,大量 DDoS 攻擊。
2017年 8 月,阿里云共攔截 300 Gbps以上的攻擊數百次,不僅漲幅巨大,而且達到了歷史新高。約 70 %的被 DDoS 攻擊客戶來自網站和游戲。其中,小流量的 DDoS 攻擊在減少,大流量的 DDoS 攻擊卻持續增長,尤其是 400 G以上的 DDoS 攻擊。
大流量的 DDoS 攻擊通常并非散戶或小型黑客組織所為,而是來自財大氣粗的大型黑客組織。
第二,釣魚、欺詐、掛馬鏈接緊緊盯上用戶,一個漏洞不處理,就可能被黑客盯上、利用上,成為黑客工具隱密所在,成為攻擊工具、成為被欺詐對象,成為被釣魚對象。
第三,防止黑產鉆空子。
阿里云進軍海外市場時,采取的營銷方式之一是“先使用后付費”。如果不幸被不良黑產盯上,購買了大量服務,一個月后要付款時,人去樓空,則會帶來巨大的損失。與銀行不斷完善的風控體系一樣,這些挑戰讓阿里云開始思考新的業務風控模式。
追蹤黑產路徑,反擊
今年 4 月以來,阿里云配合警方打掉了 10 多起 DDoS 案件。
當一次大規模 DDoS 攻擊發生后,如果警方接到報案聯系了這些安全研究員,他們會在警方提供的樣本中找到木馬,分析攻擊手段,并將樣本與態勢感知平臺進行比對,如果是新木馬,安全研究員將樣本納入態勢感知系統進行系統自學習,并由系統給出木馬網上軌跡。
在這些案件中,線下技術團隊要做的就是進行網上黑客行為追蹤溯源,面對層層代理抽絲剝繭,找到中控,中控有可能是 IP、域名,如果是域名,找到域名所有者,如果是 IP,找到 IP 所有者。
隨后,警方再從這個 IP 繼續找出線下的始作俑者。
當然,這個“始作俑者”依然可能有假,警方和技術人員必須從零零散散的數據中,拼湊出終極真相。
今年上半年,阿里云安全團隊遇到的大型 DDoS 攻擊和 8 月顯示的數據類似,大部分受害者是新興游戲公司,剛剛要做起來,馬上要推廣時就遭遇了滅頂之災。
“大多數攻擊與競爭相關的,友商選擇黑客攻擊原因在于成本低,不易發現。但是被攻擊流量很大,最高峰值達到 694 G,對于被攻擊者,面對這么大流量攻擊基本上業務中斷,才積聚的用戶、人氣一下就沒了,其損失慘重,經歷幾次這樣的攻擊,一個公司很可能就會一蹶不振,甚至倒閉,每年因為攻擊倒閉的新公司不在少數。”MQ說。
針對釣魚掛馬類黑產,安全研究人員會如同對待搜索引擎一樣,進行關鍵詞、圖像、音視頻及頁面結構檢測,運用安全大數據分析手段抓住這些釣魚網站及木馬鏈接,協同用戶進行刪除。
敢在老虎身上拔毛的則是這樣的黑產:挖礦者。
今年,比特幣眼瞅著從 1 萬元的幣值漲到 2 萬元,黑產從業者瞄上了互聯網上應用的各種漏洞,試圖利用業務漏洞去進行挖礦、加密勒索。還有人會鉆平臺營銷策略漏洞,如先購買、使用,后結算類,就會有人搞虛假身份,使了就跑,給平臺帶來損失,更有甚者,利用這些資源作為黑客攻擊跳板機,打一槍換一炮,讓黑客在網上的行為軌跡更加撲簌迷離。
一旦發現這個用戶存在此類風險,系統會進行嚴格的信用考評乃至問題回訪,以進行多次用戶身份確認與核實。比如,信用卡可能會進行先扣一塊錢或幾毛錢,驗證信用卡有效性以及用戶真實性。
云安全帶來的改變在于,讓互聯網安全從嚴防死守到主動出擊,JX 認為,這對囂張的黑產而言,是一種威懾,但黑產的攻勢之猛,安全團隊的責任之大,時常還是讓他們感到憂慮。
第一,配合警方抓捕黑產從業者時,有很多年輕人參與其中,根本不知道干這個事是犯法的,他們以為自己只不過在網上動了動手而已。
“當你抓到他,稱這樣是侵犯了別人的計算機系統,是違反刑法的,他根本不敢相信,我怎么可能違反刑法?”JX痛心疾首,每年7、8月 DDoS 攻擊尤其多,因此她和同事要聯合警方,走到高校,聯合編撰安全教材,進行宣傳,讓更多的年輕人知法懂法,還要懂得基礎網絡安全知識,不要被黑客組織以小利引誘,釀成大禍。
第二,數據資產類敲詐已經成為新熱點,因為變現容易,洗錢來無影去無蹤,電信欺詐、攻擊連續性類型依然泛濫。數據對于企業而言是重要的資源,如果這樣的資源被人占有了,企業很可能轟然倒下,無法重新開始。
MQ 感慨,誠如此前所說,發動一場 DDoS 攻擊很簡單。在這個萬物互聯的時代,當一個普通的攝像頭都可能被利用成為攻擊工具時,是很恐怖的事情。
第三,追蹤黑產鏈條,最后發現金主不在國內,這類案件只能抓到攻擊手,如果往下抓,就會遇到法律問題。怎么用中國法律定海外人員的罪?有些事情超出了今天的技術高度,技術專家無法解決,只能依靠政府推動全球打擊網絡黑客合作。
與雷鋒網聊完后,從杭州來到北京的 JX 和 MQ 繼續奔往下一個地點,這個國慶假期只是更忙碌緊張的一個備戰期。對這些抗擊黑產的守衛者而言,網絡安全永遠“在路上”。
我接觸過一些抗擊黑產的技術專家,阿里云的安全研究人員是其中之一。
讓我印象深刻的是,受訪者們總會提到一句話:“道高一尺,魔高一丈”。黑產對抗,如影隨形。其實,我覺得,他們想強調的是后者,而拼命地促成前者。
打擊黑產實在是太難了。
我總得到這么幾個訊息:第一,黑產分工明確,形成了產業鏈條的分工明晰,行動迅速,沒有“鏈條”一說的黑產領域簡單、高效、直接。對抗人員的情報、技術共享不易,要跨越商業的藩籬,黑產之間的共享簡直容易到可怕;第二,面對的敵人是誰,安全對抗人員其實心知肚明,但沒有找到充分證據時,黑產大佬甚至可以囂張地打電話過來挑釁,有時好不容易追查到最后,幕后黑手卻躲到了國外,這種壓在心中的沉悶感常常讓人沮喪不已;第三,僅 DDoS 而言,黑產攻擊成本真是低到可怕,再加上遍布周身的物聯網設備,安全專家真的很擔心,美國大斷網的事情會多次重演。
但他們不得不做,無論是出于網絡安全守衛者的初心,商業上的考慮,技術上的不斷突破還是社會責任與公眾利益。
愿意正面詳聊抗擊黑產故事的人并不多。事實上,他們多有顧慮:大多數情況下不能暴露他們的真實姓名、照片,他們“端掉的”可能是黑產幾十億的生意,冒著極大的人身危險;他們配合警方辦案時不能透露案情,就算已經抓捕了嫌疑人,也要等到定罪之后才能開口。但他們能說的也有限,他們不想深聊其中的對抗技術,因為擔心對抗升級,黑產從業者變得更狡詐。
謝謝這些“匿名者”,讓我們知道互聯網背后的險惡江湖與看不見的艱難對抗。
雷鋒網宅客頻道(微信ID:letshome)將持續記錄與黑產對抗有關的故事。
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
