这个世界上住得最偏远的除了大山的子孙,还有搞黑产的马仔。
“十一”假期前几天,阿里云安全的 JX 刚接到同事郁闷的信息:“糟糕,假期回不去了。”JX 一惊,难道这次他作为技术支持,与警方一起深入虎穴打击黑产团伙出了什么意外?
“不是不是,这个搞 DDoS 的团伙藏得也挺深的,这么偏远的地方,我先坐了马车,再坐了汽车,等我到了火车站,没票了!”同事说。
JX 只能安慰同事,建议他假期到处逛逛,接力回家。
JX 所在的团队,是被云安全全面武装的网络安全技术团队,应用阿里云全网安全态势感知系统等云安全分析工具,与警方对接、合作,只为一件事:打击灰黑产业链。
注:配合警方打击黑产,风险很大,JX、MQ为两位受访者化名,应受访者要求,雷锋网编辑没有拍摄两人照片。
20年前:不联合打击黑产,就要完蛋了
9 月 27 日,阿里云栖峰会召开前期,阿里云在北京召开了一场发布会,发布首个企业云安全架构,以及《2017阿里云安全白皮书》。在发布会上,阿里云称其每天成功抵御了 16 亿次攻击,遭遇最多的是 DDoS 攻击。
与其他在线上与黑客斗智斗勇的安全研究员同事不同的是,他们不仅要在线上构筑防卫城墙,还要在警方破案时,利用云安全能力追寻黑产的蛛丝马迹,必要时配合警方抓捕黑产团伙。
亲手促成打掉黑产团伙,是他们最痛快的事。
JX坐在雷锋网(公众号:雷锋网)编辑面前,依然记得 20 年前进入 IDC 行业时,不少客户遭遇 DDoS 攻击时无助的场景。
“那时候,无论是客户遇到攻击,还是IDC遇到攻击,都特别无助,唯一的办法就是劝客户换机器,甚至换服务商,因为IDC扛不住,还会影响其他客户。”JX回忆起 20 年前的场景。那时,JX所在公司的老板还焦急地给总理写了一封信:“不联合打击黑产,我们互联网就要完蛋了。”
但是,当时即使带着所有的网络日志和数据找警方报案,依然很难解决问题,因为警方也觉得为难——没有办法抓到这个黑产团伙。“明明知道问题,大家却无能为力,隐藏在网上的黑客攻击,你只能默默承受。”JX说。
老虎身上拔毛
从 IDC 到云计算,来自于黑产团伙的攻击仍然是困扰 JX 和整个社会的问题。但与 20 年前不一样的是,云上的数据分析能力更加强大,通过对大量黑产样本模型进行学习提升,可以对黑产案件进行智能关联,圈出嫌疑犯,并给出关键线索。
这么一来,隐密在互联网中的黑客终将被其绳之以法。
目前,阿里云在集中火力解决的主要是这三类黑产攻击:
第一,大量 DDoS 攻击。
2017年 8 月,阿里云共拦截 300 Gbps以上的攻击数百次,不仅涨幅巨大,而且达到了历史新高。约 70 %的被 DDoS 攻击客户来自网站和游戏。其中,小流量的 DDoS 攻击在减少,大流量的 DDoS 攻击却持续增长,尤其是 400 G以上的 DDoS 攻击。
大流量的 DDoS 攻击通常并非散户或小型黑客组织所为,而是来自财大气粗的大型黑客组织。
第二,钓鱼、欺诈、挂马链接紧紧盯上用户,一个漏洞不处理,就可能被黑客盯上、利用上,成为黑客工具隐密所在,成为攻击工具、成为被欺诈对象,成为被钓鱼对象。
第三,防止黑产钻空子。
阿里云进军海外市场时,采取的营销方式之一是“先使用后付费”。如果不幸被不良黑产盯上,购买了大量服务,一个月后要付款时,人去楼空,则会带来巨大的损失。与银行不断完善的风控体系一样,这些挑战让阿里云开始思考新的业务风控模式。
追踪黑产路径,反击
今年 4 月以来,阿里云配合警方打掉了 10 多起 DDoS 案件。
当一次大规模 DDoS 攻击发生后,如果警方接到报案联系了这些安全研究员,他们会在警方提供的样本中找到木马,分析攻击手段,并将样本与态势感知平台进行比对,如果是新木马,安全研究员将样本纳入态势感知系统进行系统自学习,并由系统给出木马网上轨迹。
在这些案件中,线下技术团队要做的就是进行网上黑客行为追踪溯源,面对层层代理抽丝剥茧,找到中控,中控有可能是 IP、域名,如果是域名,找到域名所有者,如果是 IP,找到 IP 所有者。
随后,警方再从这个 IP 继续找出线下的始作俑者。
当然,这个“始作俑者”依然可能有假,警方和技术人员必须从零零散散的数据中,拼凑出终极真相。
今年上半年,阿里云安全团队遇到的大型 DDoS 攻击和 8 月显示的数据类似,大部分受害者是新兴游戏公司,刚刚要做起来,马上要推广时就遭遇了灭顶之灾。
“大多数攻击与竞争相关的,友商选择黑客攻击原因在于成本低,不易发现。但是被攻击流量很大,最高峰值达到 694 G,对于被攻击者,面对这么大流量攻击基本上业务中断,才积聚的用户、人气一下就没了,其损失惨重,经历几次这样的攻击,一个公司很可能就会一蹶不振,甚至倒闭,每年因为攻击倒闭的新公司不在少数。”MQ说。
针对钓鱼挂马类黑产,安全研究人员会如同对待搜索引擎一样,进行关键词、图像、音视频及页面结构检测,运用安全大数据分析手段抓住这些钓鱼网站及木马链接,协同用户进行删除。
敢在老虎身上拔毛的则是这样的黑产:挖矿者。
今年,比特币眼瞅着从 1 万元的币值涨到 2 万元,黑产从业者瞄上了互联网上应用的各种漏洞,试图利用业务漏洞去进行挖矿、加密勒索。还有人会钻平台营销策略漏洞,如先购买、使用,后结算类,就会有人搞虚假身份,使了就跑,给平台带来损失,更有甚者,利用这些资源作为黑客攻击跳板机,打一枪换一炮,让黑客在网上的行为轨迹更加扑簌迷离。
一旦发现这个用户存在此类风险,系统会进行严格的信用考评乃至问题回访,以进行多次用户身份确认与核实。比如,信用卡可能会进行先扣一块钱或几毛钱,验证信用卡有效性以及用户真实性。
云安全带来的改变在于,让互联网安全从严防死守到主动出击,JX 认为,这对嚣张的黑产而言,是一种威慑,但黑产的攻势之猛,安全团队的责任之大,时常还是让他们感到忧虑。
第一,配合警方抓捕黑产从业者时,有很多年轻人参与其中,根本不知道干这个事是犯法的,他们以为自己只不过在网上动了动手而已。
“当你抓到他,称这样是侵犯了别人的计算机系统,是违反刑法的,他根本不敢相信,我怎么可能违反刑法?”JX痛心疾首,每年7、8月 DDoS 攻击尤其多,因此她和同事要联合警方,走到高校,联合编撰安全教材,进行宣传,让更多的年轻人知法懂法,还要懂得基础网络安全知识,不要被黑客组织以小利引诱,酿成大祸。
第二,数据资产类敲诈已经成为新热点,因为变现容易,洗钱来无影去无踪,电信欺诈、攻击连续性类型依然泛滥。数据对于企业而言是重要的资源,如果这样的资源被人占有了,企业很可能轰然倒下,无法重新开始。
MQ 感慨,诚如此前所说,发动一场 DDoS 攻击很简单。在这个万物互联的时代,当一个普通的摄像头都可能被利用成为攻击工具时,是很恐怖的事情。
第三,追踪黑产链条,最后发现金主不在国内,这类案件只能抓到攻击手,如果往下抓,就会遇到法律问题。怎么用中国法律定海外人员的罪?有些事情超出了今天的技术高度,技术专家无法解决,只能依靠政府推动全球打击网络黑客合作。
与雷锋网聊完后,从杭州来到北京的 JX 和 MQ 继续奔往下一个地点,这个国庆假期只是更忙碌紧张的一个备战期。对这些抗击黑产的守卫者而言,网络安全永远“在路上”。
编者手记
我接触过一些抗击黑产的技术专家,阿里云的安全研究人员是其中之一。
让我印象深刻的是,受访者们总会提到一句话:“道高一尺,魔高一丈”。黑产对抗,如影随形。其实,我觉得,他们想强调的是后者,而拼命地促成前者。
打击黑产实在是太难了。
我总得到这么几个讯息:第一,黑产分工明确,形成了产业链条的分工明晰,行动迅速,没有“链条”一说的黑产领域简单、高效、直接。对抗人员的情报、技术共享不易,要跨越商业的藩篱,黑产之间的共享简直容易到可怕;第二,面对的敌人是谁,安全对抗人员其实心知肚明,但没有找到充分证据时,黑产大佬甚至可以嚣张地打电话过来挑衅,有时好不容易追查到最后,幕后黑手却躲到了国外,这种压在心中的沉闷感常常让人沮丧不已;第三,仅 DDoS 而言,黑产攻击成本真是低到可怕,再加上遍布周身的物联网设备,安全专家真的很担心,美国大断网的事情会多次重演。
但他们不得不做,无论是出于网络安全守卫者的初心,商业上的考虑,技术上的不断突破还是社会责任与公众利益。
愿意正面详聊抗击黑产故事的人并不多。事实上,他们多有顾虑:大多数情况下不能暴露他们的真实姓名、照片,他们“端掉的”可能是黑产几十亿的生意,冒着极大的人身危险;他们配合警方办案时不能透露案情,就算已经抓捕了嫌疑人,也要等到定罪之后才能开口。但他们能说的也有限,他们不想深聊其中的对抗技术,因为担心对抗升级,黑产从业者变得更狡诈。
谢谢这些“匿名者”,让我们知道互联网背后的险恶江湖与看不见的艰难对抗。
本文作者:郭佳
本文转自雷锋网禁止二次转载,原文链接