黑產馬仔躲山裡柴油機發電搞攻擊，幕後老大鬧市喝茶——老司機獨家揭秘真實網路對抗

有一種對抗，「殺人」不見「血」，卻更可怕；

它的主戰場在網路，有時針對一個人或者企業悄然攻擊，有時是國與國之間廝殺戰鬥；

攻方，狡詐無比，守方，鬥智斗勇。

這就是網路安全領域的攻方對抗，外人看上去驚心動魄，守者，卻視為常態，處變不驚。

但這是每一個身處賽博世界的人無法逃離的戰場，有時被波及，有時是主要受害人，我們，無法置身事外。

綠盟科技的高級副總裁葉曉虎已經置身這種戰鬥 15 年，2002 年，他初加入綠盟科技時，就捲入了與 DDoS 的對抗。時刻警惕與抵抗賽博世界的攻方來襲，揪出背後的始作俑者，這是他 15 年來最重要的工作。

「唐山黑客」和「證券幽靈」

15 年來，讓這個經驗豐富的守方老將印象深刻的攻守戰鬥有兩場。

2005 年，一名「唐山黑客」的案子震驚了全國，甚至驚動了國家公安部。

事情是這樣的：從 2004 年 10 月份開始，原本並不火爆的北京境內的某音樂網站，卻突然「熱鬧」起來，在某些時段，要想登錄這家網站非常困難，後經該網站技術人員確認造成這一問題的原因在於有人惡意實施攻擊。

為了擺脫困境，網站的經營者曾專門請來專家「會診」，試圖「死裡逃生」，但事與願違，面對這種攻擊手法，似乎無計可施，期間專家在試圖抵禦攻擊時，結果是你一動，攻擊者下手更狠。無奈，為了躲避攻佔，網站經營者將網站伺服器轉移到了我國台灣境內，但攻擊者仍然一路窮追猛打，網站依然頻頻告急，網站經營者又生一計，越跑越遠，乾脆將伺服器轉移到美國境內，結果再次失敗，攻擊者如影相隨，跑到哪兒打到哪兒，大有致其於死地而後快之勢。疲於「奔命」的網站經營者無奈之下最後向國家信息產業部上報了這一情況，接著國家信息產業部向公安部緊急報案。

葉曉虎和團隊配合有關部門，對該網站進行防護和調查了好幾個月，沒有線索。直到有一天，他們發現了系統的一條毫不起眼的攻擊日誌，從而定位了位於某部門內部的一台機器，在機器上捕獲了攻擊樣本，最後定位到背後的這位「唐山黑客」。

這是一起典型的 APT 攻擊，在一些證券商報告發現賬戶異動後，邀請綠盟科技專家排查，發現一名操作人員的電腦「被搞了」，內部的伺服器都被攻陷，再一查，嚇人一跳！

這場「潛伏」與「信息盜竊」已經持續了 10 年。讓人不可思議的是，中途入侵行為還曾被發現和處理過，但詭異的是，看上去已經打掃乾淨的戰場卻仍有敵人潛伏，而且此後的入侵手段還發生了變化和升級。

葉曉虎說：

「我們調查分析發現，幾乎所有漏洞都已經修復，但是，唯一一台對外的伺服器埠被開了，這就導致了攻擊還能持續進行，我們在其他地方也發現了類似情況，做了很多取證，前一段時間攻擊者已經被判刑。」

「搞一場 DDoS 萬把塊錢都算貴的」

事實上，在攻防對抗的「金字塔」中，這種造大案的對手只佔據頂尖的 20 %，剩下的 80 %都是「小毛賊」。

葉曉虎告訴雷鋒網，「小毛賊」雖然單個收益少，但有時社會影響大；而塔尖的人會用高精尖的技術，比如，花血本進行「零日攻擊」、「組合攻擊」和 APT攻擊。

葉曉虎說：

「現在，很多企業一個基礎的問題還解決得不太好，認識不到網路資產的價值、脆弱性、暴露面，甚至連連資產都不清楚，防護就更難了。IT技術發展非常快，企業管理的資產和暴露面呈現幾何級地增長，大點公司安全防護人員也就是幾個人，小的公司更難說了。在有的公司，安全團隊和IT 團隊是分開的，安全團隊不了解業務，這也是安全管理的困難。」

頂尖的金字塔上的攻擊者如果發動 APT攻擊，長時間攻擊一個企業，成功率非常高。「在某一個時刻保持安全不難，但要一直不犯錯誤很難，在網路安全上保持很高的水平，投入會要很大，不是每個企業都能負擔得了。」

不怕賊偷，「最怕賊惦記」。

這位攻防領域的老將還在長時間的對抗中意識到，攻防對抗的形勢越來越嚴峻。

葉曉虎在早期做攻防對抗時，其實相當清楚一場龐大的 DDoS 的幕後黑手是誰。那些黑手在國內都掌握了很多資源，甚至對抗雙方還電話溝通。對方都能猖狂地承認，但是攻擊者「背後的資源」讓人動不了他。

這種「看破卻不能說破」的境地還不是最艱難的。現在，有人明目張胆，卻還行蹤隱秘。

還是以 DDoS 為例，現在它已形成了比較完整的產業鏈，由背後的人提供基礎設施，把攻擊作為一種服務進行售賣。

發起一場 DDoS 攻擊，只要簡單填寫一個需求，成本非常低，一個「肉雞」甚至只要幾分錢，搞一場「萬把塊錢」都算貴的。

「電話詐騙的一個窩點在我的老家福建龍岩，一些人拿柴油機躲到山裡發電，這樣就很難監控，而且這些地區的人只是馬仔，真正老闆在台灣。」葉曉虎說。

被攻擊方和防守方都很難找到敵人在哪裡——這讓守方很難受，攻擊者的行蹤越來越隱蔽。

「攻防對抗的軍備競賽」

從 RSA 大會回來後，葉曉虎對攻防對抗的新形勢感受更深刻了。他和同事們甚至因此做了一份「攻防對抗的軍備競賽」清單：

如何攻

攻1：各種攻擊元素出租，灰色市場居然可以這樣搞？

灰色市場已進入更為精細化的「專業分工」，漏洞、利用、工具開發、 殭屍出租、社工庫等成了「各種專門服務」。

某勒索軟體要求受害者在一個星期內支付贖金或查找兩個新的受害者。如果事件中另外兩名「下線」受害者支付了贖金要求，原始的受害者可以免費獲得解密密鑰。不管這種類「傳銷模式「最終是否會帶來更大的殺傷力，但灰產挖掘人性弱點並在運作模式中區充分利用的嘗試得以充分展現。

另外，臭名昭著的 DDoS 攻擊者在直接敲詐和煙幕服務等之外，提供非常低廉 DDoS as a Service(DDoS即服務)，5 美元起賣和分銷。

攻2：守方使勁搞的機器學習，攻方也在盯著

各種機器學習和人工智慧演算法和工具被引入安全產品和系統。但是，機器學習只是一個數學工具，攻守雙方都可以使用。

通過對抗性圖像攻擊可以欺騙機器學習模型，在一個圖像識別的例子中，識別引擎給出了公共汽車車窗的誤判。以此類推，如果攻擊者面對機器學習的安全產品及系統，同樣有可能利用這樣的誤判，發起致命的攻擊。

機器學習作為一種數學工具，其輸出的「智能」並不是真正的「智能」，而是由其設計和運作過程中所使用的攻防模型、機器學習演算法以及訓練樣本所決定的「計算」。這樣，如果攻擊者通過某種手段可以獲取這些信息，並進行針對性模仿、甚至「注入」，就可以達到「免殺」和「誤導」的效果。

但是現在，攻擊方的技術真的可以達到這麼高的境界了？

葉曉虎告訴雷鋒網，攻守雙方都能利用機器學習的技術，目前攻方利用技巧幹擾機器學習的公開案例較少，但不代表以後不會大規模流行。

「機器學習作為自動化工具讓安全管理人員解放雙手。一個研究員手工分析一個樣本，至少需要2-3個小時，一天幾十萬個樣本怎麼辦？只能靠機器學習。攻擊者也能利用機器學習來幹壞事，比如，把防守方的機器學習規則和參數摸清楚後，稍微進行調整，就能繞過防守方建起來的牆。」

攻3：從廣撒網到「24小時」定向「盯梢」

定向攻擊（TA）和高級持續威脅（APT）通常被認為是高級的技術對抗，而廣譜的、也就是非定向的攻擊被認為是一般的技術對抗。

廣譜攻擊不區分行業和目標屬性，單次收益低，強調海量重複和自動化。定向攻擊者針對防護目標進行「免殺」校準，此時防守方所採用的已被攻擊者掌握的一般商業化防護措施已經失效。這時，防守成功要求攻方所不掌握的「獨特性「。這種「獨特性」對於攻方來說意味著成本和「風險」。

「廣譜攻擊，我攻擊你，收益就一點點，最暴力、重複，而定向攻擊中，手段技術高不可怕，最可怕的還是持續性一不小心就會中招。尤其一個企業有那麼多員工，如果其中一個中招，可能會對整個公司帶來可怕的後果。」葉曉虎說。

攻4：物聯網的各種低防護目標被盯上

2016年美國東部地區大斷網事件是這一觀點的最佳佐證。物聯網被利用來發起大規模拒絕服務攻擊是 2016 年的熱點事件，尤其 Mirai 和 DYN 攻擊事件中大眾傳播達到一個新的高度。

一個相對保守的預計是在 2020 年將會有 200 億以上的物聯網設備上網。

大量低防護水平的目標湧入互聯網，如同原來院子里玩耍的孩子們突然跑到車水馬龍的大街上，必然對灰色產業和攻防態勢產生深刻的影響。

如何守

葉曉虎告訴雷鋒網，要應對這四種可怕的攻擊趨勢，需要從這些方面來考慮：

1.跟蹤雲物大移時代信息系統的所有環節的漏洞和攻防細節、並實時做出準確的判斷，對於數十人規模的專業安全團隊都是極度困難的。依託威脅情報系統和「生態夥伴」成為一種必然的選擇。

雷鋒網了解到，現在，北美地區的情報共享和分析中心比較成熟，在國內，出於各方面的原因，還沒有形成很好的合作機制。

葉曉虎分析，從企業角度看，現在有些人會考慮分享對KPI 有沒有影響，是否會產生負面影響。從安全公司角度看，他們會考慮是否會損害企業的技術競爭力。

因此，這確實是擺在眼前需要解決的一道題。

「但是，建立生態夥伴卻是一個不可逆轉的趨勢，企業、安全公司和主管機構都會涉身其中，這樣才可能把安全形勢變得更可控。」

2.威脅方將會利用機器學習等先進技術來優化「攻擊」，並不意味著機器學習之於網路安全沒有用處，恰恰相反，不掌握機器學習技術的安全防禦方將會處於類似冷兵器對熱兵器的「劣勢」局面。

洞察網路系統中的各種用戶和設備行為，尋找源自合法用戶、合法供應鏈組件等的可能攻擊和濫用，針對安全事件的溯源和追蹤，對全局安全態勢的感知和研判等等，需要大量的安全數據分析、可見性、威脅情報等能力的聯合運用，都需要機器學習為代表的新一代計算工具的支撐。

葉曉虎對機器學習的期待是，希望能夠構建一個系統，具備對攻擊手段自演化的功能。

3.在動態縱深防禦模型下，局部的「失敗」並不可怕，但需要防守方能夠及時的檢查到「失敗」並調整防護手段，保證掌控或重新奪回戰場優勢。

以前，大家觀點是，要把自己的網路守得死死的，把危險、入侵都擋在門外。都擋住了，你連攻擊者進化的手段都不會了解。不如，在一台伺服器故意放一些表面上很重要的信息，吸引黑客訪問數據，就可以鎖定這個行為用來定位。利用這種手段跟蹤攻擊方的行為，放長線、釣大魚。雖然擋住了，但不知道黑客想要幹什麼，知道發生了什麼事情更重要。

為此，葉曉虎也曾做過實驗，為一個客戶模擬一個交易系統，做業務型的蜜罐，故意放了一些漏洞，前端發現了可疑，就把流量引到蜜罐上來，追溯攻擊者，讓守方有所準備。

但是，每個公司的業務系統不一，再造一個模擬系統，在技術上要求很高，成本也高。這就需要企業權衡和選擇不同的防守策略和方式。

4.防護無死角，S（社交）M（移動）T（物聯網）都需要考慮。

這一點要求守方要預先準備對應方案，適時預判。但比較麻煩的是，大部分安全公司做傳統 IT，在物聯網領域了解不多，尤其是工控領域，對安全理解不太多，這是一大挑戰。

葉曉虎最後總結了最重要的秘籍：

1.整個安全行業，連接和共享才能快速響應。2.整個安全需要持續運營，它不是靜態的，某個時間點的安全不能說明什麼，需要持續投入。3.從安全形度來說，檢測比防護更重要，要知道企業安全態勢。4.人工智慧和機器智能是防守方技術層面最重要的手段。提高效率，才能做得更好。

【葉曉虎（被同事稱為「虎博」、「虎博士」）擺了兩款pose，是不是跟你想像中嚴肅的安全守衛者形象不一樣？】

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！