RSAC 2018 深度解讀：重新認知網路犯罪 顛覆你心中的安全攻防

在鉅額利益的驅使下，網路犯罪始終氣焰不滅，犯罪手段層出不窮，在這樣的情況下網路攻防手段攻防難免顯得有些捉襟見肘。而我們今天談的這些可能會顛覆你之前的認知，重新去思考網路犯罪和安全攻防。

——前言

在美國當地時間4月17日上午，RSA的總裁Amit Yoran走上臺開始了第一個議題的演講，也為之後長達四天的數百個議題分享正式揭開了序幕。

“The Future Of Security”一個議題，讓整個之前還有些喧鬧的會場安靜了不少，數千萬人聚在這裡的唯一目的不正是去談論安全嗎？而在飛速發展的當下，“未來”這個詞的似乎正在被人類重新定義，未來有可能是明天，更有可能是當下。正如這次RSAC 2018的主題“Now Matters（現在很重要）”，如果說未來離我們已無限接近，那可以珍惜的唯有當下。

網路安全之所以被人們不斷地強調重視，是因為網際網路技術在我們生活中已是不可獲取的一部分，而隨之而來的就是網路犯罪的產生。玫瑰雖香但有刺，雪雖純美但至寒，事物是有雙面性的，反之，也正因網路犯罪手段的層出不窮才使人們愈發關注網路安全，使安全攻防技術不斷進步。

本次RSAC 2018的議題中有許多談論網路犯罪的，其中有兩個很引人關注的議題：

1。進入利潤網路：追蹤網路犯罪收益 MASH-F01

Mike McGuire博士發表了一項為期九個月的開創性學術研究的結果，研究網路犯罪的收益何去何從。 這項研究調查了網路犯罪的典型起源，數量和種類； 這種收入的轉移和轉變成可以隱瞞或規避執法的方式； 以及此類收入的最終目的地和使用情況。

2。暗網如何影響我們的行業 TV-T05

我們都知道暗網（Dark Web）上充斥這各種非法活動，但行業領軍人物很難掌握具體資訊，無法從網路安全以及經濟視角瞭解非法市場對各行各業的具體影響。本次演講，德勤網路威脅情報經理Jason Rivera深入討論了非法市場如何影響美國關鍵行業，以及在這種日益增長的安全威脅中，領導者應該考慮哪些因素。

安全客獨家翻譯PPT下載連結：https://pan.baidu.com/s/1kY7v-y-fiLA9BthbNaZyWA

密碼：jezw

針對這兩個熱點議題，我們邀請了360網路攻防實驗室的負責人林偉，為我們深度解讀“網路犯罪”這一熱點方向。

重新認知網路犯罪 顛覆你心中的安全攻防

安全客獨家邀請：林偉

暗網是什麼

首先讓我們從暗網說起，看看世界網路犯罪的現狀。

暗網是什麼？做個簡單的比喻，

暗網是個“一片漆黑的地下交易所”

，這裡很黑，以至於看不清買家和賣家的臉。

大多數

“軍火商”

會在這裡兜售很多武器（病毒、木馬甚至一些0 day漏洞）；

也有許多刀口舔血的

“職業殺手”

接一些懸賞單（僱傭駭客定向入侵某個郵箱或者facebook賬號、或盜取個人隱私資訊）；

還有些

“強盜”

在四處叫賣他們剛搶來的寶貝（幾十億的大量洩密資料）；

偶爾還會遇見些

“盜墓賊”

讓你看看他新出土的好東西（個人護照、銀行卡或者電話卡）

…。。

對他們來說，這裡看起來很安全，似乎是個不錯的天堂。

在美國，暗網已經開始影響關鍵行業，例如2017年4月，影子經紀人（Shadow Brokers）公開了一大批NSA（美國國家安全域性）“方程式組織”（Equation Group）使用的極具破壞力的駭客工具，這些武器曾在暗網上以4-5億美金的價格公開售賣。其中包括可以遠端攻破全球約70%Windows機器的漏洞利用工具，任何人都可以使用NSA的駭客武器攻擊別人電腦。

其中，有十款工具最容易影響Windows個人使用者，包括永恆之藍、永恆王者、永恆浪漫、永恆協作、翡翠纖維、古怪地鼠、愛斯基摩卷、文雅學者、日食之翼和尊重審查。駭客無需任何操作，只要聯網就可以入侵電腦，就像衝擊波、震盪波等著名蠕蟲一樣可以瞬間血洗網際網路。而這一系列工具的公開，如同“潘多拉魔盒”被開啟，隨之而來的是各種利用漏洞製作的病毒（如之後的WannaCry）在全球肆虐。

這種核武級別的網路武器對於人類社會有著巨大的威脅。而在當下的中國，暗網也在悄無聲息的影響著我們的網際網路安全，在暗網上人們可以買到被實名認證的身份證、銀行卡或者電話卡，以及一些用於網路攻擊的工具或者木馬。對於企業來說，企業的關鍵資訊資料有可能被人買賣；而對於個人來講，有可能自己的私密資料正在被別人買賣。

如何應對暗網的非法交易

為什麼在暗網上進行違法交易這麼難被發現？這裡首先要說一下暗網使違法交易變得安全而獨有的網路設定。暗網所有的請求都是分散在多個伺服器同時請求，也就是說你在透過暗網攻擊某一個目標或者瀏覽某一個網站時，你的請求是透過數十個伺服器去同時請求，例如我們開啟一個頁面需要載入200個檔案，包括圖片、靜態頁面、動態指令碼等等，當你發起請求時，這些指令碼將透過數十個ip去分散請求，並多次跳轉連結，這樣目標網站就無法追溯哪些請求是你發起的（當然這樣會造成網頁開啟緩慢等問題）。而如果我們正常瀏覽網頁，則是從一個IP直接傳送請求，這個過程是透明的。因此，暗網的匿名、匿蹤的特質使得大量的非法交易很難被追蹤發現。

由於暗網已經開始很嚴重的影響美國的關鍵行業以及網路秩序，美國政府針對暗網交易採取了很多有效的手段，與這些網路犯罪者們展開了一場鬥智鬥勇的較量。

1.美國政府的“釣魚執法”

政府在暗網上首先打掉某些兒童色情網站從而建立政府的“釣魚網站”，比方說兒童色情網站，當你等登陸瀏覽網站時，它能透過一定的技術手段定位到你是誰，具體定位的方法我們不得而知。登入暗網的人大多數都有問題，而且還登陸這種色情網站的人肯定動機不純，所以這樣“釣魚執法”的成功率很高（美國的“釣魚執法”釣的大多數是有問題的人，與我們理解的利用某種人性的弱點去引誘人們去犯罪不同）。

釣魚執法的過程中自然會涉及到個人隱私，這算不算是侵犯個人隱私呢？美國有相應的法案，例如愛國者法案（在某種特定的情況下，美國政府是允許去檢視公民的資料的；蘋果和facebook都曾因為愛國者法案接受美國政府的勒令調查）暗網上的使用者本身就是有惡意行為的公民，當你在暗網上瀏覽並下載色情網站影片時其實就已經構成了潛在犯罪，那就有必要進行進一步的搜查。

2.政府親自參與暗網建設

之前我們提到在暗網上進行訪問時，為了保護訪問者的安全，你的請求是透過數十個伺服器去同時請求，之後經過數次跳轉最後轉到受訪頁面的。而美國政府在暗網中部署了足夠多的節點（提供伺服器），相當於是參與了整個暗網的建設，例如有30%是美國政府建設的，凡是透過這些節點的訪問使用者都會被美國政府間監控。而這個請求是同一個時間點上的同一個事件，基於事件和事件內容我們就有很大的機率推斷出真正的訪問者。

3.人性的弱點

美國與多國聯手破獲了暗網上比較大的幾個黑市，包括AlphaBay與Hansa（每日利潤超過50萬美元）。而這利用的正是利用人性中的惰性，美國政府首先在歷史海量資料中找出了，在網站建立初期用於傳播這個網站的網際網路郵箱，而這個郵箱又指向了twitter上的某一個人，同時這個人經常在上面炫耀他奢華的生活。之後透過更具體的調查發現他的消費與他的收入並不對等，最終透過線下排查該twitter的擁有者在泰國當地登陸AlphaBay的後臺，確認了這個人就是實際的控制者，以這種物理的方式成功找到了控制所有伺服器的電腦，並一舉打掉了暗網上這個巨大的交易市場。正是因為人性的弱點，也是因為虛擬世界與現實世界的巨大反差，使得AlphaBay創始人在鋃鐺入獄不久後便上吊自殺。

林偉看來，如果全球有連同協作機制或者國家有能力去監測自己本土的暗網伺服器流量的話，那麼就能透過暗網的流量特徵判斷出哪些伺服器在參與暗網的流量，這個流量是一個受訪問者還是中專節點，是可以分析出來的。例如前面提到的AlphaBay交易市場，它並不參與流量中轉，它只是被訪問，這樣從流量的型別上就有可能去判斷這是一個被訪問網站，而且流量並不小。利用這些特徵我們就能推斷出在本土內是否有一個大的暗網網站，之後我們可以採取類似於線下排查的手段來檢視裝置上究竟運營著什麼樣的業務。這樣的全球協作機制或者國家監測本土暗網伺服器流量的方式很有可能是未來監測暗網的一種重要手段。

你所不知的網路犯罪“創造力”

大多數人認為鉅額的利益是促使網路犯罪氣焰不熄的核心原因，其實並不是，這只是一個誘因。為什麼一個沒有讀過大學的農民可以詐騙法學教授幾千萬，這不僅是是“智商”的對抗，更是創造力的對抗，（“智商”並不是指學歷，而是指對未知事物認知、判斷並進行反應）。在鉅額利益的誘導下，一個沒有什麼學歷的農民利用“創造力”營造了一個前所未有的騙局進行網路詐騙。除此之外的例子還有很多，我們以

勒索軟體CTB-Locker

為例去分析網路犯罪的“創造力”。

勒索軟體的背後其實是一個產品經理

精準的受眾定位

勒索軟體CTB-Locker

透過釣魚郵件的方式進行傳播，只發給了跨國大型企業的高管，年齡40-60歲之間，他們對於安全的理解能力很差，但電腦上的資料及其重要，而他們的電腦一旦被勒索，會有無數的安全公司或者資訊保安部門為之買單。一旦裝有勒索軟體的釣魚郵件傳送，就有很大的機率使這樣的人群中招，一旦中招就一定會付錢，而且是不惜代價的付錢。

良好的使用者體驗

在勒索彈窗頁面使用了至少7種語言供使用者進行閱讀，並按步驟完整講述了使用者應該如何快捷的去繳納贖金。如果可以根據當前作業系統的語言去自動調整勒索病毒的介面語言，當然會更“貼心”了。

完美的掌控使用者心理

採用暗網作為安全的通訊通道，用比特幣作為安全的交易手段。勒索軟體的製作者其實明白他們面對的物件其實並僅僅是這些中毒的高管，還有他們背後的資訊保安人員。做過倒計時破解的人們都知道通常有兩種辦法，一種是把系統時間往前提，另一種是停止時間系統的正常計時，從而達到延長倒計時的效果。而當資訊保安從業者真的去採取這兩種手段時，倒計時會從96小時直接變為12小時，並出現新的提示，如果你不付款，你的資訊將會永遠消失。

這是因為在電腦被勒索的一瞬間，勒索軟體已經開始了自身預置計時器的計時，一旦預置時間和系統時間有所異常，就會自動減少勒索者付款的時間。這不僅造成了被勒索者應對時間的減少，更會造成被勒索者的心理恐慌。

一個合適的價格機制

勒索軟體有一個很有意思的價格機制，以我們平時買機票為例，我們看好了一張機票，在猶豫是否購買，過了一段時間我們發現機票價格反而更貴了，促使我們抓緊購買。而勒索軟體則恰恰相反，如果你遲遲不付款，比特幣的價格反而會降低，而且這一價格機制並不是針對單個使用者。當所有使用者都不願意付錢時，勒索軟體會進行一個動態調價，而這個動態調價對於每臺終端的調價比例還不一樣，會根據不同區域進行價格調整。

網路攻防——未知攻，焉知防

透過對勒索軟體的分析，我們不難看出網路犯罪中隱藏的巨大創造力。網路攻防——未知攻，焉知防。我們所做的防都是別人在進行過進攻後而去採取的防禦手段，傳統的安全人員難以想象網路犯罪者在鉅額利益誘導下迸發出的巨大創造力，所以在攻防對抗上本身就有先天的創造力的缺失。

我們都知道在網路攻防中，沒有攻不破的防禦。但真正的駭客攻擊思維可能很多人並不理解，林偉和我們分享了他自己親身的攻防經歷，一次他們20多位頂尖安全人員一同進攻某一目標卻始終無果，在一個月後大家都有些喪氣時，他們其中的一人卻突然一夜之間搞定了，他們都很奇怪，事後詢問才知道，他拿了5000大洋請這位管理員吃飯並塞了紅包，管理員直接幫他在機房把伺服器的硬碟下架，最後成功複製資料並植入後門。駭客作為攻擊者在鉅額利益的誘惑下，它所具有的創造力和防禦者的創造力是完全不一樣的。這不禁讓人眼前一亮，這也正是一次次讓防禦者防不勝防的原因。

我們之前看待網路犯罪的視角大多從防禦者的角度出發，去看有哪些容易被攻擊的點；而如果我們轉換到攻擊者的視角去看網路犯罪，卻震驚的發現在我們疲於應對各種網路攻擊時，網路犯罪者已經站在了受害者的角度去考慮“使用者體驗”的問題了。無論是網路犯罪還是安全攻防

，

當我們變換視角去看待這個問題時，許多問題都會迎刃而解。

登入安全客 - 安全客 - 有思想的安全新媒體，或加入交流群702511263、下載安全客APP來獲取更多最新資訊吧~