累計賭資42億余元

非法獲利7億多！

扣押服務(wù)器55臺

抓獲犯罪嫌疑人23名

凍結(jié)涉案資金1.1億余元！

一般來說，一則黑產(chǎn)落網(wǎng)新聞吃瓜群眾看到的只是媒體們大寫加粗的震撼數(shù)字，殊不知，比起警察蜀黍坐了飛機、火車、汽車甚至馬車從大洋彼岸或者偏遠(yuǎn)深山逮到搞黑產(chǎn)的馬仔這件事，他們更感興趣的是如何從賽博世界順著網(wǎng)線逮到這些人。

就好像宮斗劇有意思的不是誰都能猜到的大結(jié)局，而是撲朔迷離的過程。追捕疑犯也是如此，擺在那里的數(shù)字吸引力遠(yuǎn)比不上中間的過程，越刺激越好。

但是，真相往往不盡如人意，你所期待的大片既視感可能不存在，存在的只有一臺電腦和一位白帽子。

事發(fā)

白帽子 SkyMine 接到通知的時候正在打瞌睡，哦不，工作。掛了電話，SkyMine二話不說趕了過去。

有事，大事

某根正苗紅的網(wǎng)頁被篡改了，篡改內(nèi)容還十分不和諧（請自行想象，根正苗紅的宅宅不多做提示）。

到了現(xiàn)場 SkyMine 檢查后發(fā)現(xiàn)出事的服務(wù)器是臺虛擬機，操作系統(tǒng)是 Windows 2008 R2，網(wǎng)站使用了 phpstudy 集成環(huán)境進行部署。但是，Windows 事件日志服務(wù)并沒有啟用，更可能的是黑客大哥進來后順手關(guān)閉了。

系統(tǒng)日志是個啥呢？他記錄了系統(tǒng)中硬件、軟件和系統(tǒng)問題的信息，同時還可以監(jiān)視系統(tǒng)中發(fā)生的事件。用戶可以通過它來檢查錯誤發(fā)生的原因，或者尋找受到攻擊時攻擊者留下的痕跡。

SkyMine 轉(zhuǎn)念一想，這臺服務(wù)器既然承載著 Web 服務(wù)，而且硬件防火墻只對外映射80端口，是不是有可能是以Web攻擊作為入口的？可以一看。

但是，Nginx 的網(wǎng)站訪問日志也已經(jīng)遭到清除……雙擊666

不過幸運的是，網(wǎng)站訪問日志配置了流式異地備份，SkyMine 也就能在另一臺日志服務(wù)器上找到了完整且未失真的網(wǎng)站訪問日志副本。

不過，任憑SkyMine反反復(fù)復(fù)把事發(fā)時間前后的網(wǎng)站訪問日志分析了個遍，都沒有發(fā)現(xiàn)任何web攻擊的痕跡。

這就很奇怪了，這說明黑客并沒有直接用網(wǎng)頁木馬發(fā)送篡改頁面的指令。難道是通過NC之類的反向連接工具建立通道來進行控制的？

為了求證（打臉），SkyMine 通過調(diào)查開始時生成的虛擬機快照提取了內(nèi)存鏡像，為了有多個內(nèi)存樣本進行交叉分析，他又掏出“家伙”（ 一款名為dumpit 的工具）提取了內(nèi)核級的內(nèi)存完整鏡像，其中包括物理內(nèi)存和頁面交換文件。

提取了這些內(nèi)存之后，SkyMine開始琢磨起來，如果黑客確實是通過反向連接通道來實施控制的，那肯定曾經(jīng)建立過一個異常的網(wǎng)絡(luò)連接，內(nèi)存中很可能會保留著這個信息。

所以SkyMine通過內(nèi)存分析框架對內(nèi)存樣本進行了網(wǎng)絡(luò)連接分析，但在事發(fā)時間并沒有可疑的網(wǎng)絡(luò)連接。

得了，線索到這里又?jǐn)嗔恕?/p>

不過也不算一點收獲都沒有，SkyMine在提取了內(nèi)存的歷史進行信息時發(fā)現(xiàn)，有一個很可疑的程序在事發(fā)時間正在運行，這個程序名為update.exe，看起來相當(dāng)正經(jīng)。

但SkyMine留意到，這個進程足足運行了3天之久，誰家正常更新程序能更新三天？

從內(nèi)存中提取出該進程的物理路徑后，SkyMine找到了這個奇怪的程序，是位于C盤的一個很深的目錄里的，而且在同目錄下，SkyMine還發(fā)現(xiàn)了一個命名為 image.jpg 的篡改圖片。SkyMine對這個程序進行逆向分析后發(fā)現(xiàn)是個易語言程序（就是以中文作為程序代碼）。

再次對這個程序逆向分析后 SkyMine 發(fā)現(xiàn)，黑客這次利用了一個相對較少見的攻擊方式——邏輯炸彈，程序代碼中有一個條件判斷，當(dāng)前時間大于既定時間就會自動用該程序目錄下的 image.jpg 替換掉網(wǎng)站根目錄的 image.jpg，達(dá)到篡改的目的，在確認(rèn)圖片已經(jīng)篡改成功后將自動退出程序。

這就等于一個自動定時炸彈，神不知鬼不覺就會爆炸。

找到了攻擊方式，接下來就要尋找妖精洞了。

當(dāng)確定這個易語言程序就是黑客用來篡改網(wǎng)頁的關(guān)鍵代碼以后，SkyMine開始調(diào)查這個程序是如何被傳入服務(wù)器的。

因為這個web服務(wù)器只對外開放80端口，SkyMine猜測有很大可能是通過web應(yīng)用漏洞來寫入這個程序的。通過查看這個程序的創(chuàng)建時間，他得到了程序的傳入時間點，這就可以進一步從網(wǎng)站訪問日志中尋找這個時間點的web訪問記錄。

比如 SkyMine 就發(fā)現(xiàn)了在網(wǎng)站訪問日志中有一些 POST 請求（菜刀連接特征），指向網(wǎng)站一個上傳目錄的 php 文件，而這個文件就是用于上傳篡改程序的木馬了。

當(dāng)然，網(wǎng)站訪問日志記錄的來源IP是個美國的代理地址，不是真實地址。于是他接著調(diào)查起 webshell（黑客用于遠(yuǎn)程控制的網(wǎng)頁木馬）是如何被上傳的。

在網(wǎng)站訪問日志中以木馬的文件名作為關(guān)鍵詞進行搜索，很輕松的就定位到了木馬的上傳位置，通過對這個 POST 請求的分析，可以確認(rèn)這個 web 應(yīng)用是存在任意代碼執(zhí)行漏洞的，黑客通過這個漏洞寫入了木馬。

有趣的是，SkyMine還發(fā)現(xiàn)了個某云服務(wù)商的IP地址，而這個IP經(jīng)查證發(fā)現(xiàn)正是攻擊者所持有。

SkyMine的事到這里結(jié)束了，他伸了伸懶腰，把技術(shù)分析報告提交給了執(zhí)法機關(guān)，至于案件的跟進就不是他這個白帽子的活兒了。

取證這件事

來，讓我們重新整理一遍攻擊者的騷操作。

黑客初次訪問網(wǎng)站

黑客開始嘗試進行滲透

黑客發(fā)現(xiàn)網(wǎng)站存在任意代碼執(zhí)行漏洞

黑客利用任意代碼執(zhí)行漏洞寫入webshell

黑客webshell上傳篡改程序

篡改程序自動執(zhí)行網(wǎng)頁篡改

安全專家（SkyMine本人）到場取證分析

取證分析結(jié)束提交報告

整個取證分析過程用時三個多小時，更像一場燒腦游戲。SkyMine也感嘆，若不是黑客不小心留下了破綻，他也不可能那么快就完成工作。

SkyMine本名伍智波，是中國網(wǎng)安·廣州三零衛(wèi)士的安全專家，日常工作就是搬磚和處理廣州市政務(wù)網(wǎng)的黑客入侵事件。

【SkyMine本人】

處理的事件也是各有不同，假如發(fā)生了網(wǎng)頁篡改，就一步步進行溯源；如果受到了APT攻擊，就需要根據(jù)每個APT組織的常用手法，結(jié)合威脅情報提供的攻擊來源信息以及病毒樣本進行識別；如果是數(shù)據(jù)泄露問題，可以通過數(shù)據(jù)庫審計還原竊取過程。用SkyMine的話說，就是花式還原攻擊鏈。

這些情景用到的取證手法都是一樣的嗎？當(dāng)然不是。

據(jù)SkyMine說，針對Windows三大內(nèi)存管理機制的取證手法有八種：

基于用戶模式程序的內(nèi)存獲取

基于內(nèi)核模式程序的內(nèi)存獲取

基于系統(tǒng)崩潰轉(zhuǎn)儲的內(nèi)存獲取

基于操作系統(tǒng)注入的內(nèi)存獲取

基于系統(tǒng)休眠文件的內(nèi)存獲取

基于系統(tǒng)冷啟動的內(nèi)存獲取

基于虛擬化快照的內(nèi)存獲取

基于硬件的內(nèi)存獲取

但由于時間緊迫，根本不可能將八種手法一一試過，一般常用的就是三種：基于內(nèi)核模式程序，系統(tǒng)崩潰轉(zhuǎn)儲和虛擬化快照內(nèi)存提取方式。

發(fā)生了一起搶劫案，如何能快速找到作案者？SkyMine他們要做的就是通過觀察搶劫犯的行為判斷是否是慣犯，是否有案底，進一步查看嫌疑人是否有蹲點，蹲了多久。但如果疑犯作案是臨時起意呢？這種反常行為就很難尋找線索，更何況去反向臨摹用戶畫像。

“所以上面的案例用時三個小時還算快，如果沒有攻擊者的失誤恐怕想要追蹤到他們更慢甚至最后追蹤不到。網(wǎng)絡(luò)本身具有匿名性，一個代理跳到國外后就可能什么線索都斷了?！?/p>

實施完美的網(wǎng)絡(luò)犯罪是有可能的，進行完美的網(wǎng)絡(luò)追捕也是有可能的，但最終結(jié)果如何，誰也不能肯定。

總之就是難難難。

不過SkyMine還挺喜歡做的，在他看來這種有挑戰(zhàn)又炫技的操作很適合他“平淡”的生活。這可能就是每個白帽子都有的黑客情懷吧。

忘記說，雷鋒網(wǎng)編輯是在上周末由知道創(chuàng)宇舉辦的KCon大會上聽到這個演講，以及見到的小伍哥，感興趣的可以點這里內(nèi)存取證，智能家居被劫持，短網(wǎng)址攻擊，這屆 KCon 都“搞”了什么？

雷鋒網(wǎng)宅客頻道（微信公眾號：letshome）專注先鋒科技，講述黑客背后故事，歡迎關(guān)注雷鋒網(wǎng)宅客頻道。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。