有人說大數(shù)據(jù)黑客，大數(shù)據(jù)攻擊早N年都在使用了，其實(shí)我是相信的，我們所知的“黑產(chǎn)”或“灰產(chǎn)”很多攻擊模式都是這樣，舉幾個(gè)例子：

曾經(jīng)瘋狂的網(wǎng)馬產(chǎn)業(yè)鏈

知道創(chuàng)宇07年底就開始推出的全國(guó)第一個(gè)最全面的全國(guó)網(wǎng)馬監(jiān)控系統(tǒng)（蜜罐里是HOOK IE很多系統(tǒng)APIs的沙盒系統(tǒng)），08年是這個(gè)系統(tǒng)的成熟期，也是網(wǎng)馬產(chǎn)業(yè)鏈持續(xù)高潮的時(shí)期，那時(shí)針對(duì)黑客攻擊的刑法修正案（七）還沒頒布，我們捕獲了數(shù)萬各種變形的網(wǎng)馬源頭以及大量的木馬病毒樣本，根據(jù)這些網(wǎng)馬的特征，我們發(fā)現(xiàn)幾個(gè)地下產(chǎn)業(yè)的團(tuán)隊(duì)活動(dòng)，當(dāng)時(shí)我們就被這些團(tuán)隊(duì)的行為折服與震撼。

這種折服與震撼放到之后的科普文章里寫吧，因?yàn)楸敬蔚闹黝}是“工具黨”。

我們發(fā)現(xiàn)數(shù)萬網(wǎng)站一次性被黑，然后植入網(wǎng)馬（掛馬），就是通過工具批量進(jìn)行，比如當(dāng)時(shí)類似挖掘雞這樣的傻瓜工具，基本就是掛機(jī)掃描網(wǎng)站主機(jī)的常見服務(wù)端口的弱口令、Google Hack常見漏洞、后臺(tái)地址+暴力口令、SQL注入（尤其是SQL Server的）、IIS缺陷等，別小瞧，大規(guī)模模式下的攻擊，往往會(huì)有驚喜（因?yàn)檫@時(shí)需要用統(tǒng)計(jì)學(xué)規(guī)律來解釋，你知道嗎？），尤其是針對(duì)一個(gè) 0day（未修補(bǔ)的漏洞）。

挖掘雞太挫了？當(dāng)然，編寫一個(gè)在Linux下高效工作，甚至集群工作的掃描器也很簡(jiǎn)單，對(duì)于有經(jīng)驗(yàn)的黑客來說，就是幾小時(shí)的事:)

為了看AV

大家記住一點(diǎn)：一旦一個(gè)東東上升到了統(tǒng)計(jì)學(xué)層面，就得擔(dān)心了，舉個(gè)真實(shí)例子，我們團(tuán)隊(duì)有個(gè)神一般的黑客人物，曾經(jīng)（年輕人嘛），想得到某AV論壇的一些種子，要邀請(qǐng)碼才能注冊(cè)，手頭一時(shí)沒這個(gè)論壇應(yīng)用的0day，怎么辦？他靈機(jī)一動(dòng)，想出了個(gè)令我佩服得要死的高招……

這個(gè)論壇有個(gè)功能是可以列出所有在線用戶的（這個(gè)數(shù)量很可觀），在Linux下，他把這些用戶賬號(hào)全部采集到，然后結(jié)合弱口令123456去批量登錄（當(dāng)時(shí)沒驗(yàn)證碼），登錄失敗的狀態(tài)特征我們是知道的，一旦發(fā)現(xiàn)不是這個(gè)狀態(tài)特征，那就是成功了。通過這個(gè)方式，搞下數(shù)十個(gè)賬號(hào)，而且還有VIP的……

恩，他此時(shí)就是一個(gè)工具黨。

俄羅斯黑客

我們最近又發(fā)現(xiàn)一起和這個(gè)國(guó)家的黑客團(tuán)隊(duì)有關(guān)的一起攻擊案例（黑產(chǎn)），這起案例放在下次科普介紹，這次回顧下2012/3/20我們發(fā)布的一篇文章《Web 應(yīng)用漏洞的大規(guī)模攻擊案例分析》，由我們安全研究員小G撰寫，語言生動(dòng)詼諧、精彩之極！忍不住要看等看完本文再點(diǎn)擊這：

http://blog.knownsec.com/2012/03/
web%E5%BA%94%E7%94%A8%E6%BC%8F%E6%B4%9E%E7%9A%84
%E5%A4%A7%E8%A7%84%E6%A8%A1%E6%94%BB%E5%87%BB%E6
%A1%88%E4%BE%8B%E5%88%86%E6%9E%90/

這篇文章當(dāng)時(shí)就跟蹤出了背后的主謀：俄羅斯黑客。他們利用WordPress插件TimThumb的漏洞批量拿到目標(biāo)網(wǎng)站的后門權(quán)限（Webshell），3500站點(diǎn)，批量掛了網(wǎng)馬，感染了全球150000用戶。手段之陰險(xiǎn)毒辣，行為之狡詐令我們團(tuán)隊(duì)咬牙。

要快速利用曝光了的0day（我們稱之nday）進(jìn)行大規(guī)模攻擊，就必須成為工具黨，大規(guī)模、掛馬、數(shù)據(jù)采集、數(shù)據(jù)分析、精準(zhǔn)投放……我們可以肯定，很多很多安全公司的團(tuán)隊(duì)和他們比起來簡(jiǎn)直弱爆了！

全球弱口令設(shè)備

膜拜一下，雖然我們團(tuán)隊(duì)也做了些嘗試，可惜僅僅搞了幾個(gè)國(guó)家的，這樣全球的，而且還開放出來，包括paper、庫、統(tǒng)計(jì)，出自一人之手，這才是真的黑客。恩，他也是工具黨。自己膜拜去吧，地址：

http://internetcensus2012.bitbucket.org/paper.html

看完如上幾個(gè)案例后，我所說的工具黨是褒義詞，很多人鄙視用工具的，經(jīng)常說：“啥技術(shù)含量都沒，負(fù)分，滾粗！”告訴你吧，一旦一個(gè)玩意上升到統(tǒng)計(jì)學(xué)層面（或者說大數(shù)據(jù)層面），這個(gè)威力就不小了，能玩好統(tǒng)計(jì)學(xué)，能玩好群體，是一種巨大的本領(lǐng)，別整天意淫自己，這個(gè)圈子背后有一批真正的牛人，如幽靈般地行走。

你相信我說的嗎？

附注：我們會(huì)持續(xù)性的進(jìn)行安全科普，大家有什么問題可以在微信里給我們留言，我們會(huì)認(rèn)真對(duì)待每份留言，并在下次發(fā)文時(shí)進(jìn)行必要的解答。如果大家有什么安全八卦也歡迎投稿給我們，我們的微信：網(wǎng)站安全中心/wangzhan_anquan?？破崭淖兪澜?，我們一起努力讓這個(gè)互聯(lián)網(wǎng)更好更安全吧！