一個0day被披露后，我們的網(wǎng)絡(luò)世界會發(fā)生些什么事情?

2013年6月7號，網(wǎng)上披露了一個針對Dedecms系統(tǒng)的高危漏洞，利用該漏洞，攻擊者可以直接獲取網(wǎng)站服務(wù)器的控制權(quán)。Dedecms系統(tǒng)是國內(nèi)非常流行的一款CMS系統(tǒng)(內(nèi)容管理系統(tǒng))，使用量非常廣。

從漏洞被披露當天開始，SCANV網(wǎng)站安全中心就監(jiān)控到利用此漏洞攻擊網(wǎng)站的行為。并對攻擊日志數(shù)據(jù)進行了整理、統(tǒng)計和關(guān)聯(lián)分析之后，將披露漏洞、研制工具、批量攻擊的過程一窺究竟。

第一天

6月7號，SCANV網(wǎng)站安全中心監(jiān)控到的攻擊行為均為人工手動攻擊，這部分攻擊者是“消息靈通人士”，在最早的時間里獲取了漏洞詳情，并自行研究出了攻擊方法，試圖在網(wǎng)站管理員做出漏洞修補防御之前，對網(wǎng)站實施攻擊。

第二天

6月8號，SCANV網(wǎng)站安全中心監(jiān)控到已經(jīng)出現(xiàn)兩款針對該漏洞特制的攻擊工具。

第一款攻擊工具：攻擊者的IP地址來源于同一個C段，針對多個網(wǎng)站進行了漏洞攻擊，其中只有少數(shù)幾個網(wǎng)站使用的是Dedecms系統(tǒng)，可以看出這款工具的使 用者是針對一批站點進行盲目的攻擊;推測每當有新漏洞出現(xiàn)，該攻擊者均會及時制作工具，并針對多個站點進行漏洞掃描攻擊。

第二款攻擊工具：攻擊者的IP地址來源于六個省市，攻擊目標多為Dedecms系統(tǒng)，且出現(xiàn)同一個攻擊目標被多個IP地址攻擊的情況;推測，該款工具在小范圍或者小團隊內(nèi)進行傳播，攻擊成員各自嘗試對自己的既定目標進行攻擊。

第三天

6月9號，SCANV網(wǎng)站安全中心監(jiān)控到第三款攻擊工具的出現(xiàn)。該攻擊工具的攻擊者IP地址僅有1個，其攻擊目標與前一天第二款攻擊工具的攻擊目標有重合。推測第三款工具是基于第二款工具修改研制而得，為同一批的攻擊者。

第四天

6月10號，SCANV網(wǎng)站安全中心監(jiān)控到第四款攻擊工具的出現(xiàn)。

第五天

6月11號，SCANV網(wǎng)站安全中心又監(jiān)控到兩款新的攻擊工具。

第五款攻擊工具，攻擊者IP地址來源僅有3個，其攻擊目標的網(wǎng)站中，有80%使用的是Dedecms系統(tǒng)，可見是事先整理好了使用Dedecms系統(tǒng)的網(wǎng)站列表，進行針對性的攻擊。推測由于其網(wǎng)站列表數(shù)據(jù)更新比較慢的原因，導致有20%的站點為無效攻擊。

第六款攻擊工具，攻擊者使用網(wǎng)絡(luò)請求數(shù)據(jù)包頭中的User-Agent值為python-requests，可見攻擊者是采用python語言進行研制的攻 擊工具。攻擊者IP地址來源位于西安電子科技大學和韓國，其攻擊目標100%皆為Dedecms系統(tǒng)，很明顯攻擊之前有過踩點行為。

第六天

6月12號，又監(jiān)控到兩款新的攻擊工具，并且之前出現(xiàn)的所有攻擊工具在這一天均有進行攻擊行為。

其中，第五款攻擊工具，今天攻擊目標是Dedecms系統(tǒng)的比例為100%，較上一次更為精準。

第六款攻擊工具，使用者來源IP地址仍然為西安電子科技大學和韓國，推測該攻擊工具僅為一人研制一人使用，且手中擁有多個韓國肉雞。

第七天

6月13號，再次出現(xiàn)新的攻擊工具，并且之前出現(xiàn)的所有工具在這一天均有發(fā)現(xiàn)攻擊行為。

其中有一款新的攻擊工具，通過修改攻擊請求數(shù)據(jù)包中的User-Agent值，企圖偽裝成google掃描器，但是攻擊工具的IP地址來源并不是google。

從漏洞被披露的當天開始，7天時間內(nèi)，共出現(xiàn)了10款攻擊工具。攻擊來源IP地址共368個，先后對705個網(wǎng)站發(fā)起了1613次攻擊行為。

通過對攻擊數(shù)據(jù)的統(tǒng)計和關(guān)聯(lián)分析，SCANV網(wǎng)站安全中心總結(jié)了一些行為規(guī)律：

1、漏洞被披露當天就實施攻擊的攻擊者，均采用人工手動攻擊。因為在當天，針對該漏洞特制的工具尚未研制成功。但僅在第二天，特制的工具就已經(jīng)出現(xiàn)。說明，攻擊者從漏洞被披露到工具研制，僅需一天時間。

2、從一款工具的攻擊來源IP地址和攻擊頻率，可以大致推斷使用該工具的攻擊者身份：IP地址來自同一個C段，且攻擊頻繁，可推測是某個團體組織;IP地址來 自于CDN節(jié)點或者網(wǎng)站地址，可推測是站點被黑后，被當作黑客的跳板機使用;IP地址來自于國內(nèi)的某個IP或某個國家的IP、攻擊頻率低、攻擊針對性強，可推測是個體行為，且在某個國家具有多臺肉雞作為跳板機。

3、發(fā)起攻擊請求越多的攻擊者，攻擊目標是Dedecms系統(tǒng)的比例越低，其針對性越差，推測是根據(jù)站點列表盲目攻擊;而發(fā)起攻擊請求越少的攻擊者，攻擊目標是Dedecms系統(tǒng)的比例就越高，推測是進行攻擊之前有過踩點、或者手頭有一份使用Dedecms系統(tǒng)的站點列表，這類型的攻擊者最可怕。

4、在遭受攻擊較多的網(wǎng)站中，使用Dedecms系統(tǒng)的比例遠高于使用其他Web系統(tǒng)的網(wǎng)站。