源清流洁的网站遭篡改！三小时锁定疑犯

源清流洁的网站遭篡改！三小时锁定疑犯

图片来源:百度站长工具申请已获批。

赌资合计42亿余元。

非法获利700多万！

扣押55台网络服务器。

23名嫌疑人被捕

冻结涉案人员资产1.1亿余元！

一般来说，一篇关于抓捕网络喷子灰产的新闻报道，看到的只是新闻媒体用粗体英文字母写的触目惊心的数据，却不知道他们更感兴趣的是如何沿着网络线路从赛博世界抓到灰产马，而不是警察叔叔们从外国或者深山老林坐机场、火车、汽车甚至牛车。

这就像龚都戏剧有趣的结局不是任何人都能猜到的，而是复杂的整个过程。抓捕罪犯也是如此。放在那里的数据的诱惑力远不如中间的整个过程。越刺激越好。

但是，真相通常是不尽如人意的，你想要的大尺度视觉感很可能不会存在。存在的只是一台电脑和一顶白帽子。

案发

白帽子SkyMine接到通知后已经困了，哦不，在上班。挂断电话，SkyMine二话没说冲了过去。

一些紧急的，重要的事情。

一个干净的网页被篡改了，篡改的内容很不和谐(请自行想象)。

现场来到SkyMine考察，发现出事的网络服务器是vm虚拟机， *** 作系统是Windows2008R2，网站部署的是phpstudy的集成自然环境。但Windows事件日志服务项目并未启动，更有可能是黑客哥进去后关闭了。

什么是事件日志？他在系统软件中记录了硬件配置、手机软件、系统软件问题的信息内容，还能够监控系统中的恶性事件。根据它，客户可以检查不准确的原因，或者在受到攻击时寻找网络攻击留下的痕迹。

SkyMine转念一想，这个网络服务器马上承担Web服务项目，服务器防火墙对外只投射端口号80。有没有可能把Web攻击作为一个渠道？能够看一看。

但是，Nginx的网站访问系统日志早已被清除...双击666。

不过好在网站访问系统日志配备了其他地方的流式备份数据，SkyMine还可以在另一个日志服务器上找到详细准确的网站访问系统日志。

然而，SkyMine反复分析了事发前后的网站访问日志，没有发现任何web攻击的痕迹。

这很奇怪，说明黑客并没有马上使用网页木马推送命令篡改网页。是否可以说是基于反接专用工具NC创建安全通道进行 *** 作？

为了更好的确认(巴掌脸)，SkyMine根据研究之初转换成的vm的快照更新，获得了内存镜像系统。为了更好地拥有几个内存样本进行交叉分析，他拿出了“混蛋”(一个名为dumpit的特殊工具)来获取核心级内存详细镜像系统，其中包括物理内存和网页交换文件。

获得这种记忆后，SkyMine才刚刚开始想通。如果黑客确实根据以相反方向连接安全通道来执行 *** 纵，那么毫无疑问，之前已经创建了异常数据连接，并且该信息内容很可能被存储在存储器中。

因此，SkyMine根据内存分析架构对内存样本的数据连接进行了分析，但在案发时并无异常数据连接。

来吧，案件线索又在这里断了...

然而，根本不是。SkyMine在获取记忆的历史时间进行信息内容时，发现有一个非常不正常的程序，在案发时一直在运行。这个节目叫做update.exe，它看起来非常严肃。

但是SkyMine注意到这个流程已经满负荷运行三天了。哪个正常升级程序可以三天升级？

在从内存中获取了这个过程的物理途径后，SkyMine发现了这个怪异的程序，它位于c盘的一个深层文件目录中，在同一个文件目录中，SkyMine还发现了一张被篡改的照片，名字叫image.jpg。SkyMine对这个程序进行了逆向分析，发现它是一个E语言程序(即以中文作为程序代码)。

在对这个程序再次逆向分析后，SkyMine发现黑客使用了一种相对罕见的拒绝服务攻击——逻辑炸d。在程序代码中有一个标准的区别。当当前时间超过一定时间时，网站根目录中的image.jpg将被程序文件目录中的image.jpg完全替换，从而达到篡改的目的。照片被篡改成功后，将完全退出程序。

这相当于全自动炸d，会爆炸不露痕迹。

找到拒绝服务攻击，然后需要找到怪物洞。

在明确了这个E-language程序是黑客用来篡改网页的重要代码后，SkyMine才开始调查这个程序是如何传输到web服务器的。

由于此web服务器只扩展了开放端口号80，SkyMine怀疑根据web应用系统的漏洞加载此程序的可能性很大。根据这个程序的建立时间的查询，他得到了该程序发送的时间点，可以进一步从网站访问系统日志中搜索到这个时间点的网页浏览记录。

以SkyMine为例，发现网站访问系统的日志中有一些POST需求(水果刀连接特性)，偏向于提交文件目录的URL的一个php文档，而这个文档就是用来提交篡改程序的木马病毒。

网站访问系统的日志记录自然来源于IP是英国代理地址，而不是真实的详细地址。于是他接着调查webshell(黑客用来远程 *** 作的网页木马)是如何提交的。

在网站访问系统日志中，以木马病毒的文件夹名称为关键词进行搜索，很容易准确定位木马病毒的提交站点。根据该岗位需求分析，可以确定该web应用存在随机程序运行的系统漏洞，黑客根据该系统漏洞加载了木马病毒。

有意思的是，SkyMine还发现了一个云服务提供商的IP地址，经核实为网络攻击所拥有。

SkyMine的事情到此告一段落。他伸了个懒腰，将技术数据分析报告提交给执法机构。追踪案件不是他白帽子的工作。

调查取证这件事情

来吧，让我们来整理一下网络攻击。

黑客第一次浏览网站。

黑客才刚刚开始尝试渗透。

黑客发现网站运行随机程序的系统存在漏洞。

黑客利用随机程序运行系统漏洞，加载到webshell中。

黑客webshell提交篡改程序

篡改程序会自动篡改网页。

安全权威专家(SkyMine本人)调查取证分析

经过调查、取证和分析，提交报告

整个调查、取证、分析的过程花了三个多小时，更像是一场烧脑游戏。SkyMine也觉得，如果不是黑客不小心留下了漏洞，他不可能这么快就工作了。

SkyMine，原名吴志波，是中国联网广州三零卫士的权威安全专家，日常事务是dnf搬砖，解决黑客入侵广州政务网的恶性事件。

恶性事件的解决方法也不一样。如果网页被篡改，会逐级追查；如果被APT攻击，必须结合各个APT组织的常用战术，从信息内容和病毒样本中识别攻击。如果是数据泄露问题，可以根据数据库审计恢复整个窃取过程。用SkyMine的话说，就是模式恢复攻击链。

该场景中使用的所有调查和取证方法都是一样的吗？自然不是。

据SkyMine介绍，针对Windows的三种内存管理模式，有八种调查取证方法:

根据客户端模式程序的内存。

根据内核模式程序的内存

根据垃圾场的记忆。

根据计算机 *** 作系统引入的内存。

显示系统软件休眠文件的内存。

根据系统软件的冷启动内存。

根据虚拟化技术快照更新内存获取

根据内存的硬件配置。

但是因为时间紧迫，八种方法都尝试不了。一般常见的有三种方法:根据核心方法程序、崩溃转储和虚拟化技术快照更新内存获取方法。

发生了一起抢劫案，如何快速找到作案人？SkyMine，他们要做的就是仔细观察劫匪的个体行为，区分他是不是惯犯，有没有前科，并进一步询问犯罪嫌疑人是否蹲着，蹲了多久。但是如果犯罪是一时冲动呢？这种反常的个人行为很难找到案件线索，更别说反方向模仿客户画像了。

“所以上面的例子花了三个小时才算快。如果没有网络攻击失误，可能要追查到他们，甚至最终追踪不到。互联网有自己的群体极化，一个特工跳到海外后，很可能所有的案件线索都断了。”

有可能进行终极的网络诈骗，也有可能进行终极的网络抓捕，但最终的结果谁也不能怀疑。

一句话，难。

但是SkyMine挺喜欢做的。在他看来，这种富有挑战性又很酷的实际 *** 作，非常适合他“平凡”的日常生活。这大概是每个白帽子都有的黑客情结吧。