网络“黑色产业链”调查:环环相扣的数据泄露
拿到用户密码后,大鸟登陆了对方的控制面板。VPS是以控制面板进行操作的,进入控制面板就可以操控他服务器上的文件,但是没有文件打包编辑功能。最后,大鸟上传一个了网页后门,便获得了它的代码。 经过十分复杂的程序,大鸟获取了这台服务器的权限,顺利看到了代码。 或许从技术上,这并不算很难,但对于大鸟来说,这次“入侵”的复杂性远远高于技术,经过一个多月的“战斗”,看到代码后,他选择让自己大睡一场,进入冬眠。 窃取数据 对于白帽子而言,发现了网站的漏洞,他的工作就接近了尾声了。可对于黑色产业链(简称“黑产”)上的人来说,任务才刚刚开始,他们的目的是拿到数据,进而转化成金钱。 业内人士透露,黑客的惯用手法有很多种,但路径上存在相似性:获得外网服务器权限、进入内网、判断核心业务范围、获取核心业务服务器权限,找到数据库密码、看到核心数据、下载核心数据、拿到最高权限、抹掉所有痕迹。 这是一个相对理想的操作链条,但并不意味所有的黑客都能完成上述步骤,比如“拿到最高权限”并不容易,因此有些黑客下载了所有核心数据,但痕迹仍被记录。 对于目标的寻找,一位接近黑产的人士称,有时是黑客主动寻找“含金量高”的网站,侵入网站,窃取数据。这主要涉及的是一些与金钱交易有关的公共服务行业,如信用卡或网络支付、火车票购票网站、航空公司购票系统、网络购物网站等等。 还有一些则是接受定向委托,一般委托方来自商业竞争对手,需要获得竞争对手的客户数据,于是雇佣黑客。 在进入内网时,有时候黑客会直接查看对方的员工信息是否存在泄露,或根据常用密码top 100来进行测试,如果顺利登陆员工账号,就可以直接进入内网。 但对于需要核心数据的黑客而言,进入内网只是第一步,接下来,黑客需要对数据进行分析,判断核心数据所在位置,这就需要黑客对该网站的业务十分熟悉,甚至熟悉程度要高于网站运维人员,这样才能判断核心数据的子域名在哪一个IP段,进而找到核心数据。 当然,时机的选择十分重要,这一切都要在一个合适的时间里进行:一个网站流量大,看守者不容易发现的时间。比如,一般的社交网站,上午十点和下午三点比较活跃。在这样的时间里“拖库”相对不易被察觉。 “拖库”同样是行话,意思是将目标数据下载下来。但在许多时候 |
