域名預訂/競價，好“米”不錯過

今天跟女票下班之后直接去電影院看速8，當然看完速8之后并沒有去速八而是直接回了家。首先對電影給個正面的評價，但是本人作為一個信息安全從業(yè)者，有必要扒一扒里面的黑客技術(shù)。

里面涉及到黑客技術(shù)的東西主要有兩個——天眼(The Eye)和僵尸車隊(Zombie Cars)。

對于這兩個東西其實和現(xiàn)實當中兩項比較前沿的安全技術(shù)相關(guān)——汽車及物聯(lián)網(wǎng)安全和攻擊者溯源，對于汽車安全這一部分，我的基友鬧心均@Selfighter是磚家中的磚家，可惜人在HITB，所以我先很業(yè)余的說一些這方面的東西。

首先我們先來說說智能汽車和非智能汽車，智能汽車其實就可以當做一個物聯(lián)網(wǎng)設(shè)備來解決，也就是說智能汽車的攻擊面和其他IoT設(shè)備的攻擊面是差不多甚至更多的。

其實汽車和計算機一樣，內(nèi)部通信依靠總線進行，汽車中的總線是CAN總線。CAN網(wǎng)絡(luò)是由以研發(fā)和生產(chǎn)汽車電子產(chǎn)品著稱的德國BOSCH公司開發(fā)的，并最終成為國際標準(ISO 11898)，是國際上應(yīng)用最廣泛的現(xiàn)場總線之一。CAN總線協(xié)議目前已經(jīng)成為汽車計算機控制系統(tǒng)和嵌入式工業(yè)控制局域網(wǎng)的標準總線，同時也是車載ECU之間通信的主要總線。當前市場上的汽車至少擁有一個CAN網(wǎng)絡(luò)，作為嵌入式系統(tǒng)之間互聯(lián)的主干網(wǎng)進行車內(nèi)信息的交互和共享。CAN總線的短幀數(shù)據(jù)結(jié)構(gòu)、非破壞性總線仲裁技術(shù)、靈活的通訊方式等特點能夠滿足汽車實時性和可靠性的要求，但同時也帶來了系列安全隱患，如廣播消息易被監(jiān)聽，基于優(yōu)先級的仲裁機制易遭受攻擊，無源地址域和無認證域無法區(qū)分消息來源等問題。特別是在汽車網(wǎng)聯(lián)化大力發(fā)展的背景下，車內(nèi)網(wǎng)絡(luò)攻擊更是成為汽車信息安全問題發(fā)生的源頭，CAN總線網(wǎng)絡(luò)安全分析逐漸成為行業(yè)安全專家聚焦點。如2013年9月DEFCON黑客大會上，黑客演示了從OBD-II控制福特翼虎、豐田普銳斯兩款車型實現(xiàn)方向盤轉(zhuǎn)向、剎車制動、油門加速、儀表盤顯示等動作。汽車車內(nèi)CAN網(wǎng)絡(luò)安全問題當前主要通過安全漏洞的分析和各種攻擊手段進行挖掘，因為汽車車內(nèi)網(wǎng)絡(luò)安全的脆弱性和威脅模型的分析尤為關(guān)鍵。

這么說來，只要抓住了CAN總線，我們就相當于是抓住了汽車的神經(jīng)，也就能對汽車進行控制，那么攻擊CAN總線會引發(fā)什么后果呢?

第一個后果是失控：CAN總線主要應(yīng)用之一是支持主動安全系統(tǒng)的通信，道路車輛行駛的時候，主動安全系統(tǒng)將是一把雙刃劍，在它們發(fā)揮著不可替代的功能時候，但是考慮到主動安全系統(tǒng)的可操作和有能力調(diào)整正確的輸入，也會引起駕駛者對主動安全系統(tǒng)的完全依賴。因此一個突然的故障會引起不可預知的危險后果。為了引發(fā)一個危險的條件，惡意的攻擊者將會在CAN總線中注入錯誤幀，讓主動安全系統(tǒng)失靈。例如，在牽引力控制系統(tǒng)里安裝一個攻擊，會造成車輛失去控制等危險。如果攻擊者的目標是自適應(yīng)巡航系統(tǒng)，將會導致汽車不會安駕駛者預期的那樣停止。此外，為了最大可能的傷害汽車駕駛者，假如數(shù)據(jù)可以直接從CAN總線上獲取，攻擊者可以根據(jù)特定的條件，觸發(fā)一個DoS攻擊。例如汽車某一特定速度，特定的節(jié)氣門百分比或者是某一確切的GPS位置等。

第二個后果就是勒索：一個惡意的攻擊者將在CAN總線中某一目標幀中設(shè)置攻擊，這將會導致駕駛者無法控制節(jié)氣門的位置從而不能讓汽車移動。盡管這些不會必定發(fā)生危險狀態(tài)，一個以金錢為目的的攻擊者，將會利用車載娛樂系統(tǒng)的漏洞，停止汽車，并在娛樂系統(tǒng)屏幕上顯示消息，車主為了重新獲取汽車的操控權(quán)而去付贖金。

第三個可能是盜竊：大部分現(xiàn)代昂貴的汽車門鎖通過CAN連接到ECU來控制，通常通過OBD-II端口可連接。隔離負責控制鎖/解鎖車門的數(shù)據(jù)幀比逆向主動安全設(shè)備更簡單、更快捷。因此，幾分鐘左右一個攻擊者將會隔離負責鎖車門的數(shù)據(jù)幀，編寫他的設(shè)備程序-特定幀的DoS攻擊，然后把設(shè)備插入到OBD-II的接口，阻止車門鎖住。對于一個攻擊者來說，這個攻擊結(jié)果是可能的。通過低成本的花費就能進入到車內(nèi)，隨后就能夠竊取車內(nèi)任何貴重物品。

長期以來，幾乎整個汽車界都有這樣的共識：CAN總線是沒法保護的。兩方面的原因，其一，ECU的計算處理能力不足;其二，車載網(wǎng)絡(luò)的帶寬有限。有些LIN總線使用的MCU甚至是16bit或8bit，但AES使用的加密算法只能處理16字節(jié)區(qū)塊的數(shù)據(jù)，這意味著很多時候LIN總線根本就是處在“裸奔”的狀態(tài)。所以汽車安全未來肯定是炙手可熱的一部分。

接下來我們說說天眼，其實天眼的目標很簡單——我知道一個人的一部分信息，如何根據(jù)一部分信息去拼湊出一個完整的信息，比如他去過什么地方，干過什么事情，目的是什么，用了什么東西，也就是廣義上的了解你的敵人。對于安全工作者來說，轉(zhuǎn)化到現(xiàn)實當中的問題就是甲方安全團隊在找到攻擊者之后如何讓攻擊者不再攻擊你?單單從防御的角度上來說，我們可以上規(guī)則、上設(shè)備，但是這樣并不能從根本上解決問題。繼續(xù)說回電影，其實《赤道》中香港、韓國兩方面只希望把武器送走，確保不在香港交易同時回到韓國，這樣就解決了這個問題。但是宋總不是這么想，宋總站在了更高的角度上，他不希望把香港變成真正的地下武器販賣中心，也就是要把地下武器交易這個鏈條徹底打碎。從解決問題的角度上來看這兩者都沒錯。

回到正題，對于攻擊者來說，攻擊者一旦發(fā)起攻擊就會在目標系統(tǒng)中產(chǎn)生數(shù)據(jù)，不管有用也好無用也罷，總之數(shù)據(jù)都會產(chǎn)生，諸如流量數(shù)據(jù)、操作日志、爆破記錄、工具指紋、網(wǎng)絡(luò)地址等信息。

Phase 1：從日志分析的角度上來講，既然我們有這么多的設(shè)備，有這么多的日志，我們要做的就是把這些想關(guān)的攻擊向量和行為日志收集起來，統(tǒng)一到一起，看看有什么線索。

Phase 2：既然我們已經(jīng)收集到了很多的日志和數(shù)據(jù)，那么我們可以從日志中把這些信息拼湊成一個完整的攻擊行為記錄：即它是通過什么漏洞進來的，如何進來的，進來之后做了什么，對系統(tǒng)有什么影響。完完全全使之成為一個攻擊的模型，這樣的話也就完成了對入侵的推演。

Phase 3：我們既然知道了他是如何進來了的，從甲方安全運營的角度來講，我們需要確認其他機器當中是否有相同的漏洞和配置錯誤，要避免其它的人利用相同的方法入侵系統(tǒng)，畢竟不能在一個坑栽倒兩次。

Phase 4：我們現(xiàn)在有了攻擊者的一些信息，我們是否可以通過外部威脅情報數(shù)據(jù)來看看這個攻擊者是不是之前攻擊過其他系統(tǒng)，攻擊是不是有針對性，工具用的是進口的、國產(chǎn)的還是自己寫的，是不是有其他的同伙或者幫手，他到底是懷揣著什么目的去攻擊我們的系統(tǒng)。

Phase 5：如果我們確定他的身份是惡意的，并且對我們的系統(tǒng)造成了很嚴重的影響，我們是不是應(yīng)該知道這個人是什么來頭，他的個人信息(虛擬身份和真實身份)我們是不是要了解，我們是不是應(yīng)該去用法律手段搞他，等等。

其實攻擊溯源，其實是數(shù)據(jù)驅(qū)動的企業(yè)內(nèi)部安全運營的一部分，需要大量數(shù)據(jù)的支撐以及分析才能找到攻擊者，而企業(yè)內(nèi)部我們見到最多的數(shù)據(jù)無非就是日志了，所以日志的分析和內(nèi)網(wǎng)威脅情報的提取是非常重要的一環(huán)。

針對安全運營來說，我個人認為所有的攻擊者不可避免的都會產(chǎn)生操作日志，針對內(nèi)網(wǎng)內(nèi)的安全設(shè)備也好，非安全設(shè)備也好，肯定或多或少的存在日志。

針對企業(yè)內(nèi)部的日志，大體上可分為四類：安全設(shè)備日志、非安全設(shè)備日志、傳感器日志和外部數(shù)據(jù)。

對于追蹤來說一般有這么三種套路：

• IP->域名->Whois信息->社交網(wǎng)絡(luò)信息->真實信息：這個套路對于現(xiàn)在來說可能用處不是特別大，但是根據(jù)歷史Whois信息也是可以得出一些啟發(fā)性的結(jié)論的，當然這些威脅情報數(shù)據(jù)可能付費。

• IP->VPN->IP->社交網(wǎng)絡(luò)信息：這種情況一般是大多數(shù)，解決方法是通過查詢IP反連記錄，解析操作和一些fingerprint獲得他的虛擬身份信息，當然也是要收費的

• IP->botnet->IP->社交網(wǎng)絡(luò)信息：這種廣泛分布于挖礦、刷票、DDoS這種肉雞類型的，可以想辦法截獲起botnet樣本進行逆向分析，獲取其c&c服務(wù)器地址，然后對服務(wù)器進行反連查詢。沒錯還是要收費的。

• 安全設(shè)備日志：這些日志來源可以是硬件也可以是軟件，首先就硬件來說注入IDS/WAF或者SIEM中的日志、硬件防火墻等等日志，軟件日志包括防病毒軟件、安全Agent、準入系統(tǒng)等軟件系統(tǒng)的日志。這些日志一般都是攻擊者進行攻擊時會進行被動觸發(fā)，這樣的話可以檢索到很多攻擊信息，諸如使用的IP、端口、工具指紋等等。

• 非安全設(shè)備日志：諸如路由器、交換機、網(wǎng)關(guān)、網(wǎng)閘等硬件設(shè)備以及操作系統(tǒng)、應(yīng)用軟件、服務(wù)器軟件日志等軟件日志，這些日志中可以分析出攻擊者的目的，是為了單純滲透玩一下還是想要通過控制機器作為跳板機進行進一步的滲透工作，還是說僅僅是安全部門進行掃描產(chǎn)生的日志。

• 傳感器日志：企業(yè)內(nèi)部通常會部署一些蜜罐系統(tǒng)、流量傳感器等，這些設(shè)備一方面可以有攻擊預警和反橫向滲透的效果，但是里面也會存在一些攻擊者的行為，比如SSH蜜罐會存下攻擊者在這臺機器上的操作，流量傳感器會對數(shù)據(jù)包進行DPI解析方便流量分析，這些數(shù)據(jù)中肯定殘存著一些有用的信息可以幫助我們確定攻擊者的行為、技能點，甚至可以進一步判斷該攻擊者的能力，是腳本小子還是大黑闊。

• 外部日志：一些常用服務(wù)的日志，比如說郵件、DNS等日常服務(wù)的日志，這些日志可以幫我們確定攻擊者是否是一種APT攻擊，或者是是否是來種植Botnet的。同樣可以確定攻擊者的動機。

說完了日志，我們緊接著可以說一下攻擊者的動機判定，攻擊者想要入侵一個系統(tǒng)肯定會對這個系統(tǒng)進行偵查，諸如端口掃描、脆弱性檢測、exp測試等手段，這里面很容易和安全部門的安全常規(guī)巡檢的日志起沖突，大多數(shù)公司都會把掃描機群放到白名單里。這樣產(chǎn)生了類似的日志就會觸發(fā)報警，我們可以進一步分析這些日志提取出一些攻擊者的行為、動機等等，以及他的目的甚至他的技能點，我們都可以初步判斷。

通過對以上日志的分析，我們可以基本上確定攻擊者是什么途徑進來的，用何種攻擊方式拿到機器權(quán)限，有沒有執(zhí)行什么敏感的操作，是否有進一步滲透的趨勢，是不是在嘗試提權(quán)之類的操作等等，這樣我們就對攻擊者有一個大概的了解。

接下來我們就需要借助外部威脅情報的力量來獲取攻擊者的身份，我個人比較喜歡國內(nèi)的微步在線和國外的PassiveTotal這兩個平臺，尤其是后者，數(shù)據(jù)比較全而且覆蓋度很廣。當然不差錢的各位可以選擇去買威脅情報服務(wù)，更專業(yè)。

簡單說一下威脅情報可以幫我們干什么，威脅情報其實就是根據(jù)上面獲得殘破的攻擊者畫像變得完整，威脅情報一般可以獲得這個攻擊者有哪些常用的IP，這些IP分別都是干什么的，有沒有什么社交信息，社交信息又有什么關(guān)聯(lián)。舉個不恰當?shù)睦泳褪窍喈斢谀阒酪粋€人的身份證號，然后警察用這個身份證號去查這個人有多少錢，資產(chǎn)有多少等等。這樣你就可以獲得一個較為完整的攻擊者畫像。

到了這里其實我們知道了攻擊者的信息，就可以選擇怎么解決，拉倒辦公室彈jj10分鐘是一個解決方案，扭送到警察蜀黍那里也是解決方案，但是需要提醒大家注意執(zhí)法力度和執(zhí)法手段，不要知法犯法(逃。

說到以上大家會覺得我偏題了，你娃不是說要講天眼么，怎么扯了一大堆安全運營上的事兒，這跟天眼有什么關(guān)系。那么接下來的事情就和天眼有關(guān)系了：

在電影中，飛車家族只需要輸入一個名字就可以去找到這個人，確定他的位置，然后上門送溫暖喝熱茶。但是現(xiàn)實當中，重名的你懂得，所以我們現(xiàn)在從其他的地方下手：

Part 1：長相，這里無非就是涉及到人臉識別技術(shù)，沒什么好說的(其實是我不懂)

Part 2：身份證號碼，這個就比較重要了，身份證號碼對于廣大人民群眾來說，變的機會基本為0，很多企業(yè)不管是干什么的也好都喜歡玩實名制，尤其是一些小的金融公司和P2P公司，總喜歡沒事問你身份證號。鑒于我國信息泄露這個問題還是挺嚴重的，所以我們不能保證別人沒有我們的身份證號。我們來說有了身份證號能干什么：先來造一張假的身份證，然后利用這張身份證(照片或者掃描件)去搞一些不需要實體身份證的東西，比如你懂得。這樣我們就能把這個人的一些賬戶劫持了，能干啥你現(xiàn)在應(yīng)該明白了。

Part 3：手機號碼，一般我們通信都用手機號碼，手機號碼泄露更是屢見不鮮，和身份證號一樣，許多企業(yè)都是動不動就跟你要。手機號碼泄露更是一件蛋疼的事情，騷擾電話短信不說，由于現(xiàn)在很多手機號碼和業(yè)務(wù)是綁定的，也就是用手機號碼就可以登錄相關(guān)的業(yè)務(wù)，這樣的話手機號碼的泄露很有可能就會聯(lián)系到相對應(yīng)的身份，舉個最簡單的例子：手機號碼綁定QQ號碼，然后QQ號碼可以查詢?nèi)宏P(guān)系，之后通過群關(guān)系能搞出很多信息，后果你懂的

Part 4：QQ號碼，其實上面已經(jīng)說了，QQ號碼相當于虛擬版本的身份證號，很多東西都和QQ有關(guān)系，比如iCloud賬號、游戲賬號、甚至是一些信用卡賬單啊什么的綁定的郵箱都是QQ的。QQ號碼能查的東西那就太多了，上面就是個例子。

Part 5：電子郵箱，這個在國內(nèi)似乎用的比較少，但是企業(yè)內(nèi)部的電子郵箱是討論的重點，企業(yè)內(nèi)部電子郵箱是很多攻擊者最喜歡的地方，因為可以以此為突破口獲取企業(yè)內(nèi)部的一些信息。當年在甲方做安全運營的時候經(jīng)常收到各種同時轉(zhuǎn)發(fā)過來的釣魚郵件，就是用來騙取Exchange郵箱賬戶的，這些對企業(yè)內(nèi)部安全構(gòu)成了嚴重的威脅。

補充：有個網(wǎng)站可以查到某個郵箱/手機號注冊了什么網(wǎng)站。。。。。

所以，天眼的實現(xiàn)基礎(chǔ)，其實是背后的數(shù)據(jù)在做支撐，數(shù)據(jù)，其實就是泄露的數(shù)據(jù)，民間收集的數(shù)據(jù)來源主要還是各大數(shù)據(jù)庫泄露的SQL文件等，當然不排除有些萬惡的黑產(chǎn)玩無間道，此處有句xxx我一定要講。

其實《速度與激情8》里面的黑客技術(shù)就現(xiàn)在看來是可以完全實現(xiàn)的，只是實現(xiàn)的成本有高有低，但是搞攻防的話，一定要站在攻擊成本的角度上去考慮，安全無絕對，所以大家也沒有必要為這些事情擔心，安全研究院和廠商之間的互動越來越多也從側(cè)面證明了現(xiàn)在大家對安全的重視，作為安全工作者，我們也非常愿意幫助廠商做好安全這一部分。先說這么多吧，此文僅作為科普，如需討論細節(jié)還請回復或者發(fā)私信。

【本文是51CTO專欄作者elknot的原創(chuàng)文章，轉(zhuǎn)載請通過51CTO獲取授權(quán)】

戳這里，看該作者更多好文

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！