《破解圈的恶俗化》
破解者,英文Cracker,最早专门指密码破解和软件破解的人。RFC1392将Hacker定义为“乐于深入了解系统、计算机和计算机网络内部工作原理的人”,而用Cracker来代指传统意义上的黑客:“破解者是指未经授权试图访问计算机系统的人。与黑客不同,这些人往往心怀恶意,他们有多种方法可以侵入系统。”本文的破解者包含两重含义:一指从事软件安全,具有逆向分析能力的人士;二指计算机犯罪者。
各类多媒体资源的破解者和破解版传播者混迹的圈子,很难说有多少恶俗成分,但恶俗化的风险也急剧上升,潜在危害也可谓降维打击。比如使用Xposed等框架Hook软件的团体研究出发送特定消息来让他人的QQ崩溃的严重bug,或者发送XML探针、APK消息来探测他人IP。据我观察,这些破解者本身相对于社工黑客并不专精开盒和隐私防护,也不会用技术直接去作恶,但和黑产靠的更近,鱼龙混杂以后很难预测会发生什么。
早年的百度、微博都存在非常容易利用的XSS漏洞可用于窃取他人Cookie。相比较而言,过去被贴吧恶俗分子利用查IP的接口只是一个微不足道的越权。
软件破解
近年来正版资源方面“高价格,负质量”状况极速增加,但灰产系人员为盗版掺杂病毒、木马、后门、蠕虫、恶意软件的机会极多,导致各种勒索空间极大,两头堵足以断送这个信息时代的前程。
目前免费发布软件(以破解版为主)及补丁(以汉化为主)资源的人员,遭受了版权方、执法者、盗版倒卖者、社工黑客四方夹击。这有可能减少了免费黑箱的使用,但收费化更能进一步加大黑箱,每个塞入更多恶意代码;而目前的黑箱只是多了几块、几十块的“一顿饭钱”,用户除了暴露真实付款信息之外很难感到门槛增得多高。音视频、文章等,如果可以高度版权化则也有风险。
版权方和执法者,理应对盗版倒卖者和社工黑客同样出手整治;但现实是后两者学会了社工攻防手段难以被追查到底,上演着“宁我负人,毋人负我”;而前两者学会了再多社工攻防手段也总是依法公开自己的办事人员、办事地址等个人信息,实际上增加了被报复的风险。假设无法控制,那么信息时代的最后,版权方和执法者将成为傀儡,而盗版倒卖者和社工黑客将通过这些傀儡成为全社会的幕后主宰[来源请求]。
目前来看国外破解圈当中,GOD破解组织的美国人Mercs213认为越南人IGG Games曾向谷歌举报GOD组织的站点,先行开盒IGG Games造成扩大化报复,IGG由于开Mercs213开得更细、株连家人、广告劫持用户等劣迹遭到抵制。[1]
Rockstar官方也发生了在Steam平台上,直接把破解版游戏当正版收费提供的事件。
计算机犯罪
 |
需要补充
本章节的内容不完整或是空白章节,您可以帮助新浪维基完善本页面。 |
BF论坛[2]
2024年7月19日,emo在telegram频道 @explain 透露了许多关于BreachForums论坛的内幕消息,20日又泄露了21万BF论坛成员数据库。[3]
在第一版BF论坛管理员Pompompurin(真实身份为美国纽约州的Cornor Brian Fitzpatrick)于2023年3月被FBI逮捕后,pompompurin在保释期间(2023年6月)准备以4000美元将数据库卖给他的一个朋友,但他的朋友没有足够的钱购买数据库,于是找到BF的一个版主Dedale与ShinyHunters组织购买。后来Dedale又打算在BF论坛上以"breached_db_person"的名义出售数据库。emo见此情景,为了防止数据被泄露,花费了将近0.5btc从Dedale那里购买了数据库,并自掏腰包支付了人肉Dedale的费用。
知名黑客USDoD对emo的行为发出了声援,并在自己的CDN上免费公布了BF论坛上所有的数据库(其中有些具有付费墙)[4]。但很快,8月份CrowdStrike公司向巴西媒体Techmundo投稿起底了USDoD(真实身份为巴西米纳斯吉拉斯州的Luan B.G.),这直接导致了USDoD被逮捕。
emo人肉了多名BF论坛成员,并称其为蜜罐[5],他表示Baphomet是FBI的线人,而ShinyHunters的核心成员被美国司法部起诉却没有被关进监狱等等。9月23日,有9名成员的doxed被发布在emo的telegram频道上,并还有近二十名成员的dox草稿等待发布,名为Kmeta的团体宣布对此负责,并接受了Databreaches网站的采访。[6]两边还互称对方为同性恋、恋童癖以作为攻击[7]。
分布式拒绝攻击
通过大量恶意流量淹没目标服务器或网络,使其无法正常服务的网络攻击手段。成本低廉,能以极低代价损害被攻击网站服务。中小型DDoS攻击可直接由vps+代理池,或者压测网站完成。大型DDoS攻击往往由僵尸网络发起。搭建僵尸网络(Botnet)具有一定门槛,需C2和nday利用经验(虽然也不是很高)。此外还有一些反射/放大攻击,具有漏洞的第三方DNS、NTP、Memcached服务器会被伪造的IP地址欺骗而发起攻击。
网络层L3-L4
SYN Flood
- 原理:伪造虚假IP发送海量TCP SYN请求,耗尽服务器连接池。
- 特征:占用半开连接资源,每秒请求量可达数百万。
- 防御:启用SYN Cookie、配置防火墙丢弃异常源IP。
UDP Flood
- 原理:向目标随机端口发送UDP数据包,触发ICMP不可达响应。
- 案例:2014年欧洲金融系统遭每秒400Gbps攻击。
- 防御:过滤无业务UDP端口,部署流量清洗设备。
ICMP Flood
- 原理:利用Ping请求(如死亡之Ping)消耗带宽。
- 演变:结合IP分片攻击绕过传统检测。
黑洞路由
DDoS不仅会影响受害者,也会导致云网络受到严重影响。当某台服务器受攻击流量超过阈值时,云服务商为了不影响到整个网络会屏蔽该服务器的外网访问。以阿里云为例[8],黑洞路由的阈值从500Mbps到5Gbps不等,大多数服务器的黑洞阈值也在1Gbps左右。服务器进入黑洞状态也意味着攻击者达成了阶段性的目的,破坏了网站的可用性。当服务器进入黑洞一段时间后,如果系统监控到攻击流量停止,黑洞会自动解封。不同厂商的黑洞时间从15分钟到数天不等,一般连续触发黑洞会导致时间延长。
带宽是云服务商向电信、联通、移动等运营商购买,运营商计算带宽费用时不会把 DDoS 攻击流量清洗掉,而是直接收取云计算服务商的带宽费用。这意味着即使服务器关机了,只要攻击到达了云服务商机房就会被惩罚。中小型网站的解决方案一般是更换IP、高防服务器,或者使用廉价服务器做中转并抛弃掉攻击流量。
不过,攻击者也不一定需要将服务器打到黑洞,只要能打满带宽,也能严重影响普通用户的访问。特别是,国内服务器的带宽/流量限制远低于触发黑洞的阈值(假如用户选择了按量计费,还有可能产生额外的流量费用)[9]:
- 1G1H+20G硬盘的阿里云服务器(不考虑学生服务器、打折),带宽限制为2Mbps(满带宽跑1个月流量为648G),价格为¥1296/年
- 1G1H+20G硬盘的vultr、digitalocean、linode等国外服务器,带宽限制为1000Mbps或者不限制(每月流量限制1TB),价格越为¥400/年
应用层L7
HTTP Flood
- 类型:
- GET/POST Flood:模拟合法用户高频请求网页。
- Slowloris:保持数千个缓慢HTTP连接耗尽服务器线程。
- 识别难点:流量特征与正常用户相似。
- 防御:使用WAF(Web应用防火墙)分析请求模式。
CC攻击(Challenge Collapsar)
属于HTTP Flood的一种。
- 目标:针对动态页面(如搜索、登录接口)。
- 手法:高频请求数据库查询等高资源消耗操作。
流量消耗器
家庭宽带、海外VPS对下行流量的限制小于上行流量,这导致可以被用来刷流量。刷流量没有任何门槛,仅需一句循环下载文件到空目录的命令即可以执行。由于CDN往往使用按量计费+预付费模式,使用了CDN后反而会出现被恶意消耗到欠费几百几千块钱的情况。[10]当然还存在一种更恶劣的情况是CDN厂商“监守自盗”并让用户买单:垃圾腾讯云CDN:从入门到放弃。
此外,出于运营商对商用带宽的垄断和高收费,市面上出现一种互联网厂商与普通用户联合起来反薅运营商羊毛的PCDN,用户可以出售闲置的上行带宽给厂商从而大大降低厂商的带宽成本。运营商的策略是对上行流量较大的用户进行检查,其中一个重要指标就是上传/下载比率,当上传远超下载的时候,运营商就有会电话联系用户,甚至要求线下检查。[11]PCDN的玩家为了应对运营商检测,从Bittorrent网络、套了国内CDN的网站下载大量资源,产生了DoS攻击般的效果。
僵尸网络
| |
需要补充
本章节的内容不完整或是空白章节,您可以帮助新浪维基完善本页面。 |
StealerLog
| |
需要补充
本章节的内容不完整或是空白章节,您可以帮助新浪维基完善本页面。 |
或许你从没有听过stealerlog这个词,然而你是否曾听说过一些黑客入侵网络巨头并泄漏大量数据的事迹(比如IntelBroker)。有时候“入侵”并不需要很高的技术,而只需要你关注许多恶意软件频道公布出来的日志/密钥文件,并对其进行清洗,提取出你想要的员工用户密码,假如网络公司没有开启多因素认证,那么你就能很容易的登录到了员工后台甚至内网。同时你也可以简单的把大量数据进行清洗,并声称自己入侵了某个公司,以此来赢得在黑客论坛的声誉。所以难怪“凭证窃取”总被认为是很大的危险因素。
云安全
| |
需要补充
本章节的内容不完整或是空白章节,您可以帮助新浪维基完善本页面。 |
资源投毒
开源代码、重打包软件均存在被人嵌入有害代码的先例。除此以外,公共资源如CDN也存在被投毒的案例。
XZ后门
一位昵称JiaT75、名为“Jia Tan”的用户在大约三年的时间内,获取该项目信任的结果。在操纵明显是马甲的帐号施加压力后,创始人和首席维护者向“Jia Tan”移交了项目的控制权,作为联合维护者的“Jia Tan”签名发布了5.6.0版本引入后门,而5.6.1版本修复了操作系统软件测试期间可能出现的一些异常行为。疑似傀儡帐号包括“Jigar Kumar”、“krygorin4545”和“misoeater91”。有人怀疑“Jia Tan”这个名字以及所谓的代码作者“Hans Jensen”(针对版本5.6.0和5.6.1)只是该活动参与者编造的假名。除了在该活动的短短几年外,两个帐号在软件开发领域都没有可见的公开活动。该后门因其复杂程度,及犯罪者在努力获得信任地位的同时展现的长期高水平行动安全而引人注目。
CSDN投毒
据称涉及一个非常硬核的黑客团队。
涉政黑客
这些黑客是道德的还是恶意的,仁者见仁智者见智。
黑客行动主义者
黑客行动主义者通过揭露政府腐败和倡导社会正义,利用其技能挑战权威、推动变革。松散组织 Anonymous 可能是最著名的黑客行动组织,曾对俄罗斯政府和联合国等知名目标发动过攻击。
国家队
“国家队”指的是由国家直接支持或控制的黑客团体,如美国的NSA、俄罗斯的GRU等。
- 2017年美国征信巨头Equifax被中国国家队黑客入侵,并嫁祸给勒索团伙
- 2022年中国西北工业大学遭到美国NSA入侵
政府承包商
政府承包商黑客则是指私营公司通过与政府签订合同,提供网络安全服务或进行网络行动,比如美国的Palantir、Booz Allen Hamilton等。
承包商员工流动会导致攻击手法扩散,以及国家机密泄露:
- 方程式组织的网络武器在被美国国家安全局(NSA)的前承包商员工哈罗德·马丁三世泄露后,衍生出WannaCry病毒
- 曝光棱镜计划的斯诺登也是美国国家安全局(NSA)外包技术员
注释
- ↑ 证据:https://fmhy.net/unsafesites#game-sites https://fmhy.pages.dev/unsafesites#game-sites 或 https://fmhy.xyz/unsafesites#game-sites 有关igg的事迹链接指向境外图床。
- ↑ https://www.anwangxia.com/3696.html
- ↑ https://x.com/DarkWebInformer/status/1814359703339643308
- ↑ https://github.com/0x-Apollyon/Breachforums-CDN-Downloader/tree/main , https://www.youtube.com/watch?v=orhbPAIGt9A
- ↑ https://www.anwangxia.com/3532.html
- ↑ https://databreaches.net/2024/09/23/breachforums-users-and-staff-are-being-doxed-to-erode-trust-in-the-forum-will-it-work/
- ↑ https://x.com/netnsher/status/1815582786088010053
- ↑ https://help.aliyun.com/zh/anti-ddos/basic-ddos-protection/product-overview/view-the-thresholds-that-trigger-blackhole-filtering-in-anti-ddos-origin-basic
- ↑ https://www.zhihu.com/question/324830636
- ↑ 几乎不用的腾讯 CDN 也被刷,欠费 200 块。
- ↑ https://v2ex.com/t/1029736
