首页 - 普宁 - 时评 - 社会 - 民生 - 报料 - 网视 - 公益 - 房产 - 车讯 - 导购 - 教育 - 快讯 - 培训 - 国内 - 国际 - 文娱 - 小记者
您所在的位置:中国普宁网 > 时评
0day被爆后,网络世界会发生什么?
2018-12-09 00:33:54  来源:  
一个0day被披露后,我们的网络世界会发生些什么事情?且听我细细道来。

本文转自:0day被爆后,网络世界会发生什么?,作者:知道创宇安全研究团队,原文地址:http://lcx.cc/?i=3712

1、事件背景

本文转自:0day被爆后,网络世界会发生什么?,作者:知道创宇安全研究团队,原文地址:http://lcx.cc/?i=3712

2013年6月7号,网上披露了一个针对Dedecms系统的高危漏洞,利用该漏洞,攻击者可以直接获取网站服务器的控制权。Dedecms系统是国内非常流行的一款CMS系统(内容管理系统),使用量非常广。

本文转自:0day被爆后,网络世界会发生什么?,作者:知道创宇安全研究团队,原文地址:http://lcx.cc/?i=3712

从漏洞被披露当天开始,我们就监控到利用此漏洞攻击网站的行为。我们对攻击日志数据进行了整理、统计和关联分析,从数据中可以对披露漏洞、研制工具、批量攻击的过程一窥究竟。

本文转自:0day被爆后,网络世界会发生什么?,作者:知道创宇安全研究团队,原文地址:http://lcx.cc/?i=3712

2、单日攻击数据分析

本文转自:0day被爆后,网络世界会发生什么?,作者:知道创宇安全研究团队,原文地址:http://lcx.cc/?i=3712

第一天

本文转自:0day被爆后,网络世界会发生什么?,作者:知道创宇安全研究团队,原文地址:http://lcx.cc/?i=3712

6月7号,我们所监控到的攻击行为,均为人工手动攻击,这部分攻击者是“消息灵通人士”,在最早的时间里获取了漏洞详情,并自行研究出了攻击方法,试图在网站管理员做出漏洞修补防御之前,对网站实施攻击。

本文转自:0day被爆后,网络世界会发生什么?,作者:知道创宇安全研究团队,原文地址:http://lcx.cc/?i=3712

第二天

本文转自:0day被爆后,网络世界会发生什么?,作者:知道创宇安全研究团队,原文地址:http://lcx.cc/?i=3712

6月8号,我们监控到已经出现两款针对该漏洞特制的攻击工具。

本文转自:0day被爆后,网络世界会发生什么?,作者:知道创宇安全研究团队,原文地址:http://lcx.cc/?i=3712

第一款攻击工具:攻击者的IP地址来源于同一个C段,针对多个网站进行了漏洞攻击,其中只有少数几个网站使用的是Dedecms系统,可以看出这款工具的使用者是针对一批站点进行盲目的攻击;推测每当有新漏洞出现,该攻击者均会及时制作工具,并针对多个站点进行漏洞扫描攻击。

本文转自:0day被爆后,网络世界会发生什么?,作者:知道创宇安全研究团队,原文地址:http://lcx.cc/?i=3712

第二款攻击工具:攻击者的IP地址来源于六个省市,攻击目标多为Dedecms系统,且出现同一个攻击目标被多个IP地址攻击的情况;推测,该款工具在小范围或者小团队内进行传播,攻击成员各自尝试对自己的既定目标进行攻击。

本文转自:0day被爆后,网络世界会发生什么?,作者:知道创宇安全研究团队,原文地址:http://lcx.cc/?i=3712

第三天

本文转自:0day被爆后,网络世界会发生什么?,作者:知道创宇安全研究团队,原文地址:http://lcx.cc/?i=3712

6月9号,我们监控到第三款攻击工具的出现。该攻击工具的攻击者IP地址仅有1个,其攻击目标与前一天第二款攻击工具的攻击目标有重合。推测第三款工具是基于第二款工具修改研制而得,为同一批的攻击者。

本文转自:0day被爆后,网络世界会发生什么?,作者:知道创宇安全研究团队,原文地址:http://lcx.cc/?i=3712

第四天

本文转自:0day被爆后,网络世界会发生什么?,作者:知道创宇安全研究团队,原文地址:http://lcx.cc/?i=3712

6月10号,我们监控到第四款攻击工具的出现。

本文转自:0day被爆后,网络世界会发生什么?,作者:知道创宇安全研究团队,原文地址:http://lcx.cc/?i=3712

第五天

本文转自:0day被爆后,网络世界会发生什么?,作者:知道创宇安全研究团队,原文地址:http://lcx.cc/?i=3712

6月11号,我们又监控到两款新的攻击工具。

本文转自:0day被爆后,网络世界会发生什么?,作者:知道创宇安全研究团队,原文地址:http://lcx.cc/?i=3712

第五款攻击工具,攻击者IP地址来源仅有3个,其攻击目标的网站中,有80%使用的是Dedecms系统,可见是事先整理好了使用Dedecms系统的网站列表,进行针对性的攻击。推测由于其网站列表数据更新比较慢的原因,导致有20%的站点为无效攻击。

本文转自:0day被爆后,网络世界会发生什么?,作者:知道创宇安全研究团队,原文地址:http://lcx.cc/?i=3712

第六款攻击工具,攻击者使用网络请求数据包头中的User-Agent值为python-requests,可见攻击者是采用python语言进行研制的攻击工具。攻击者IP地址来源位于西安电子科技大学和韩国,其攻击目标100%皆为Dedecms系统,很明显攻击之前有过踩点行为。

本文转自:0day被爆后,网络世界会发生什么?,作者:知道创宇安全研究团队,原文地址:http://lcx.cc/?i=3712

第六天

本文转自:0day被爆后,网络世界会发生什么?,作者:知道创宇安全研究团队,原文地址:http://lcx.cc/?i=3712

6月12号,我们又监控到两款新的攻击工具,并且之前出现的所有攻击工具在这一天均有进行攻击行为。

本文转自:0day被爆后,网络世界会发生什么?,作者:知道创宇安全研究团队,原文地址:http://lcx.cc/?i=3712

其中,第五款攻击工具,今天攻击目标是Dedecms系统的比例为100%,较上一次更为精准。

本文转自:0day被爆后,网络世界会发生什么?,作者:知道创宇安全研究团队,原文地址:http://lcx.cc/?i=3712

第六款攻击工具,使用者来源IP地址仍然为西安电子科技大学和韩国,推测该攻击工具仅为一人研制一人使用,且手中拥有多个韩国肉鸡。

本文转自:0day被爆后,网络世界会发生什么?,作者:知道创宇安全研究团队,原文地址:http://lcx.cc/?i=3712

第七天

本文转自:0day被爆后,网络世界会发生什么?,作者:知道创宇安全研究团队,原文地址:http://lcx.cc/?i=3712

6月13号,我们又监控到两款新的攻击工具,并且之前出现的所有工具在这一天均有进行攻击行为。

本文转自:0day被爆后,网络世界会发生什么?,作者:知道创宇安全研究团队,原文地址:http://lcx.cc/?i=3712

其中有一款新的攻击工具,通过修改攻击请求数据包中的User-Agent值,企图伪装成google扫描器,但是攻击工具的IP地址来源并不是google。

本文转自:0day被爆后,网络世界会发生什么?,作者:知道创宇安全研究团队,原文地址:http://lcx.cc/?i=3712

3、攻击数据综合分析

本文转自:0day被爆后,网络世界会发生什么?,作者:知道创宇安全研究团队,原文地址:http://lcx.cc/?i=3712

从漏洞被披露的当天开始,7天时间内,共出现了10款攻击工具。攻击来源IP地址共368个,先后对705个网站发起了1613次攻击行为。

本文转自:0day被爆后,网络世界会发生什么?,作者:知道创宇安全研究团队,原文地址:http://lcx.cc/?i=3712

通过对攻击数据的统计和关联分析,我们总结了一些行为规律:

本文转自:0day被爆后,网络世界会发生什么?,作者:知道创宇安全研究团队,原文地址:http://lcx.cc/?i=3712

1. 漏洞被披露当天就实施攻击的攻击者,均采用人工手动攻击。因为在当天,针对该漏洞特制的工具尚未研制成功。但仅在第二天,特制的工具就已经出现。说明,攻击者从漏洞被披露到工具研制,仅需一天时间。

本文转自:0day被爆后,网络世界会发生什么?,作者:知道创宇安全研究团队,原文地址:http://lcx.cc/?i=3712

2. 从一款工具的攻击来源IP地址和攻击频率,可以大致推断使用该工具的攻击者身份:IP地址来自同一个C段,且攻击频繁,可推测是某个团体组织;IP地址来自于CDN节点或者网站地址,可推测是站点被黑后,被当作黑客的跳板机使用;IP地址来自于国内的某个IP或某个国家的IP、攻击频率低、攻击针对性强,可推测是个体行为,且在某个国家具有多台肉鸡作为跳板机。

本文转自:0day被爆后,网络世界会发生什么?,作者:知道创宇安全研究团队,原文地址:http://lcx.cc/?i=3712

3. 发起攻击请求越多的攻击者,攻击目标是Dedecms系统的比例越低,其针对性越差,推测是根据站点列表盲目攻击;而发起攻击请求越少的攻击者,攻击目标是Dedecms系统的比例就越高,推测是进行攻击之前有过踩点、或者手头有一份使用Dedecms系统的站点列表,这类型的攻击者最可怕。

本文转自:0day被爆后,网络世界会发生什么?,作者:知道创宇安全研究团队,原文地址:http://lcx.cc/?i=3712

4. 遭受攻击较多的网站,使用Dedecms系统的比例,远远高于遭受攻击较少的网站。

本文转自:0day被爆后,网络世界会发生什么?,作者:知道创宇安全研究团队,原文地址:http://lcx.cc/?i=3712

----------分割线----------

本文转自:0day被爆后,网络世界会发生什么?,作者:知道创宇安全研究团队,原文地址:http://lcx.cc/?i=3712

这里的文章都会同步到blog.knownsec.com里,不喜欢微信的朋友,也可以看到了,大家如果感兴趣这篇科普,请帮忙传播。

本文转自:0day被爆后,网络世界会发生什么?,作者:知道创宇安全研究团队,原文地址:http://lcx.cc/?i=3712

我们会持续性的进行安全科普,大家有什么问题可以在微信里给我们留言,我们会认真对待每份留言,并在下次发文时进行必要的解答。如果大家有什么安全八卦也欢迎投稿给我们,我们的微信:网站安全中心(ID:wangzhan_anquan)。

本文转自:0day被爆后,网络世界会发生什么?,作者:知道创宇安全研究团队,原文地址:http://lcx.cc/?i=3712

科普改变世界,我们一起努力让这个互联网更好更安全吧!

本文转自:0day被爆后,网络世界会发生什么?,作者:知道创宇安全研究团队,原文地址:http://lcx.cc/?i=3712

本文由知道创宇安全研究团队撰写。


相关阅读:
传奇私服 http://www.1110kf.com
  精彩图片
刘士余痛批强盗式收购 险资举牌概念股大面积跌停
刘士余痛批强盗式收购...
湿度为30%,此次国开行、华芯投资和紫光集团的签约
湿度为30%,此次国开行...
  热点专题
·0day被爆后,网络世界会发生什么?
·商标注册收费标准降低50%,大部分利益受损的人是因为技术造...
·人民日报:怎样让我们党“坚固如钢铁”
·赵丽颖新戏《楚乔传》首播收视飘红,御泥坊跨界联动
·优酷《欢乐喜剧人3》18亿收官 “憨豆”现身总决赛
·联合国秘书长古特雷斯谴责朝鲜试射弹道导弹
·AMD Radeon RX 480再受暴击:疑似RX 470跑分泄露
·诺基亚新篇章:全球欢庆和阿尔卡特-朗讯合并
·沙溢引爆开场 BTV网络秋晚穿越时空
·加息阵营扩容 发达经济体货币政策迎“慢紧缩周期”
  热门新闻
·0day被爆后,网络世界会发生什么?
·雷军:想做一个真正的创业者,一定要有阿猫阿狗的觉悟
·刘士余痛批强盗式收购 险资举牌概念股大面积跌停
·业内观察人士担心乐天或许要考虑撤出,这些训练使飞行员的个人技能提高到新的层次
·复古朋克风!井柏然为《路边野餐》导演毕赣颁奖
·11月上市 大众NMC量产版成都车展亮相
·女排队员袁心玥认为,是目前全球最大的轻水压水堆核电基地
·陈意涵铁轨上做平板支撑 被批“不良示范”(图)
·海南女子到四川见准公婆 拍黑车车牌被女司机掌掴
·走进学校、企业、农场,地震和随之而来的海啸
Copyright at93.cn All Rights Reserved.
本网站所刊登的各种新闻﹑信息和各种专题专栏资料,均为中国普宁网版权所有,未经协议授权,禁止下载使用。
台广证002号  浙ICP备09050798  浙新办(2002)11号