贵人相助


在高中时,A遇到了另外一个改变他一生的人。


那时候,A流连于各大技术论坛,但一路摸索很痛苦,因为只是一个人,没有人教,没有人引路。很多自学成材的黑客都有过这么一段孤单寂寞的时光,能熬过去的,脱颖而出,熬不过去的,沦落平庸。那时候A去BBS提问,得到的最多回复都是「RTFM」(去读他妈的使用手册)。这种情况直到2005年A遇到他的师傅时,才有所改善。


当时是在Debian的IRC里,A为了弄清楚Debian下Apache分配权限的问题,用夹杂着语法错误的「Chinglish」去请教众人,很快就收到了一个美国人的热心回复。后来这个美国人还很耐心的讲解里面的细节,甚至做了图文教程用邮件发送过来。A大为感动。从此他们跨越太平洋,建立起了半师半友的关系。A的师傅是一个地道的美国人,而非华人。


在此时期,A的师傅组建了一个不到10人的地下黑客组织,A也顺理成章的加入其中成为了一员。这个组织的成员来自世界上不同的国家和地区,在全球范围内从事着黑客活动。因为是地下组织,所以A不愿意透露名字,或其他具体信息。


上了大学后,A更加的自由了。翘课成了A的家常便饭,因此还差点没能拿到毕业证书。


大一的时候。A的师傅建议他学Lisp语言,说Lisp是多么的优秀啊。


A回想起这段时光:


「好吧,我在想既然都这样说,那我就去试试吧!于是我痛苦的人生开始了。


不是Lisp有多难学,只是语法太烂了,被那无数的括号搞得我几乎崩溃。我去社区诉苦,却被一大堆的理论砸过来。而这些理论在Lisp社区几乎随处可见,比如说:『Lisp的括号只是表面现象;Lisp有强大无比的元语言能力,程序员可以写出自我维护的代码等等』。


好吧,当时对我来说这些理论就是一坨狗屎。对我没有丝毫用处,我陷入了困惑之中。但是看到那一群比我更聪明,更优秀的家伙都在赞美Lisp,也就是说Lisp的神秘之处肯定还没被我发现,怀着好奇心我坚持了下来。


半年多的噩梦,我看到了沙漠中的绿洲。我明白了,明白Eric Raymond's 所说的:


『Lisp is worth learning for the profound enlightenment experience you will have when you finally get it; that experience will make you a better programmer for the rest of your days, even if you never actually use Lisp itself a lot.』。


在此之前我根本不懂这是什么意思,但我坚持下来后,我懂了。一个优秀的黑客必然是一个优秀的程序员。


我掌握了Lisp,掌握了Lisp的编程思想,在后来写程序,调试Exploit的时候给自己带来了很多意想不到的惊喜。」


A后来感叹道:「遇到我的师傅,是我这辈子最大的幸运,如果不是他,或许我不会在安全上走这么远。」


现在看来,可以说是A的师傅改变了A的一生。人的一生中,总是会遇到那么几个对他最重要的人。对A来说,这个人就是他的师傅,一个远在大洋彼岸的美国人。


叱咤风云


随着A加入地下黑客组织,有人共同交流和学习,A的黑客技术开始获得突飞猛进的成长。


有一段时间,A热衷于研究「安全公司研究人员」的行为。是的,你没有看错,A入侵了世界上的很多安全公司,然后看这些公司都在干什么。从这些安全公司研究人员的课题与研究方向上,看全球网络安全动态。A读着这些安全研究员的分析样本以及笔记心得,觉得是一件很有意思的事情。这就像胆大包天的飞贼把警察局给偷了一样。


比较搞笑的是,A入侵安全公司后,往往还伴随着意外的发现。比如他发现某一家参与微软MAPP计划(微软会提前披露漏洞细节给合作的安全公司,以方便安全公司改进产品,一般这意味着微软对该公司的认可)的安全公司,其内网某台服务器上竟然存放着超过100G的爱情动作片。


还有一次,他意外发现某安全公司的病毒分析师(女)给她男朋友戴绿帽子的全过程,A读到了她劈腿的所有聊天记录。那次A本是想挑战一下自己,渗透进这家公司的内网。当时先伪造了一个邮箱投递了一封邮件过去,附件带上了一个PDF的0day。对方的工程师中招后,A发现却是在Vmware的虚拟机环境中。于是A再利用了一个Intel芯片的漏洞,完成了虚拟机逃逸,控制了工程师的宿主机。


整个攻击过程如同行云流水一般,安全公司的防御手段在A面前就像纸糊的一样。那次渗透A最终拿下了内网20余台服务器。


最让A毁三观的,是有一次入侵了欧洲某安全公司,然后发现这家公司的安全经理(男)和一个男员工的基情。因为他们的内部邮件用的Outlook并没有加密,同时ICQ的聊天记录也被监控了,所以能看到所有的通信往来。那次A和他的小伙伴们一直围观了20多天,三观尽毁。


因为长期潜伏在安全公司内部,所以安全公司的研究进展对于A的组织来说毫无秘密可言。A了解到,大多数安全公司的技术,比他们要落后2到3年。比如前面提到的用于虚拟机逃逸的Intel芯片漏洞,他们在2009年就写出了可利用的代码,而官方直到几个月前才发布补丁,长达3年的0day潜伏期让他们把这个漏洞的利用价值发挥到了最大。


到后来,A和他的小伙伴们干脆直接利用微软提供给安全公司的POC(漏洞的概念性证明)代码写Exploit(漏洞利用程序)。因为他们渗透的一些安全公司中,有的加入了微软的MAPP计划,从而可以在补丁升级前就提前拿到微软提供的漏洞细节。本来是想让互联网更加安全的MAPP计划,反而让黑客受益,正所谓「道高一尺,魔高一丈」。


但这也并非A的组织获取0day的最大来源。他们有一个非常大胆的计划,在全球范围内部署了上千台服务器的蜜网系统,用于捕获0day和研究黑客行为。他们基于Honeynet项目研发了自己的系统,并在全球范围内租用主机。


在部署蜜网系统的当年,就在全球各地捕获了30万次黑客入侵的行为,并抓取到了几十个半公开的漏洞,和3个0day。至此尝到甜头后,他们进一步扩大了蜜网的规模。如此大规模的蜜网,即使在安全行业里,也只有一流的公司或者是政府部门才能够做出来,而A他们区区几个人就做到了。这套系统今天仍然在运转着。


A说,通过蜜网能研究黑客们的动向,能知道哪一类网站更容易遭受攻击,以及哪些技术和手法可以继续使用,而哪些却已经不宜使用了。因为如果一个技术被黑客们用的多了,说明已经流传开,暴露的风险也就大了。


比如A通过研究网络协议后,解决了同一交换机下跨VLAN实现ARP欺骗的问题,从而大大提高了内网渗透的效率。据A透露,他发现在中国至少已有不下于10人掌握了此一未公开的技术。估计过几年用的人多了,这个技术就不会再那么好用了。


想要支撑起这么大规模的蜜网系统,需要的资金投入不小,而作为地下黑客组织,A与他的小伙伴们生财有道。


2007年以来,A的组织在全球范围内劫持了数百万台家用路由器,篡改了这些路由器里的DNS Server,指向了自己架设的服务器,从而可以在用户上网的流量里植入广告,就像今天很多无良的地方运营商做的事情一样。


他们的常用手法是在一些流量大的网站上找到一个存储型的XSS漏洞,当用户访问这个有漏洞的页面时,攻击代码将被加载。这时候再结合一个家用路由器的CSRF漏洞,就能直接篡改默认口令的家庭路由器的DNS设置了。这一攻击手法直到2011年才公开。


有时候在一些流量大的网站上植入XSS攻击代码,动静太大,所以挂上攻击代码的时间不能太长。而A非常的谨慎,最长的一次也没有超过2个小时,每次攻击完后都会迅速把网站上的恶意代码全部清理干净。


到了2008年,这套体系进一步完善,A的组织开始利用劫持到的用户流量,进行用户行为分析以及数据挖掘方面的工作。主要是分析用户近期会关注哪些商品,并进一步把分析得出的结果卖给商业公司。这正是今天炙手可热的「商业智能」,早在08年,一个地下黑客组织就有这样的觉悟,在从事这样的事业了。他们用自己的方式,获取到了海量的用户数据。在黑客的世界里,从来没有循规蹈矩一说。


我问A到底赚了多少,他笑而不语。


一个不到10人的地下黑客组织,完成了很多商业公司都无法做到的壮举。


(待续)