一個(gè)0day被披露后，我們的網(wǎng)絡(luò)世界會(huì)發(fā)生些什么事情?

2013年6月7號(hào)，網(wǎng)上披露了一個(gè)針對(duì)Dedecms系統(tǒng)的高危漏洞，利用該漏洞，攻擊者可以直接獲取網(wǎng)站服務(wù)器的控制權(quán)。Dedecms系統(tǒng)是國(guó)內(nèi)非常流行的一款CMS系統(tǒng)(內(nèi)容管理系統(tǒng))，使用量非常廣。

從漏洞被披露當(dāng)天開(kāi)始，SCANV網(wǎng)站安全中心就監(jiān)控到利用此漏洞攻擊網(wǎng)站的行為。并對(duì)攻擊日志數(shù)據(jù)進(jìn)行了整理、統(tǒng)計(jì)和關(guān)聯(lián)分析之后，將披露漏洞、研制工具、批量攻擊的過(guò)程一窺究竟。

第一天

6月7號(hào)，SCANV網(wǎng)站安全中心監(jiān)控到的攻擊行為均為人工手動(dòng)攻擊，這部分攻擊者是“消息靈通人士”，在最早的時(shí)間里獲取了漏洞詳情，并自行研究出了攻擊方法，試圖在網(wǎng)站管理員做出漏洞修補(bǔ)防御之前，對(duì)網(wǎng)站實(shí)施攻擊。

第二天

6月8號(hào)，SCANV網(wǎng)站安全中心監(jiān)控到已經(jīng)出現(xiàn)兩款針對(duì)該漏洞特制的攻擊工具。

第一款攻擊工具：攻擊者的IP地址來(lái)源于同一個(gè)C段，針對(duì)多個(gè)網(wǎng)站進(jìn)行了漏洞攻擊，其中只有少數(shù)幾個(gè)網(wǎng)站使用的是Dedecms系統(tǒng)，可以看出這款工具的使 用者是針對(duì)一批站點(diǎn)進(jìn)行盲目的攻擊;推測(cè)每當(dāng)有新漏洞出現(xiàn)，該攻擊者均會(huì)及時(shí)制作工具，并針對(duì)多個(gè)站點(diǎn)進(jìn)行漏洞掃描攻擊。

第二款攻擊工具：攻擊者的IP地址來(lái)源于六個(gè)省市，攻擊目標(biāo)多為Dedecms系統(tǒng)，且出現(xiàn)同一個(gè)攻擊目標(biāo)被多個(gè)IP地址攻擊的情況;推測(cè)，該款工具在小范圍或者小團(tuán)隊(duì)內(nèi)進(jìn)行傳播，攻擊成員各自嘗試對(duì)自己的既定目標(biāo)進(jìn)行攻擊。

第三天

6月9號(hào)，SCANV網(wǎng)站安全中心監(jiān)控到第三款攻擊工具的出現(xiàn)。該攻擊工具的攻擊者IP地址僅有1個(gè)，其攻擊目標(biāo)與前一天第二款攻擊工具的攻擊目標(biāo)有重合。推測(cè)第三款工具是基于第二款工具修改研制而得，為同一批的攻擊者。

第四天

6月10號(hào)，SCANV網(wǎng)站安全中心監(jiān)控到第四款攻擊工具的出現(xiàn)。

第五天

6月11號(hào)，SCANV網(wǎng)站安全中心又監(jiān)控到兩款新的攻擊工具。

第五款攻擊工具，攻擊者IP地址來(lái)源僅有3個(gè)，其攻擊目標(biāo)的網(wǎng)站中，有80%使用的是Dedecms系統(tǒng)，可見(jiàn)是事先整理好了使用Dedecms系統(tǒng)的網(wǎng)站列表，進(jìn)行針對(duì)性的攻擊。推測(cè)由于其網(wǎng)站列表數(shù)據(jù)更新比較慢的原因，導(dǎo)致有20%的站點(diǎn)為無(wú)效攻擊。

第六款攻擊工具，攻擊者使用網(wǎng)絡(luò)請(qǐng)求數(shù)據(jù)包頭中的User-Agent值為python-requests，可見(jiàn)攻擊者是采用python語(yǔ)言進(jìn)行研制的攻 擊工具。攻擊者IP地址來(lái)源位于西安電子科技大學(xué)和韓國(guó)，其攻擊目標(biāo)100%皆為Dedecms系統(tǒng)，很明顯攻擊之前有過(guò)踩點(diǎn)行為。

第六天

6月12號(hào)，又監(jiān)控到兩款新的攻擊工具，并且之前出現(xiàn)的所有攻擊工具在這一天均有進(jìn)行攻擊行為。

其中，第五款攻擊工具，今天攻擊目標(biāo)是Dedecms系統(tǒng)的比例為100%，較上一次更為精準(zhǔn)。

第六款攻擊工具，使用者來(lái)源IP地址仍然為西安電子科技大學(xué)和韓國(guó)，推測(cè)該攻擊工具僅為一人研制一人使用，且手中擁有多個(gè)韓國(guó)肉雞。

第七天

6月13號(hào)，再次出現(xiàn)新的攻擊工具，并且之前出現(xiàn)的所有工具在這一天均有發(fā)現(xiàn)攻擊行為。

其中有一款新的攻擊工具，通過(guò)修改攻擊請(qǐng)求數(shù)據(jù)包中的User-Agent值，企圖偽裝成google掃描器，但是攻擊工具的IP地址來(lái)源并不是google。

從漏洞被披露的當(dāng)天開(kāi)始，7天時(shí)間內(nèi)，共出現(xiàn)了10款攻擊工具。攻擊來(lái)源IP地址共368個(gè)，先后對(duì)705個(gè)網(wǎng)站發(fā)起了1613次攻擊行為。

通過(guò)對(duì)攻擊數(shù)據(jù)的統(tǒng)計(jì)和關(guān)聯(lián)分析，SCANV網(wǎng)站安全中心總結(jié)了一些行為規(guī)律：

1、漏洞被披露當(dāng)天就實(shí)施攻擊的攻擊者，均采用人工手動(dòng)攻擊。因?yàn)樵诋?dāng)天，針對(duì)該漏洞特制的工具尚未研制成功。但僅在第二天，特制的工具就已經(jīng)出現(xiàn)。說(shuō)明，攻擊者從漏洞被披露到工具研制，僅需一天時(shí)間。

2、從一款工具的攻擊來(lái)源IP地址和攻擊頻率，可以大致推斷使用該工具的攻擊者身份：IP地址來(lái)自同一個(gè)C段，且攻擊頻繁，可推測(cè)是某個(gè)團(tuán)體組織;IP地址來(lái) 自于CDN節(jié)點(diǎn)或者網(wǎng)站地址，可推測(cè)是站點(diǎn)被黑后，被當(dāng)作黑客的跳板機(jī)使用;IP地址來(lái)自于國(guó)內(nèi)的某個(gè)IP或某個(gè)國(guó)家的IP、攻擊頻率低、攻擊針對(duì)性強(qiáng)，可推測(cè)是個(gè)體行為，且在某個(gè)國(guó)家具有多臺(tái)肉雞作為跳板機(jī)。

3、發(fā)起攻擊請(qǐng)求越多的攻擊者，攻擊目標(biāo)是Dedecms系統(tǒng)的比例越低，其針對(duì)性越差，推測(cè)是根據(jù)站點(diǎn)列表盲目攻擊;而發(fā)起攻擊請(qǐng)求越少的攻擊者，攻擊目標(biāo)是Dedecms系統(tǒng)的比例就越高，推測(cè)是進(jìn)行攻擊之前有過(guò)踩點(diǎn)、或者手頭有一份使用Dedecms系統(tǒng)的站點(diǎn)列表，這類(lèi)型的攻擊者最可怕。

4、在遭受攻擊較多的網(wǎng)站中，使用Dedecms系統(tǒng)的比例遠(yuǎn)高于使用其他Web系統(tǒng)的網(wǎng)站。