一個0day被披露后,我們的網絡世界會發(fā)生些什么事情?
2013年6月7號,網上披露了一個針對Dedecms系統(tǒng)的高危漏洞�,利用該漏洞�,攻擊者可以直接獲取網站服務器的控制權。Dedecms系統(tǒng)是國內非常流行的一款CMS系統(tǒng)(內容管理系統(tǒng)),使用量非常廣�����。
從漏洞被披露當天開始�����,SCANV網站安全中心就監(jiān)控到利用此漏洞攻擊網站的行為。并對攻擊日志數據進行了整理���、統(tǒng)計和關聯分析之后�����,將披露漏洞��、研制工具����、批量攻擊的過程一窺究竟。
第一天
6月7號��,SCANV網站安全中心監(jiān)控到的攻擊行為均為人工手動攻擊�����,這部分攻擊者是“消息靈通人士”�����,在最早的時間里獲取了漏洞詳情���,并自行研究出了攻擊方法��,試圖在網站管理員做出漏洞修補防御之前����,對網站實施攻擊�。
第二天
6月8號,SCANV網站安全中心監(jiān)控到已經出現兩款針對該漏洞特制的攻擊工具���。
第一款攻擊工具:攻擊者的IP地址來源于同一個C段��,針對多個網站進行了漏洞攻擊�����,其中只有少數幾個網站使用的是Dedecms系統(tǒng)�����,可以看出這款工具的使 用者是針對一批站點進行盲目的攻擊;推測每當有新漏洞出現��,該攻擊者均會及時制作工具�,并針對多個站點進行漏洞掃描攻擊。
第二款攻擊工具:攻擊者的IP地址來源于六個省市��,攻擊目標多為Dedecms系統(tǒng)�,且出現同一個攻擊目標被多個IP地址攻擊的情況;推測,該款工具在小范圍或者小團隊內進行傳播��,攻擊成員各自嘗試對自己的既定目標進行攻擊���。
第三天
6月9號,SCANV網站安全中心監(jiān)控到第三款攻擊工具的出現��。該攻擊工具的攻擊者IP地址僅有1個�����,其攻擊目標與前一天第二款攻擊工具的攻擊目標有重合。推測第三款工具是基于第二款工具修改研制而得�,為同一批的攻擊者。
第四天
6月10號��,SCANV網站安全中心監(jiān)控到第四款攻擊工具的出現���。
第五天
6月11號�����,SCANV網站安全中心又監(jiān)控到兩款新的攻擊工具����。
第五款攻擊工具�,攻擊者IP地址來源僅有3個,其攻擊目標的網站中���,有80%使用的是Dedecms系統(tǒng)����,可見是事先整理好了使用Dedecms系統(tǒng)的網站列表,進行針對性的攻擊����。推測由于其網站列表數據更新比較慢的原因,導致有20%的站點為無效攻擊����。
第六款攻擊工具,攻擊者使用網絡請求數據包頭中的User-Agent值為python-requests�,可見攻擊者是采用python語言進行研制的攻 擊工具。攻擊者IP地址來源位于西安電子科技大學和韓國����,其攻擊目標100%皆為Dedecms系統(tǒng),很明顯攻擊之前有過踩點行為��。
第六天
6月12號�����,又監(jiān)控到兩款新的攻擊工具���,并且之前出現的所有攻擊工具在這一天均有進行攻擊行為。
其中����,第五款攻擊工具����,今天攻擊目標是Dedecms系統(tǒng)的比例為100%��,較上一次更為精準��。
第六款攻擊工具���,使用者來源IP地址仍然為西安電子科技大學和韓國���,推測該攻擊工具僅為一人研制一人使用,且手中擁有多個韓國肉雞�����。
第七天
6月13號��,再次出現新的攻擊工具�,并且之前出現的所有工具在這一天均有發(fā)現攻擊行為。
其中有一款新的攻擊工具�,通過修改攻擊請求數據包中的User-Agent值,企圖偽裝成google掃描器����,但是攻擊工具的IP地址來源并不是google�。
從漏洞被披露的當天開始����,7天時間內,共出現了10款攻擊工具��。攻擊來源IP地址共368個����,先后對705個網站發(fā)起了1613次攻擊行為。
通過對攻擊數據的統(tǒng)計和關聯分析���,SCANV網站安全中心總結了一些行為規(guī)律:
1��、漏洞被披露當天就實施攻擊的攻擊者����,均采用人工手動攻擊��。因為在當天�,針對該漏洞特制的工具尚未研制成功。但僅在第二天����,特制的工具就已經出現。說明�����,攻擊者從漏洞被披露到工具研制���,僅需一天時間���。
2、從一款工具的攻擊來源IP地址和攻擊頻率���,可以大致推斷使用該工具的攻擊者身份:IP地址來自同一個C段�����,且攻擊頻繁���,可推測是某個團體組織;IP地址來 自于CDN節(jié)點或者網站地址,可推測是站點被黑后�����,被當作黑客的跳板機使用;IP地址來自于國內的某個IP或某個國家的IP、攻擊頻率低���、攻擊針對性強��,可推測是個體行為��,且在某個國家具有多臺肉雞作為跳板機���。
3、發(fā)起攻擊請求越多的攻擊者�,攻擊目標是Dedecms系統(tǒng)的比例越低,其針對性越差��,推測是根據站點列表盲目攻擊;而發(fā)起攻擊請求越少的攻擊者��,攻擊目標是Dedecms系統(tǒng)的比例就越高�,推測是進行攻擊之前有過踩點、或者手頭有一份使用Dedecms系統(tǒng)的站點列表�����,這類型的攻擊者最可怕����。
4�����、在遭受攻擊較多的網站中�,使用Dedecms系統(tǒng)的比例遠高于使用其他Web系統(tǒng)的網站��。
網頁名稱:零日漏洞爆出后網絡世界會發(fā)生什么?
標題路徑:
http://uogjgqi.cn/article/cccespi.html
