根正苗紅網站遭篡改！三小時鎖定疑犯

累計賭資42億餘元

非法獲利7億多！

扣押伺服器55台

抓獲犯罪嫌疑人23名

凍結涉案資金1.1億餘元！

一般來說，一則黑產落網新聞吃瓜群眾看到的只是媒體們大寫加粗的震撼數字，殊不知，比起警察蜀黍坐了飛機、火車、汽車甚至馬車從大洋彼岸或者偏遠深山逮到搞黑產的馬仔這件事，他們更感興趣的是如何從賽博世界順著網線逮到這些人。

就好像宮斗劇有意思的不是誰都能猜到的大結局，而是撲朔迷離的過程。追捕疑犯也是如此，擺在那裡的數字吸引力遠比不上中間的過程，越刺激越好。

但是，真相往往不盡如人意，你所期待的大片既視感可能不存在，存在的只有一台電腦和一位白帽子。

事發

白帽子 SkyMine 接到通知的時候正在打瞌睡，哦不，工作。掛了電話，SkyMine二話不說趕了過去。

有事，大事

某根正苗紅的網頁被篡改了，篡改內容還十分不和諧（請自行想像，根正苗紅的宅宅不多做提示）。

到了現場 SkyMine 檢查後發現出事的伺服器是台虛擬機，操作系統是 Windows 2008 R2，網站使用了 phpstudy 集成環境進行部署。但是，Windows 事件日誌服務並沒有啟用，更可能的是黑客大哥進來後順手關閉了。

系統日誌是個啥呢？他記錄了系統中硬體、軟體和系統問題的信息，同時還可以監視系統中發生的事件。用戶可以通過它來檢查錯誤發生的原因，或者尋找受到攻擊時攻擊者留下的痕迹。

SkyMine 轉念一想，這台伺服器既然承載著 Web 服務，而且硬體防火牆只對外映射80埠，是不是有可能是以Web攻擊作為入口的？可以一看。

但是，Nginx 的網站訪問日誌也已經遭到清除……雙擊666

不過幸運的是，網站訪問日誌配置了流式異地備份，SkyMine 也就能在另一台日誌伺服器上找到了完整且未失真的網站訪問日誌副本。

不過，任憑SkyMine反反覆復把事發時間前後的網站訪問日誌分析了個遍，都沒有發現任何web攻擊的痕迹。

這就很奇怪了，這說明黑客並沒有直接用網頁木馬發送篡改頁面的指令。難道是通過NC之類的反向連接工具建立通道來進行控制的？

為了求證（打臉），SkyMine 通過調查開始時生成的虛擬機快照提取了內存鏡像，為了有多個內存樣本進行交叉分析，他又掏出「傢伙」（ 一款名為dumpit 的工具）提取了內核級的內存完整鏡像，其中包括物理內存和頁面交換文件。

提取了這些內存之後，SkyMine開始琢磨起來，如果黑客確實是通過反向連接通道來實施控制的，那肯定曾經建立過一個異常的網路連接，內存中很可能會保留著這個信息。

所以SkyMine通過內存分析框架對內存樣本進行了網路連接分析，但在事發時間並沒有可疑的網路連接。

得了，線索到這裡又斷了……

不過也不算一點收穫都沒有，SkyMine在提取了內存的歷史進行信息時發現，有一個很可疑的程序在事發時間正在運行，這個程序名為update.exe，看起來相當正經。

但SkyMine留意到，這個進程足足運行了3天之久，誰家正常更新程序能更新三天？

從內存中提取出該進程的物理路徑後，SkyMine找到了這個奇怪的程序，是位於C盤的一個很深的目錄里的，而且在同目錄下，SkyMine還發現了一個命名為 image.jpg 的篡改圖片。SkyMine對這個程序進行逆向分析後發現是個易語言程序（就是以中文作為程序代碼）。

再次對這個程序逆向分析後 SkyMine 發現，黑客這次利用了一個相對較少見的攻擊方式——邏輯炸彈，程序代碼中有一個條件判斷，當前時間大於既定時間就會自動用該程序目錄下的 image.jpg 替換掉網站根目錄的 image.jpg，達到篡改的目的，在確認圖片已經篡改成功後將自動退出程序。

這就等於一個自動定時炸彈，神不知鬼不覺就會爆炸。

找到了攻擊方式，接下來就要尋找妖精洞了。

當確定這個易語言程序就是黑客用來篡改網頁的關鍵代碼以後，SkyMine開始調查這個程序是如何被傳入伺服器的。

因為這個web伺服器只對外開放80埠，SkyMine猜測有很大可能是通過web應用漏洞來寫入這個程序的。通過查看這個程序的創建時間，他得到了程序的傳入時間點，這就可以進一步從網站訪問日誌中尋找這個時間點的web訪問記錄。

比如 SkyMine 就發現了在網站訪問日誌中有一些 POST 請求（菜刀連接特徵），指向網站一個上傳目錄的 php 文件，而這個文件就是用於上傳篡改程序的木馬了。

當然，網站訪問日誌記錄的來源IP是個美國的代理地址，不是真實地址。於是他接著調查起 webshell（黑客用於遠程控制的網頁木馬）是如何被上傳的。

在網站訪問日誌中以木馬的文件名作為關鍵詞進行搜索，很輕鬆的就定位到了木馬的上傳位置，通過對這個 POST 請求的分析，可以確認這個 web 應用是存在任意代碼執行漏洞的，黑客通過這個漏洞寫入了木馬。

有趣的是，SkyMine還發現了個某雲服務商的IP地址，而這個IP經查證發現正是攻擊者所持有。

SkyMine的事到這裡結束了，他伸了伸懶腰，把技術分析報告提交給了執法機關，至於案件的跟進就不是他這個白帽子的活兒了。

取證這件事

來，讓我們重新整理一遍攻擊者的騷操作。

黑客初次訪問網站

黑客開始嘗試進行滲透

黑客發現網站存在任意代碼執行漏洞

黑客利用任意代碼執行漏洞寫入webshell

黑客webshell上傳篡改程序

篡改程序自動執行網頁篡改

安全專家（SkyMine本人）到場取證分析

取證分析結束提交報告

整個取證分析過程用時三個多小時，更像一場燒腦遊戲。SkyMine也感嘆，若不是黑客不小心留下了破綻，他也不可能那麼快就完成工作。

SkyMine本名伍智波，是中國網安·廣州三零衛士的安全專家，日常工作就是搬磚和處理廣州市政務網的黑客入侵事件。

【SkyMine本人】

處理的事件也是各有不同，假如發生了網頁篡改，就一步步進行溯源；如果受到了APT攻擊，就需要根據每個APT組織的常用手法，結合威脅情報提供的攻擊來源信息以及病毒樣本進行識別；如果是數據泄露問題，可以通過資料庫審計還原竊取過程。用SkyMine的話說，就是花式還原攻擊鏈。

這些情景用到的取證手法都是一樣的嗎？當然不是。

據SkyMine說，針對Windows三大內存管理機制的取證手法有八種：

基於用戶模式程序的內存獲取

基於內核模式程序的內存獲取

基於系統崩潰轉儲的內存獲取

基於操作系統注入的內存獲取

基於系統休眠文件的內存獲取

基於系統冷啟動的內存獲取

基於虛擬化快照的內存獲取

基於硬體的內存獲取

但由於時間緊迫，根本不可能將八種手法一一試過，一般常用的就是三種：基於內核模式程序，系統崩潰轉儲和虛擬化快照內存提取方式。

發生了一起搶劫案，如何能快速找到作案者？SkyMine他們要做的就是通過觀察搶劫犯的行為判斷是否是慣犯，是否有案底，進一步查看嫌疑人是否有蹲點，蹲了多久。但如果疑犯作案是臨時起意呢？這種反常行為就很難尋找線索，更何況去反向臨摹用戶畫像。

「所以上面的案例用時三個小時還算快，如果沒有攻擊者的失誤恐怕想要追蹤到他們更慢甚至最後追蹤不到。網路本身具有匿名性，一個代理跳到國外後就可能什麼線索都斷了。」

實施完美的網路犯罪是有可能的，進行完美的網路追捕也是有可能的，但最終結果如何，誰也不能肯定。

總之就是難難難。

不過SkyMine還挺喜歡做的，在他看來這種有挑戰又炫技的操作很適合他「平淡」的生活。這可能就是每個白帽子都有的黑客情懷吧。

雷鋒網宅客頻道（微信公眾號：letshome）專註先鋒科技，講述黑客背後故事，歡迎關注雷鋒網宅客頻道。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！