前言 /preface/
近些年 , 勒索案件时有发生 。每一个受害者都很震惊:黑客为什么会盯上我?黑客是怎么进来的?采购了那么多安全设备 , 怎么还是会被勒索?
第一步 策略选择:薄利多销or高投高产
黑客发起勒索的目的是要赚钱 , 要计算成本和收益 。
就像所有生意一样 , 黑客也有两种盈利策略:要么压低成本 , 薄利多销;要么高投入高产出 , 走高端路线 。
01 薄利多销的攻击--无差别自动化攻击
如果你有维护过暴露在公网的服务器 , 你一定会发现 , 你的服务器有大量的访问量来自陌生的IP , 其归属地并没有你的业务或客户 , 这样的流量可能占到服务器总流量的50%以上 。为什么会有这么高的陌生访问量呢?
原因就是公网上有大量服务器 , 不停的对全网所有IP扫描 , 寻找存活的IP及其服务 。一旦发现某个IP有开放的服务 , 就会发起自动的攻击 。常见的攻击有弱口令爆破(如针对SSH、RDP、数据库的爆破)和高危通用漏洞(Log4j反序列化漏洞、永恒之蓝漏洞) 。
文章插图
黑客要做的只是搭几台服务器 , 不停的对全网发起探测、爆破、漏洞利用 。一旦入侵成功 , 会自动对服务器价值进行评估——价值较高的 , 就发起勒索攻击;价值不高的 , 就运行挖矿程序 。并留下后门 , 长期控制该失陷主机 。
文章插图
很多人会说 , 我的服务器没有开其他端口 , 只开放 RDP 用于管理运维 , 且设置了复杂的密码 , 这样总没问题吧?
然而 , 很多勒索案件就是这样发生的 。密码的强弱 , 不在于位数多或者有复杂的字符组合 。关键在于 , 你的弱密码在不在黑客的字典里 。黑客会不停收集各网站泄漏的用户口令 , 并通过各种组合产生巨量的密码字典 。
为了绕过防火墙的防爆破规则 , 黑客会利用IP代理池发起爆破 。目前网上有大量免费的IP代理池 , IP每分钟更新 。有大量的IP , 就不怕防火墙封禁 。
文章插图
这类攻击的受害者 , 大部分是小微企业 。由于安全投入不足 , 缺乏有效的网络安全建设和安全意识 , 给黑客留下可乘之机 。
02 高投入高产出--针对特定目标的攻击
如果你所在的公司 , 业务发展迅速 , 业绩蒸蒸日上 , 知名度越来越大 , 千万不要忘了 , 惦记你的黑客 , 也会越来越多 。
一方面随着企业实力增强 , 有更多资源投入到安全建设中 , 提高了安全水位 。另一方面 , 随着业务发展 , 企业的分支机构、合作伙伴、客户也增多 , 网络结构复杂 , 网络边界治理变难 , 网络安全管理挑战增加 。
文章插图
在黑客看来 , 企业支付赎金的能力和意愿也提高了 , 黑客有了更强的动机 。
第二步 信息收集:寻找攻击路径 01 公开信息收集
黑客在开始攻击之前 , 首先会进行信息收集 。一般会收集目标企业的域名、子域名、IP、员工信息(姓名、职务、邮件地址等) , 以及企业的子公司、分支机构等 。这些信息通过公司的官网、公告、新闻、网络空间搜索引擎等公开途径 , 都可以轻易得到 。
收集信息的目的 , 是为了找到目标企业安全防护的薄弱点 。
02 泄漏数据收集
有大量的泄漏数据在黑客论坛出售 。数据内容五花八门 , 知名网站数据库泄漏的账号信息、远程桌面账号密码、企业员工无意间上传到github的登录密钥等 。
推荐阅读
- 多伦多Pwn2Own黑客大赛展示了63个0day漏洞
- 网眼运动鞋怎么清洗小窍门
- 韭菜对眼睛有伤害吗
- 防止游泳眼镜起雾简单方法
- 声带息肉手术费
- 龙眼放冰箱保鲜可以保存几天
- 眼镜发黄了用什么清洗
- 如何护肾养肾
- 斗鸡眼|合照惊见「小S单边斗鸡眼」高超技能瑶瑶吓狂问:怎办到的?
- 美颜|亚洲人真的适合大地色眼影吗?真正的答案可能出乎意料