文/高智 来源:锌刻度 1999~2009 年:黑客掌握主动权 在上世纪 90 年代黑客有一个姊妹翻译骇客,更凸显神秘、强大、惊人破坏力与对未知的恐惧。 那时的黑客追求技术世界和精神世界,而随着本世纪初傻瓜化黑客武器的涌现,黑客的门槛越来越低,黑客队伍逐步呈现鱼龙混杂的局面,神秘光环自然褪去,骇客一词也成为历史的尘埃。 剑指 QQ 的盗号木马就是典型代表,成为诸多黑客入门的启蒙工具。 作者联系上一名不愿透露 ID、昔日校园黑客联盟成员X磊,如今的他从事一份体面的渗透检测工作,对过去的故事讳莫如深,一再请求之下终于姗姗道来。 “记忆中 2001 年 QQ 盗号才开始兴起。”那时他才读高三,为了慰籍学习的苦闷,常常偷偷去网吧玩电脑,偶然机会了解到 QQ 木马,从此踏入黑客之门。 “早期 QQ 木马,就是伪装成木马的键盘记录器,整蛊同学、网友的不二神器。”这个方法后面就行不通了,因为 QQ 登录界面设计了软键盘,主流杀毒软件增加了反 HOOK 检测分析功能。 那个时候,盗 QQ 账号更多的是为了炫耀。
大二时,为了追求心仪的女孩,他决定送女孩一个 5 位数 QQ 号或者一个 QQ 靓号,为此用上了具备批量盗号功能的 QQ 木马:“真的是年少不懂事,否则也不会干这么荒唐的事,你问问哪些大牛,干过这事的都绝口不提。” 那个时候,恶贯满盈的“QQ 大盗”未现世,灰鸽子、上兴等远程控制木马也未客串,网上流传的都是简陋的 QQ 木马源程序,指定一个邮箱或者网站接收 QQ 用户名和密码,然后将木马传播出去,就可坐等鱼儿上钩了。 2003~2009 年国内病毒最为猖狂时期,一年新增病毒数量可超 4000 万个,QQ 木马是一个重要分支,黑客基地、校园黑客联盟等黑客网站都有针对 QQ 的专栏,甚至出现了“QQ 黑客”这个带有贬义的称呼。 为何是贬义?高手看不起那些只会用黑客工具的菜鸟,而 QQ 盗号形成一个黑色产业链,威胁多少人的利益,为世人不齿。 “有黑客负责编写、更新 QQ 盗号木马,有黑客负责批量盗号,有黑客负责将一万个 QQ 账号组合成一个‘信封’,如果这些账号原封未动,称之为‘一手信’,如果Q币、虚拟物品等被筛选过则称之为‘二手信’,一般‘二手信’更小,仅有一千个 QQ 账号,之后中间商负责倒卖‘信封’。” 面对 QQ 盗号木马不断攻击,当时的杀毒软件疲于奔命,腾讯也没闲着,2006 年 12 月研制了腾讯电脑管家的前身 QQ 医生,用户打开 QQ 登录界面 QQ 医生就会自动扫描。
QQ 医生不考虑其他病毒,专精防范与 QQ 盗号有关联的木马,有效降低了 QQ 被盗的几率。 然而有新的代码不断涌现,有加花、加壳等免杀技术附体,不得不承认这个时期 QQ 盗号木马掌握了主动权。 2010~2015 年:QQ 逐步压制黑客 转机出现于 2010 年 5 月。 QQ 医生升级为腾讯电脑管家,运用了当时最先进的云杀毒技术。这项 2009 年面世的杀毒技术起初倍受黑客嘲讽,很快他们就笑不出来了,杀毒软件用户数量越多,搜集可疑文件的速度就越多,预警及查杀新病毒的响应时间就越短。 如此一来,QQ 木马的生存周期大为缩短,甚至一个小时不到就能被杀毒软件识破真面目,QQ 逐步掌握了暗战的主动权。 这还没完,网址检测技术诞生后,跨站攻击链接、网页木马链接、钓鱼链接等想通过 QQ 传播就难了,不安全网址前缀有一个红色警示 Logo,而安全的网址前缀是绿色 Logo,一眼即可识别,而下载保护功能的出现可自动识别从 QQ 共享文件夹下载的文件是否包含病毒。 技术进步压缩了 QQ 盗号木马的生存空间,法律进步抑制了它们的生存土壤。 2011 年,《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》出台,公安机关严厉打击黑客攻击破坏活动,震慑了黑客圈,大批黑客放弃病毒制作,少部分黑客转向了流氓软件、勒索病毒和挖矿病毒,针对 QQ 的盗号行为已趋于末路。
木马专家万立夫这样对作者解释:“流氓软件主要是刷流量,这种打擦边球的灰色产业链不容易引起警方注意,勒索病毒和挖矿病毒都与虚拟货币有关,可更好隐藏病毒作者的真实身份。” 于是 2013 年之后,QQ 配上手机扫二维码登录方式逐步得到解脱(编者注:围绕腾讯游戏的盗号木马是在 2015 年步入低谷,这是另外一场艰苦持久的博弈),继而流氓软件逐步成为安卓平台的头号心腹大患,勒索病毒和挖矿病毒一跃成为当前病毒界“明星双煞”。 这个事情黑客并没有彻底认输,想出了不少曲线盗号手法。 · 模仿 QQ 官方页面 2010 年后网络钓鱼产业链已形成:专门有人设计钓鱼网站模板(利用模块可以在极短的时间内量产大量相似的钓鱼网站),专门有人搭建钓鱼网站,专门有人传播钓鱼网站,专门有人提供假身份证,专门有人提供电话服务。 那时,安全厂商每天鉴定的钓鱼网站数量在 8000 个~10000 个之间,而每天新增的钓鱼网站上万个,总有钓鱼网站成为漏网之鱼,威胁网民安全,一不小心访问了 QQ 邮箱钓鱼欺诈页面、QQ 安全中心钓鱼欺诈页面等,就可能双手将 QQ 账号和密码献于黑客。 · 以美女照片为诱饵 通过微博、论坛等渠道传播访问某某网站可以浏览漂亮美眉以及最新 XXX 艳照的消息,网友点击消息中的链接后,进入一个类似 QQ 空间的网页,网页的其他内容半透明,主内容是一个 QQ 登录窗口,只有输入 QQ 账号和密码才能浏览图片,总有色迷心窍的网友上当受骗。 · 刷Q币陷阱 黑客利用网民“天上能掉Q币多好”的愿景,炮制了数不清的刷Q币软件,这些软件吹牛的本事一个比一个强。 稍有谱的说利用腾讯漏洞窃取Q币,实际上根本没有所谓的任意刷Q币漏洞,离谱的说强行连接腾讯数据库窃取Q币、破解电信声讯服务系统窃取Q币,这两种窃取方法没有黑客做得到。 吹牛的目的当然是为了忽悠用户输入 QQ 号码和密码,体验神奇的刷Q币功能,事实上这些软件都是空壳软件,根本没用。 HOSTS 反黑文件作者、反钓鱼专家蒲浪向作者描述他做过的实验:“上百款刷Q币软件无一有效,有的图 QQ 账号和密码,有的直接骗钱,例如蓝鹰 QQ 刷币器,号称一次刷 50~200 个Q币,要先注册才可使用,每次注册用户被骗 2 元钱,钱流入北京天盈九州网络技术有限公司、怡丰联合科技有限责任公司的腰包。通过反编译,发现此类软件都是空壳软件,根本不具备任何实际功能。”
除了刷Q币软件,网上还有一堆 QQ 神奇软件(刷赞软件、图标点亮软件等),都是一样的套路。 QQ 的应对之法是启用智能拦截钓鱼网站技术,通过提取钓鱼网站的特征码,再根据钓鱼网站特征码拦截未知的钓鱼网站;拦截传播 QQ 空壳软件的网站。 黑客的这些新花招一公开就不灵了,只能昙花一现,QQ 终于获得全面压制优势。 不妨回忆一下,有多久没有听说身边人 QQ 被盗了。 2016 年~至今:与黑客化敌为友 QQ 盗号虽然威胁极大,但依然属于低级黑客玩的范畴,高级黑客青睐漏洞攻击、渗透攻击等,腾出手的腾讯令此类攻击逐步边缘化。这又是怎么回事呢?一个原因是腾讯安全崛起,另外一个原因是黑客转型白帽成为共识。 · 腾讯安全崛起 2016 年腾讯安全联合实验室正式成立,下设科恩实验室、玄武实验室、湛泸实验室、云鼎实验室等七大实验室,荟萃了大批顶尖安全高手。 譬如玄武实验室掌门人 TK,国际顶尖白帽黑客,公认的“黑客教主”,微软 2016 版全球黑客贡献百人榜,其名列第二,再譬如湛泸实验室掌门人 yuange,国际顶尖白帽黑客,公认的“黑客宗师”,2008 年北京奥运会特聘其负责信息安全…… 如今,腾讯白帽黑客军团与 360 白帽黑客军团称雄黑客技术前沿领域,在由微软、谷歌、苹果等全球知名互联网公司赞助的 Pwn2Own 黑客大赛上,两者多次拿到冠军,与美国白帽黑客分庭抗礼。 电脑报第一届黑客大赛冠军“小恐龙”打趣:“围绕 QQ 发到漏洞攻击、渗透攻击,普通的没有这个能力,高手又几乎是白帽黑客,后者以技术研究为主,会主动提交问题,自然不会造成实际影响。” · 黑客转型白帽 互联网公司越来越重视网络安全以及法律监管趋严,促使越来越多黑客转型白帽,针对这个问题作者曾采访过知名黑客“深灰色”,他坦言:“现在‘黑客’一词属于贬义,算是骂人的话,大家更喜欢白帽、网络安全工程师等称呼,为所欲为的时代一去不复返了。” 如今的网络安全岗,没有二三十万元是招不到硬手的,高手的话年入百万元也是可能的——2019 年 2 月 9 日,中国十大黑客之一 sunwear(已入职阿里巴巴)在微博发了招聘信息,信息显示渗透做得好年入百万元问题不大。
赚担惊受怕、朝不保夕的黑钱,还是赚体面光鲜、持久稳定的白钱,这个抉择并不难。 当下,腾讯将精力更多用于打击 QQ 群灰色产业,此类行为并不威胁 QQ 用户端、服务端的安全,但依然不会放纵,不过打击难度不小。 经人指点,作者在 QQ 群搜索中输入“挂号”,弹出北京协和医院等挂号群一堆。原来黑客攻击挂号预约系统,通过占坑屯号方式获得大量资源,然后将资源放到挂号 APP 平台上,黄牛通过 QQ 群招揽患者,患者通过挂号 APP 平台成功预约,黄牛和与黑客平分暴利。 这些 QQ 群里面只有黄牛、没有黑客,且存在大量潜在需求,封群无法彻底解决问题。 对此,腾讯将监控重心放到医疗平台端,其监控数据显示北京预约挂号统一平台每天至少存在 100 万次以上的恶意请求,下一步可考虑协助平台过滤恶意请求。 事实上,有的医疗平台端安全做得极差,例如某医院的预约系统的后台就使用了弱口令,输入用户名 53,密码 123456 即可登录看到 92 万多名病人的历史预约数据。
总结 20 年,QQ 从呱呱落地到少年初长成,一路走来大不易,从被黑客抢占先机,到反压制,再到化敌为友,取得了这场博弈的暂时胜利。 是的,仅仅是暂时胜利。随着黑客技术进步,是否会出现针对 QQ 用户未知的安全威胁现在谁都不敢断言,甚至未来国外黑客组织会不会下场博弈,这个可能性也不能排除。 但我们相信不管是腾讯安全、还是其他安全厂商,都会站出来与之斗争,得道多助失道寡助。 |
