如何围猎一名黑客——虚拟空间里的“指纹采集

如果你的每一条搜索记录，每一次软件的操作都被人监视，记录在案，并且加以分析，还写成分析报告。一个真实的你就如同显影液中的照片一般逐渐清晰，那么你很可能是一个被“重点关照”的犯罪嫌疑人。

性别为男性； （曾搜索关键词“街头丝袜美女”、“关于杨幂黄色的照片”查看图片，并且 向某贴作者支付论坛金币索取美女图片，建议有关部门向论坛索取数据进行追查。）

年龄范围猜测：15~20；

使用VPN； （曾经下载该软件。）

喜欢玩“摩尔庄园”游戏，玩PSP游戏机； （曾搜索关键词“摩尔庄园大鲤鱼什么”，曾访问网址下载PSP游戏。）

使用Windows XP操作系统；

可能喜欢玩YY等语音平台， 使用狼蚁营销旋风作为默认下载软件；（曾下载YY视频录制插件，且默认弹出的下载工具为狼蚁营销旋风。 ）

可能是明星“钟汉良”的粉丝； （曾查看明星“钟汉良”的照片，请求来源为百度图片，搜索关键字为：“钟汉良”。）

此人可能有近期出行计划。（曾在百度搜索“旅行小背包”查看图片。）

以上内容就节选自这样一份分析报告，报告中这个“可怜人”的兴趣爱好和所作所为一览无余。但这个人并不是一个普通人，他是一个黑客，同时也是一个犯罪嫌疑人。知道创宇团队正在奉命向公安机关提供一份有关他的溯源报告（由于保密需要，已隐去大量敏感信息），这里呈现的仅仅是初步信息，通过持续侦察，还有可能获得他的真实IP地址和地理位置。然而， 目前这名黑客很可能还丝毫没有察觉，对于他的包围圈正在越来越小。。。

知道创宇产品部总监 金皓

这位黑客“指纹”的采集者，就是知道创宇的产品部总监——金皓。作为知道创宇主要产品“创宇盾”的负责人，他的团队刚刚打退了黑客们在反法西斯纪念日期间对某些“敏感网站”的攻击行为。

黑客如何留下指纹？

我们的指纹库中有8000万个恶意IP，这其中有大约33万个活跃的 IP，在这些 IP 背后，就是那些活生生的黑客。无论黑客攻击是使用真实 IP 还是 VPN 代理 IP，都会进入指纹库，而黑客的攻击行为和攻击路线，也都会被同时记录。

金皓随手打开一家重量级网站的安全后台，数据显示这个网站正在承受流量约为7G的CC攻击。而在凌晨，攻击流量一度达到了20-30G。

后台显示某网站被攻击的实时动态和历史数据

在黑客指纹库里，每一个IP都会关联它的历次攻击行为，进而根据利用漏洞的能力和攻击威胁、频率等参数被分级。每个攻击者都会被标识上危险等级，满分为五颗星。金皓告诉雷锋网：

如果一个黑客成功利用了一个0Day漏洞进行入侵，那么他就有可能被标为五颗星；如果一个黑客运用了罕见的军用级别的漏洞扫描器进行探测，也会被定为四颗星或者五颗星。

除此之外，黑客们还会被加上各种描述标签。

某黑客的指纹信息

上图所示，就是一个黑客的指纹信息。对于图中的亮点，金皓解释说，由于该黑客经常搜索各种同性恋“专用词汇”，所以果断被贴上了“同性恋”这一标签。。。（关键词请自行脑补。）

那么问题来了，这些大神们如何得到黑客的搜索记录呢？

其实逻辑并不难。根据知道创宇提供的数据，“加速乐”、“创宇盾”等产品约保护了中国大约四分之一的域名。虽然最主流的百度、新浪微博等网站没有与知道创宇合作，但是这些在”创宇生态圈“之中的网站仍然提供了大量的“破案线索”。如果一个危险IP访问了知道创宇保护的网站，它的相关行为就被记录了下来。

而浏览器的特性决定了在点击可监控网站的前一跳同样是可以追溯的。也就是说，黑客是通过搜索哪一关键词，或者通过哪一网页进入监控的视野，是一览无余的。这样就大大增加了指纹监控的范围，于是在文首提到的黑客，他曾经搜索了哪些关键词，就可以被记录在案了。

谁是真正的对手？

过去的黑客可能大多是针对特定的网站，采取针对性的方式进行攻击，就像拿鱼叉“叉鱼”一样。而现在的黑客，大部分都进化成了“撒网捕鱼”的“渔民”。

金皓回忆，以往可能两年才会曝出一个国际的通用漏洞，但是现在这种“重量级”漏洞被爆出来的速度越来越快，几乎一年就会出现两三个。黑客们利用这种通用漏洞，可以一次性黑掉上千甚至上万个网站。所以，在黑客的世界中，那种一条条叉鱼的“田园诗”般的生活一去不复返了，取而代之的是有人专职织网（挖漏洞），有人撒网捕鱼（大批量黑网站拖数据），有人分销鱼肉（把盗取的信息分类变现）这样的工业化流水线作业。

这样的转变对于安全从业者来说其实是更简单了。因为他们不用针对特定的攻击制定应对计划，而是集中精力研究一个被曝光的通用漏洞，然后批量修复就好了。事实证明，在指纹库中活跃度黑客，大多数应用的都是已经曝出的通用漏洞，在33万活跃的黑客 IP 中，可能有32万 IP 都在利用已经有完整应对策略的漏洞，而真正的高手，正是那不到一万人的神秘魅影。这些人，才是知道创宇真正的对手。

“指纹库中底层的黑客会不断变换，而你会发现，真正的高手永远在榜首。你看不到他们，但他们真实地存在着。”说到这些对手，金皓脸上露出了笑容。研究这些四星、五星黑客进攻路线的时候，知道创宇的技术团队会进行一些技术反推，有时甚至会发现黑客使用的一些非常有价值的0Day漏洞。金皓说：“有时团队通过追踪黑客的指纹发现的重大漏洞，甚至比自主研究得到的漏洞还多。”

收集黑客指纹的内部系统界面

白帽子的反击战

对于金皓来说，即使黑客的攻击指纹再丰富，犯罪证据再确凿，他也没有任何权利进行反击。原因不言自明——“打人犯法”。