白帽子
蜜罐------------------------------------------,“天网”基地地下一层。,也更冷。空调系统将温度恒定在18摄氏度,是为了服务器散热。霍林穿着林静给的军大衣,还是觉得指尖发凉。,里面装着刚刚组装完成的蜜罐系统。二十台服务器组成集群,通过光纤连接成一个独立的网络。机柜侧面贴着标签:“蜜罐实验区-绝密”。。每个人眼睛都布满血丝,但没人说累。“网络拓扑确认完毕。”一个年轻技术员报告,“所有节点单向连接,物理光闸已启用。数据只能从入口进,不能从出口出。模拟支付接口部署完成。”另一个技术员说,“用了央行提供的测试环境镜像,和真实系统相似度99.7%。”,屏幕显示着蜜罐的实时状态:一切正常,等待连接。“攻击流量引流配置好了吗?”他问。:“防火墙规则已经修改,将来自柬埔寨IP段的伪装流量,百分之十引流到蜜罐。比例不能太高,否则容易被察觉。百分之十够了。”霍林说,“我们要的是样本,不是全部。”。机柜里的服务器风扇同时加速,发出低沉的嗡鸣。屏幕上,数据流开始出现——绿色的代表正常访问,红色的代表攻击流量。很快,红色线条越来越多,像血管一样在网络拓扑图上蔓延。“流量进来了。”林静盯着屏幕,“第一个连接……是伪装成*****的数据包。”。表面看,它完全符合支付宝的接口规范:正确的商户号、合法的数字签名、标准的**ON格式。但他在交易金额字段发现了一个异常——金额是“0.01元”,但小数点后跟了二十个零。“这是缓冲区溢出测试。”霍林说,“攻击者在试探系统对超长数值的处理方式。如果系统没有做长度检查,这个数字可能会溢出,导致内存错误。”,然后继续观察。接下来的半小时,蜜罐收到了上百种不同的攻击试探:SQL注入尝试、文件包含漏洞探测、会话固定攻击、甚至还有尝试上传We*shell的请求。
每一种试探,都精准地瞄准支付系统可能存在的弱点。
“这不是随机扫描。”霍林对林静说,“攻击者对目标系统非常了解。他们知道用的是Oracle数据库,知道应用服务器是Tomcat,知道API接口的版本号。这是有**,还是……”
他想起在硅谷时听说过的一种攻击手法:供应链渗透。黑客不直接攻击目标,而是攻击为目标提供软件或硬件的供应商,在产品出厂前就植入后门。
“查一下支付系统的供应商清单。”霍林说,“特别是数据库中间件和API**的提供商。”
林静立刻去查。霍林继续分析蜜罐捕获的数据。他发现了一个规律:所有攻击试探,都在尝试触发同一个函数——交易日志记录函数。
为什么是日志记录?霍林皱眉。日志通常只记录信息,不执行敏感操作。除非……
他打开蜜罐模拟的日志记录模块代码,一行行检查。突然,他瞳孔一缩。
找到了。
在日志写入文件的那段代码里,有一个不起眼的字符串格式化函数:sprintf。这个函数如果使用不当,会导致格式化字符串漏洞——攻击者可以控制格式化字符串的内容,从而读写任意内存地址。
而这段代码的写法,恰好是危险的:sprintf(log_*uffer, user_input);
用户输入直接被用作格式化字符串。
“漏洞在这里。”霍林指着屏幕,“但不是后门,是开发人员无意中留下的*ug。攻击者发现了它,正在尝试利用。”
“能修复吗?”林静问。
“能,但需要修改源代码,重新编译部署。”霍林说,“支付系统的开发商是哪家?”
“金盾软件,国企。”林静调出资料,“他们的总部就在北京,我们可以直接联系。”
“不。”霍林摇头,“先别打草惊蛇。如果攻击者已经知道这个漏洞,我们一修复,他们就会察觉蜜罐的存在。我们要利用这个漏洞,反过来追踪他们。”
他有了一个大胆的想法。
“修改蜜罐的日志记录模块。”霍林说,“保留漏洞,但在漏洞触发时,不执行攻击者期望的操作,而是执行我们预设的代码——比如,在返回给攻击者的数据包里,隐藏一个追踪信标。”
“追踪信标?”林静没听懂。
“一种隐蔽的标记。”霍林解释,“在****响应头里加一个特殊的Cookie,或者修改某个图片文件的像素值,或者嵌入一段只有特定设备能接收的***信号。攻击者的工具收到这些标记后,会在后续通信中无意间携带它们,我们就可以反向追踪。”
技术员们面面相觑。这个思路太刁钻,也太冒险。
“如果被识破呢?”一个技术员问。
“所以我们不能用常见的追踪手段。”霍林说,“要用他们想不到的。”
他想起在硅谷时参与的一个实验项目:基于CPU微架构差异的设备指纹识别。每台电脑的CPU,由于制造工艺的微小差异,在执行相同指令时,会有纳秒级的时间差。这种差异就像人的指纹一样,独一无二。
如果能在蜜罐的响应中,嵌入一段精心设计的计算任务,让攻击者的电脑去执行,然后通过计算耗时反推CPU特征……
“给我两个小时。”霍林说,“我写一个脚本。”
他回到办公室,关上门。窗外模拟的夜景已经切换到凌晨模式——深蓝色的天空,几颗星星,远处有隐约的灯光。
霍林打开自己的加密笔记本电脑,连接基地的研发网络。他的手指在键盘上飞舞,代码像流水一样从指尖倾泻而出。
这不是普通的编程,这是艺术。他要在几十行代码里,实现一个完整的CPU特征提取算法,还要把它伪装成正常的网页J**aScript,让攻击者的浏览器自动执行。
难点在于隐蔽性。代码不能太大,否则会被安全软件检测;不能有明显特征,否则会被攻击者的人工**发现;还要能在各种浏览器、各种操作系统上稳定运行。
他写了一个小时,测试了三次,都失败了。要么代码被浏览器拦截,要么提取的特征不够精确。
**次尝试时,他换了个思路。不直接测量CPU时间,而是测量内存访问延迟。现代CPU都有多级缓存,访问不同层级缓存的速度差异很大。通过设计特定的内存访问模式,可以探测出缓存的大小和结构,这也是重要的设备特征。
这次成功了。代码只有5K*,看起来就像普通的页面统计脚本。但它在运行时,会悄悄执行一个缓存探测序列,然后将结果编码成一个32位的哈希值,隐藏在后续请求的Referer字段里。
霍林把代码上传到蜜罐服务器,配置好触发条件:只有当攻击者尝试利用日志漏洞时,才会返回这段特殊代码。
“准备好了。”他在内部通讯里说,“可以放开流量限制了。”
林静将引流比例从10%提高到30%。更多的攻击流量涌入蜜罐,屏幕上的红色线条几乎连成一片。
等待是煎熬的。霍林盯着蜜罐的访问日志,看着一条条记录刷新。大部分攻击试探都失败了——蜜罐模拟的系统虽然保留漏洞,但也做了安全限制,不会真的被攻破。
直到凌晨四点十七分。
一条特殊的请求出现了。它精准地利用了sprintf漏洞,传入的格式化字符串经过精心构造,试图覆盖内存中的函数指针,从而执行任意代码。
蜜罐“中招”了——当然,是假装中招。它返回了一个看似正常的错误页面,但页面里隐藏着霍林写的追踪脚本。
攻击者的工具收到了这个页面,解析,执行。五秒钟后,蜜罐的日志里出现了一条新的记录:来自同一个IP的后续请求,Referer字段里多了一串奇怪的编码——c3a*8a137e1038d9a9a1f8c5e6*7a2d1。
“抓到了!”霍林几乎从椅子上跳起来。
他**那串哈希,得到了一组CPU缓存参数:L1缓存32K*,L2缓存256K*,L3缓存8M*。这是英特尔酷睿i7-9700K处理器的典型配置。
“攻击者用的是一台搭载i7-9700K的电脑。”霍林说,“而且从请求间隔时间看,那台电脑在境外,延迟大约200毫秒。”
“能定位吗?”林静问。
“暂时不能,但有了这个指纹,只要那台电脑再次出现,我们就能认出来。”霍林说,“而且,攻击工具显然有自动化功能,它会保存会话状态,包括我们植入的Cookie。下次它攻击其他目标时,我们可能还能看到它。”
天快亮了。窗外模拟的天空渐渐泛白,基地里的灯光自动调暗,切换到日间模式。
霍林靠在椅背上,长长地呼出一口气。连续工作了十八个小时,他的大脑已经超负荷运转,太阳穴一跳一跳地疼。但他心里有一种久违的兴奋——那是解出一道难题、打赢一场战斗的兴奋。
办公室门被推开,李处长端着早餐进来:豆浆、油条、茶叶蛋。
“听说有进展?”他把早餐放在桌上。
霍林汇报了追踪信标的成果。李处长听完,沉默了一会儿。
“你比我想象的还要厉害。”他说,“但记住,这只是开始。‘棱镜’不是一般的黑客组织,他们背后有**级的支持。你今天挫败了他们一次试探,明天他们就会换一种方式。”
“我知道。”霍林咬了一口油条,酥脆,温热,“所以蜜罐要一直开着,而且要不断升级。我们要让他们以为漏洞还在,但实际上,每一个漏洞都是陷阱。”
“像捕兽夹。”李处长比喻。
“更像蜘蛛网。”霍林纠正,“静静地等,来了就粘住,然后顺着线找到老巢。”
窗外,模拟的太阳完全升起来了,金色的光洒满房间。基地里,新一天的工作已经开始。主控大厅的屏幕上,全国网络流量图又开始活跃,早高峰即将到来。
霍林吃完早餐,洗了把脸,重新坐回电脑前。屏幕上,蜜罐的日志还在实时刷新。那条携带追踪信标的IP,已经两个小时没有出现了。
但它一定会再来的。
就像猎人知道,受伤的野兽总会回巢。
霍林打开一个新的代码文件,开始编写下一个陷阱。他的手指在键盘上敲击,发出有节奏的声响,像心跳,像钟表,像这个永不眠的基地里,无数守护者共同的脉搏。
天亮了,战斗还在继续。
每一种试探,都精准地瞄准支付系统可能存在的弱点。
“这不是随机扫描。”霍林对林静说,“攻击者对目标系统非常了解。他们知道用的是Oracle数据库,知道应用服务器是Tomcat,知道API接口的版本号。这是有**,还是……”
他想起在硅谷时听说过的一种攻击手法:供应链渗透。黑客不直接攻击目标,而是攻击为目标提供软件或硬件的供应商,在产品出厂前就植入后门。
“查一下支付系统的供应商清单。”霍林说,“特别是数据库中间件和API**的提供商。”
林静立刻去查。霍林继续分析蜜罐捕获的数据。他发现了一个规律:所有攻击试探,都在尝试触发同一个函数——交易日志记录函数。
为什么是日志记录?霍林皱眉。日志通常只记录信息,不执行敏感操作。除非……
他打开蜜罐模拟的日志记录模块代码,一行行检查。突然,他瞳孔一缩。
找到了。
在日志写入文件的那段代码里,有一个不起眼的字符串格式化函数:sprintf。这个函数如果使用不当,会导致格式化字符串漏洞——攻击者可以控制格式化字符串的内容,从而读写任意内存地址。
而这段代码的写法,恰好是危险的:sprintf(log_*uffer, user_input);
用户输入直接被用作格式化字符串。
“漏洞在这里。”霍林指着屏幕,“但不是后门,是开发人员无意中留下的*ug。攻击者发现了它,正在尝试利用。”
“能修复吗?”林静问。
“能,但需要修改源代码,重新编译部署。”霍林说,“支付系统的开发商是哪家?”
“金盾软件,国企。”林静调出资料,“他们的总部就在北京,我们可以直接联系。”
“不。”霍林摇头,“先别打草惊蛇。如果攻击者已经知道这个漏洞,我们一修复,他们就会察觉蜜罐的存在。我们要利用这个漏洞,反过来追踪他们。”
他有了一个大胆的想法。
“修改蜜罐的日志记录模块。”霍林说,“保留漏洞,但在漏洞触发时,不执行攻击者期望的操作,而是执行我们预设的代码——比如,在返回给攻击者的数据包里,隐藏一个追踪信标。”
“追踪信标?”林静没听懂。
“一种隐蔽的标记。”霍林解释,“在****响应头里加一个特殊的Cookie,或者修改某个图片文件的像素值,或者嵌入一段只有特定设备能接收的***信号。攻击者的工具收到这些标记后,会在后续通信中无意间携带它们,我们就可以反向追踪。”
技术员们面面相觑。这个思路太刁钻,也太冒险。
“如果被识破呢?”一个技术员问。
“所以我们不能用常见的追踪手段。”霍林说,“要用他们想不到的。”
他想起在硅谷时参与的一个实验项目:基于CPU微架构差异的设备指纹识别。每台电脑的CPU,由于制造工艺的微小差异,在执行相同指令时,会有纳秒级的时间差。这种差异就像人的指纹一样,独一无二。
如果能在蜜罐的响应中,嵌入一段精心设计的计算任务,让攻击者的电脑去执行,然后通过计算耗时反推CPU特征……
“给我两个小时。”霍林说,“我写一个脚本。”
他回到办公室,关上门。窗外模拟的夜景已经切换到凌晨模式——深蓝色的天空,几颗星星,远处有隐约的灯光。
霍林打开自己的加密笔记本电脑,连接基地的研发网络。他的手指在键盘上飞舞,代码像流水一样从指尖倾泻而出。
这不是普通的编程,这是艺术。他要在几十行代码里,实现一个完整的CPU特征提取算法,还要把它伪装成正常的网页J**aScript,让攻击者的浏览器自动执行。
难点在于隐蔽性。代码不能太大,否则会被安全软件检测;不能有明显特征,否则会被攻击者的人工**发现;还要能在各种浏览器、各种操作系统上稳定运行。
他写了一个小时,测试了三次,都失败了。要么代码被浏览器拦截,要么提取的特征不够精确。
**次尝试时,他换了个思路。不直接测量CPU时间,而是测量内存访问延迟。现代CPU都有多级缓存,访问不同层级缓存的速度差异很大。通过设计特定的内存访问模式,可以探测出缓存的大小和结构,这也是重要的设备特征。
这次成功了。代码只有5K*,看起来就像普通的页面统计脚本。但它在运行时,会悄悄执行一个缓存探测序列,然后将结果编码成一个32位的哈希值,隐藏在后续请求的Referer字段里。
霍林把代码上传到蜜罐服务器,配置好触发条件:只有当攻击者尝试利用日志漏洞时,才会返回这段特殊代码。
“准备好了。”他在内部通讯里说,“可以放开流量限制了。”
林静将引流比例从10%提高到30%。更多的攻击流量涌入蜜罐,屏幕上的红色线条几乎连成一片。
等待是煎熬的。霍林盯着蜜罐的访问日志,看着一条条记录刷新。大部分攻击试探都失败了——蜜罐模拟的系统虽然保留漏洞,但也做了安全限制,不会真的被攻破。
直到凌晨四点十七分。
一条特殊的请求出现了。它精准地利用了sprintf漏洞,传入的格式化字符串经过精心构造,试图覆盖内存中的函数指针,从而执行任意代码。
蜜罐“中招”了——当然,是假装中招。它返回了一个看似正常的错误页面,但页面里隐藏着霍林写的追踪脚本。
攻击者的工具收到了这个页面,解析,执行。五秒钟后,蜜罐的日志里出现了一条新的记录:来自同一个IP的后续请求,Referer字段里多了一串奇怪的编码——c3a*8a137e1038d9a9a1f8c5e6*7a2d1。
“抓到了!”霍林几乎从椅子上跳起来。
他**那串哈希,得到了一组CPU缓存参数:L1缓存32K*,L2缓存256K*,L3缓存8M*。这是英特尔酷睿i7-9700K处理器的典型配置。
“攻击者用的是一台搭载i7-9700K的电脑。”霍林说,“而且从请求间隔时间看,那台电脑在境外,延迟大约200毫秒。”
“能定位吗?”林静问。
“暂时不能,但有了这个指纹,只要那台电脑再次出现,我们就能认出来。”霍林说,“而且,攻击工具显然有自动化功能,它会保存会话状态,包括我们植入的Cookie。下次它攻击其他目标时,我们可能还能看到它。”
天快亮了。窗外模拟的天空渐渐泛白,基地里的灯光自动调暗,切换到日间模式。
霍林靠在椅背上,长长地呼出一口气。连续工作了十八个小时,他的大脑已经超负荷运转,太阳穴一跳一跳地疼。但他心里有一种久违的兴奋——那是解出一道难题、打赢一场战斗的兴奋。
办公室门被推开,李处长端着早餐进来:豆浆、油条、茶叶蛋。
“听说有进展?”他把早餐放在桌上。
霍林汇报了追踪信标的成果。李处长听完,沉默了一会儿。
“你比我想象的还要厉害。”他说,“但记住,这只是开始。‘棱镜’不是一般的黑客组织,他们背后有**级的支持。你今天挫败了他们一次试探,明天他们就会换一种方式。”
“我知道。”霍林咬了一口油条,酥脆,温热,“所以蜜罐要一直开着,而且要不断升级。我们要让他们以为漏洞还在,但实际上,每一个漏洞都是陷阱。”
“像捕兽夹。”李处长比喻。
“更像蜘蛛网。”霍林纠正,“静静地等,来了就粘住,然后顺着线找到老巢。”
窗外,模拟的太阳完全升起来了,金色的光洒满房间。基地里,新一天的工作已经开始。主控大厅的屏幕上,全国网络流量图又开始活跃,早高峰即将到来。
霍林吃完早餐,洗了把脸,重新坐回电脑前。屏幕上,蜜罐的日志还在实时刷新。那条携带追踪信标的IP,已经两个小时没有出现了。
但它一定会再来的。
就像猎人知道,受伤的野兽总会回巢。
霍林打开一个新的代码文件,开始编写下一个陷阱。他的手指在键盘上敲击,发出有节奏的声响,像心跳,像钟表,像这个永不眠的基地里,无数守护者共同的脉搏。
天亮了,战斗还在继续。