腾讯云上攻防战事（三）丨千里追凶，云上黑产虽远必诛

互联网飞速发展为人们的生活带来了便利，但同时也给一群利欲熏心的不法分子创造了活动的空间。

在虚拟的网络世界中利用技术进行犯罪，明目张胆地进行CDN劫持、招摇过市的DDoS攻击，带来的却是真金白银的收益。与巨大利益相比，网络犯罪的风险则显得极小，黑产团伙有如附骨之疽，寄生在广袤的网络空间之中，吸食着企业和用户的血液。

面对黑产，一味被动的防御显然不是最佳的手段，只有修炼内功，并外化配合司法打击，才能震慑宵小之徒。

在腾讯，一支由云鼎实验室和腾讯守护者计划共同组成的“云安全及黑产对抗打击联合团队”，竖起了这面与黑产对抗的大旗，在看不见的战场与黑产团伙短兵相接，守护着腾讯云和云上用户的安全与权益。

神秘弹窗，吸食流量的CDN劫持

相信大家在上网时都有这样的经历，点击一个正常的链接，但网页却跳转到了不堪入目的色情网站或者花花绿绿的赌博页面。

而这样满屏幕的花花绿绿的“性感荷官在线发牌”，正在成为网络诈骗的入口，大量不明真相的用户一旦把持不住好奇，就会陷入黑产设下的层层圈套中无法自拔，沦为被肆意收割的“韭菜”和随意宰杀的“肥猪”。

这些莫名其妙跳转出来的链接，就是典型的CDN劫持。它不仅会对个人用户带来诈骗风险造成经济损失；也对企业造成了巨大的声誉损害和用户流失，用户可能会因为产品体验受损而拒绝再次使用。

2018年，腾讯云接到个别用户投诉，有云上用户发现自己部署在云上的内容产品打开后排版混乱，并且被插入了包含赌博、色情、假药等恶意信息的广告。

云安全及黑产对抗打击联合团队根据丰富自己丰富的黑产对抗经验，敏锐地察觉到这些投诉背后并不简单，很有可能是黑产团伙在侵害腾讯云和云上用户的权益。

面对黑产团伙的挑衅，联合团队迅速出击，利用技术手段分析黑产团伙的作案手法，并搜集不法分子的作案证据。在此过程中，联合团队与司法机关紧密配合，发现在这次案件中，黑产团伙的作案手法相比以往又有更新，并且受害者远不止腾讯一家互联网公司。

（此次CDN劫持的手法分析）

联合团队在认真的研究和分析后发现，黑产团伙在国家骨干网等关键信息基础设施上进行流量劫持，这种作案手法极其隐蔽，规避了大多数互联网企业的安全策略，而这种链路劫持能够发布任意恶性信息，会对社会稳定造成极大危害。

2018年10月底，经过不懈努力，腾讯云安全及黑产对抗打击联合团队协助警方，将这个通过实施流量劫持获利上千万的犯罪团伙成功打掉。

而这已经不是这个联合团队第一次协助司法机关破获重大网络犯罪案件。

千里追凶，“暗夜”覆灭

面对国内司法机关和各大互联网公司越来越严厉的打击和愈发完善的安全策略，网络黑产团伙不得不向海外转移，把作案工具和主力人员迁移到东南亚诸国，来逃避法律的约束。

2017年针对腾讯云上的客户进行DDoS攻击的行为每天都在发生，其中最大的DDoS攻击流量峰值为557Gbps，平均每月最大峰值也达到了430Gbps，其猖獗程度不言而喻。

DDoS攻击，也称分布式拒绝服务攻击，简单来说就是黑客通过操纵“肉鸡”同一时间大量访问某服务器，最终导致被攻击的服务器无法正常使用。

就好像一间只能容纳10人的餐厅，门口突然被人雇佣了100个流氓地痞堵门，导致餐厅无法正常营业一样。

而黑产团伙以此攻击为要挟向被攻击企业勒索高额费用，甚至有的黑产团伙专门开发定制化的DDoS攻击服务，帮助无良企业打击竞争对手来牟取暴利。

虽然腾讯安全具有针对各种DDoS攻击的防御能力，足以保障腾讯云和云上客户的业务正常运行，但是云安全及黑产对抗打击联合团队还是毫不松懈，对当时腾讯云上遭遇的DDoS攻击展开了深入研究，挖掘攻击数据包背后的特点。

经过对攻击频率、攻击源分布、攻击spike的正态分布等进行分析后发现，虽然这段时间攻击的目标不断切换，但是攻击手法呈现出了相同的特点，种种迹象表明，一系列的DDoS行为出于同一个黑产团伙。

这个黑产团伙，就是业界“大名鼎鼎”的“一哥”——“暗夜”攻击小组。“它的攻击手法非常老道，黑客针对客户的业务IP实时监测，当业务IP发生变化时，立即切换攻击IP，且会攻击此业务上的多个关联IP，甚至包括同网段的多个临近IP，以对抗DDoS安全产品的IP保护功能。

并且“暗夜”使用的域名whois信息均为伪造，控制端的流量数据除了bot登录外，多为二次跳板服务器，或境外主机；联合对抗团队经过深入分析，发现“暗夜”很有可能是在境外发起的攻击。这让溯源工作又增加了一层难度，甚至停滞。

但是，面对对手的疯狂挑衅和愈发猖獗的进攻，联合对抗团队从未放弃，经过几十次不同方式的深入研究、复盘，最终在一台控制端服务器上发现了一点可疑的线索。通过对多个维度进行专业的分析与推导，联合对抗团队协助公安机关锁定了“暗夜”的犯罪证据。

一个长期盘踞在境外东南亚国家，对网络游戏、第三方支付、视频直播平台等多种互联网服务进行DDoS攻击，并且同时从事网络黄赌、打击同行竞品等各类违法犯罪活动的黑产组织，终于浮出水面。

在摸清了暗夜小组的组织架构和大致行踪后，公安部、广东省公安厅和深圳警方兵分数路开展侦查打击，东南亚和国内多个城市都留下了警方的足迹。终于，这个拥有国内近半数的DDoS黑产份额，控制大量肉鸡和僵尸网络，可发动的DDoS攻击流量高达800G的“全国第一”黑产团伙全军覆没，至2017年9月，暗夜小组团伙核心成员14人被悉数抓获，千里追凶终获成功。

不仅如此，在联合对抗团队的协助下，警方对藏身在无锡、徐州、重庆、山东等多个省市的DDoS攻击黑产团伙展开抓捕，针对购买攻击的主顾、肉鸡产业的上下游团伙进行了全链条打击。

经过这波集中打击治理，2017年，仅腾讯云在9月受攻击次数比5月骤降69%，100G以上攻击次数下降63%以上。

虽然腾讯云安全及黑产对抗打击联合团队已经多次在与网络黑产的对抗中胜出，但是这场看不见硝烟的战争绝不会轻易结束。作为一只主动出击的快速反应部队，只要有黑产团伙胆敢侵犯腾讯云及云上客户的的权益，联合对抗团队必当协助司法机关给予不法分子应有的惩罚。

➤推荐阅读

• 最高五万元现金！TSRC腾讯云业务安全专项今日开战
• 腾讯云上攻防战事（二）丨漏洞收敛，使敌不知其所攻
• 腾讯云上攻防战事（一）| 云上听风，不战而屈人之兵
• 紧急预警 | Windows 新“蠕虫级”远程桌面服务漏洞风险预警（CVE-2019-1181/1182）
• 官宣：云安全挑战赛开放赛已启动，给云服务挖“洞”你来不来？
• 预警 | ProFTPD远程命令执行漏洞风险预警（CVE-2019-12815）
• 业务出海，企业该如何解决这两个核心问题？
• 安全运营中心还可以这么用，送给云上处理漏洞应急的筒子们
• 如何利用云安全运营中心监测数据泄露
• 腾讯安全专家服务护航“如祺出行”上线！

关注云鼎实验室，获取更多安全情报