黑客可以厉害到什么程度？

黑客可以厉害到什么程度，我从一个小故事说起吧：

黑客是如何从一条诈骗短信剥丝抽茧查出骗子所有信息的。

• 每一次诈骗事件在黑客眼中都是能刺激多巴胺分泌的娱乐游戏。

坐标X市，市区一个老旧的巷子里。

桌上的烟灰缸已塞满了烟头，烟雾缭绕的会议室里诡异的安静，阿片一个人静静的坐在里面，陪伴他的或许还有那无形的压力。

快过年了啊，阿片呆呆的看着窗外，白色的雪花无序的飞舞着，老大早上的训话让他心情略感烦躁，能不能回家盖上房子娶上媳妇，可就看年底这一波冲刺了。

阿片叹息着翻出了手机通讯录，拨通了阿黑的电话。

阿黑是河北人，为人活泛，涉猎甚广。

喂，阿黑吧，上次那批货我要了。必须给我保证是新鲜的，烂大街的东西我可不要。

阿黑：咱们合作多少次了您还不放心呐，要不给您一点儿试试？

阿片：算了，只要货新鲜，我们就能消化掉

阿黑：我说你们也真够厉害的，还专门为这开发了个程序，这一批下去赚不少吧

阿片：就这次，收手了。

阿片说完挂断了电话，深深的吸了口气，拖着身子准备开工了。

时间不长，一条条没有营业执照的无线电波开始有目的的扩散了。。。

=====================================================

正题：

坐标帝都，5环外的一个公寓内。

唔~哈，老妈，这么早发视频来干嘛。

老妈：一休，你看看这个积分怎么兑换，省不少钱呢

我：都说多少次了不要这么叫我，会被朋友笑的

老妈：哎呀你这孩子，这么多年不都这么叫过来的，你看看这条短信，移动给我发的

“尊敬的XX女士，因您的话费积分没有兑换，12月底将全部清零，请登录xxxxx网站，下载客户端兑换287.80元话费礼包”。

我：换就换呗，真是麻烦艾，我瞅了一眼，这号码显示到确实是移动的。你把短信转发我，我帮你看看。

老妈还是挺聪明的，知道在微信发给我，短信一毛钱也是钱嘛。

手机打开网址扫了一眼觉得有些不对劲，立马转到了pc端。

呵呵，低劣的高档冒10086的钓鱼网站 ，这种智商的网页也想骗到我？

表面上看来跟真实的10086网站并没有很大的差别，这时候我去点击“现在就去兑换”按钮时，网页会跳转到另一个页面，这个页面会让你输入储蓄卡或者信用卡的银行卡信息。

继续研究，这是提示你选择收款银行卡种类页面

当你选择了收款银行卡种类后，网页就会跳出窗口提示你“恭喜您已成功兑换人民币￥288.00元，请您填写接收款项的收款信息并点击(激活)安装移动客户端打开激活才能领取成功！”

然后会跳转到一个填写你的信息的页面。和想象的有点不一样了，不都是直接骗人输入信息就完事了吗？怎么还要安装客户端？骗子高端了？

有意思，既如此，就陪你好好玩耍玩耍！

这是填写你银行卡信息的页面

这个时候如果你输入了你的个人信息，那么很不幸你的个人信息就已经被骗子获取了，赶紧去修改银行卡密码，或者先冻结你的银行卡。

按照我的尿性，看到这类网站必然是掏出神器一通扫描的，以骗子的智商和网络技术，显然并不足以和我抗争，23333

先想办法登你的后台吧，尝试利用XSS对钓鱼网站进行攻击

来到刚刚的“填写银行卡信息的页面”

这里要用到XSS平台，我可以自己搭建一个XSS平台但比较繁琐，我这么懒的人当然是直接在网上找一个免费的来使用。

看我左手右手一个慢动作，在开户银行这里审查元素成功插入XSS代码（获取COOKIE）

然后下一步，这个时候可以看到已经提交了，过一会就可以在XSS平台收到COOKIE了，可以看到网站提示“请点击"激活提款"下载安装并激活移动掌上营业厅客户端完成领取！

我们修改COOKIE登录网站后台 ，成功！

赶打开了收集信息的栏目，嗬。。琳琅满目的信息！怕是有上万条！

在该钓鱼网站的后台可以看到大量人在国内各大银行的网银信息已遭到了窃取。（因隐私问题已经对敏感信息打马赛克）

友情提示：由于这个事情涉及众多银行开户用户信息的泄露，我事后已第一时间将此事上报有关部门了。。。

警察叔叔我是无辜的，我不知道怎么就进后台了，真的！请你们相信我，我一点链接就进去了，我压根就不懂技术！我是良民！

最后：

你觉得这就完事了？不存在的。。。

很显然，现在很多人都使用了手机转账，并绑定了银行账户，这个钓鱼网站目的就是盗取用户的账户和密码。使用过网上银行的小伙伴们都知道，在网上银行转账都是要你自己手机的短信验证码的。那么犯罪分子是如何把你的钱转走呢？继续看看！

下一步计划是对假冒移动掌上营业厅客户端进行分析

刚刚我们输入个人信息提交后，网站跳到了另一个页面提示“请点击"激活提款"下载安装并激活移动掌上营业厅客户端完成领取！完成领取后￥288.00元将在24小时内到达您的账户,务必要激活,否则资金将无法到达！”

下载了移动掌上营业厅客户端 （伪造的）

我下载了这个客户端后发现这个一个APK（APK是AndroidPackage的缩写，即Android安装包）这个APK的名字是l0086，如果大家这里看清楚一点可以发现这个名字第一个不是数字10086，而是英文字母L的小写l。呵呵，幼稚的手法，比康帅傅还幼稚。

接着Apk反编译得到Java源代码

这里利用到工具Dex2jar和jd-gui,将要反编译的APK后缀名改为.rar或则 .zip，并解压，得到其中的额classes.dex文件。

将获取到的classes.dex放到之前解压出来的工具dex2jar文件夹内。

在命令行下定位到dex2jar.bat所在目录

输入d2j-dex2jar.bat classes.dex，效果如下：

这个时候在该目录下会生成一个classes_dex2jar.jar的文件，然后打开工具jd-gui文件夹里的jd-gui.exe来查看改客户端的源码。

通过反编译分析该软件

监听用户收到的短信

从下载的客户端中分析其中一段代码，该服务主要是在主页面中的oncreate创建的该类让服务总在前台运行，使之不被系统回收，之后动态注册各种监听器，以达到监听用户收到的短信。

卧槽，骗子野心很大啊。

看看下图。。世界有多险恶，你的手机简直就是一个移动监视器！

对手机各功能的的危险操作如下：

通过对客户端的配置文件分析可以知道该软件对手机各种功能的监控，想到这里，我不禁冷汗涔涔，骗我钱就算了，还要祸害我的朋友圈！

可以和你随时随地视频，查短信、查你通话记录、甚帮你发短信的服务，刺激不？

到这一步了，给我带来的乐趣也足够了，接下来，嘿嘿，我就不客气了！

仔细查找后在其中的一段代码中发现了骗子的联系方式，可以看到该邮箱账号是属于阿里云邮箱。从另一段代码可以看到骗子的联系方式，手机号码132XXXX，属于南京的手机号。

这显然还不够，继续扒证据。

利用刚刚的邮箱账号密码登录了骗子的邮箱，在这里可以看到受害人对软件的激活，卸载都会通过邮件方式发送到这个邮箱里面。

骗子就是在用这个邮箱接收“受害人的短信验证码” 也可以从上面对客户端的分析发现这个软件的功能不止是拦截短信，还可以获取你的通讯录从而达到很多的目的。

接着从服务器的ip地址中定位到了具体的地址，所有信息已全部提交给警方，该钓鱼网站现在也已关闭。

我们梳理下这次骗子钓鱼程序的流程：

1. 1.犯罪分子通过伪基站即假冒的基站伪装成运营商的基站冒用各种号码强行向用户手机发送诈骗、广告等短信。
2. 2.发送短信的内容一般为“尊敬的用户，因您的话费积分没有兑换即将清零，请登录xx网站，下载客户端兑换287.80元现金礼包”。从而骗取用户登录网站，并输入相关银行卡等敏感信息。
3. 3.钓鱼网站还会欺骗用户下载安装一个“手机营业厅”软件，这其实是个手机木马。这种木马会拦截银行发给你手机的网银转账验证码等信息，将其发给远程的骗子，导致资金流失。
4. 4.你该手机病毒下载安装之后，会提示用户在手机上激活设备管理器，实现自我保护目的，并监听拦截用户短信箱内指定号码发送过来的短信，进一步把监听到的短信内容，转发到嫌疑人指定的手机号码，并在后台偷偷删除指定短信内容，让人难以察觉。诈骗分子掌握了用户的银行账号密码等个人信息之后，可利用安装在用户手机上的病毒拦截用户短信验证码，并通过第三方支付平台等成功实现用户资金盗付。
   

来自白帽黑客的友情提示：

1. 1.当你发现手机在无信号的情况下仍然会收到推广、中奖、银行等相关短信，很可能用户所在区域被“伪基站”覆盖，请认真仔细甄别短信内容的真实性。
2. 2.不要轻信任何号码发来涉及银行账号和转账的短信，更不可向任何陌生账号转账。如确有转账需求，又正好收到转账短信涉及银行账号的，请再次核实账号相关情况。
3. 3.注意识别网站的官方网址，不要轻易点击短信息中收到的网址链接，以免手机中木马病毒，造成手机中资料信息被盗。
4. 4.虽然各类全家桶服务很烦，但是如果要想提示安全性，还是得装一个手机卫士啥的。

写在最后：

阿片今天有些心神不宁，年底的一波冲刺，已经让他腰包丰盈，他应该翘着二郎腿，思考思考买什么礼物，享受着回家之前的宁静了。

他不自觉的登陆了后台，查看了一下日志，发现并无异常。信息仍然在源源不断的涌来。

嗬，这些愚蠢的人。

阿片蔑笑道，拆开了新买的黄鹤楼1916，

淡淡的烟雾让他有种高处不胜寒的快感。

放下摇晃的小腿，阿片准备来点音乐舒缓一下心情，

这时，门铃突然响了起来。

想从零开始学习看这里：

这么炫酷的黑客技能你也能轻松学会

最后给大家出道题：

本文开头阿片（骗）找阿黑买的到底是什么东西？第一个猜对了的我就关注你哈哈。

不算是厉害，但有点逗比的经历。

大约是iPhone 6s比较流行那阵子，有家火锅餐厅搞了个活动，参加公众号游戏赢取iPhone 6s大奖，活动规则是在截止时间之前可以随便怎么玩，但只记录自己最高的分数，然后根据排位来决定大奖，然而，大奖只有一份，所以只有第一名能够拿到iPhone 6s。

在餐厅吃饭的时候得知这个活动，当晚我就行动了，是什么游戏我已经记不清楚，用Proxy代理抓了下公众号游戏的页面的网络请求，很容易就发现原来游戏过程并不重要，最后会提交一个分数到后台，而且并没有任何校验，所以这个Hack其实一点都不厉害，只用到我功力的一成。我看了下总榜，发现一切都还正常，为了不显得那么招摇，我将自己的积分放到了第三位，准备在时间快截止前再发起总攻，以便让数据增长看上去相对自然（也许我高估了后台，他们根本不会记录每次分数的，但小心驶得万年船）。

然而我觉得最厉害的是：终于快到最后截止时间了，我发现第一名的积分已经超过之前很多，而我已经跌出前三，当我多刷新了几次排行榜之后发现，原来这个世界上至少还有5个比我更不要脸的人，他们几番篡改已经将游戏积分提升至人类绝无可能达到的级别……

后来是谁拿了iPhone 6s不得而知，估计再往上篡改就要溢出了，而我虽然也Hack了，但我是有底线的……最后我获得了餐厅的100元代金券。

一个制作病毒的骗子被路过的女黑客轻松破解+各种调戏蹂躏后，竟不死心，又发布了新的勒索病毒版本。

那么该轮到我替天行道了：一次破解勒索病毒并人肉找到骗子住址的过程。

故事前传：

调戏勒索软件大黑客

【续集】再次调戏勒索软件大黑客

0x01 咱们先下载体验一下大黑阔的新作品

虚拟机运行勒索软件 这家伙把最新版的勒索软件改成一些极有吸引力的软件。

我们下载到虚拟机，解压出来以后运行。

恭喜你，你的电脑被锁了，想要解锁请支付比特币。

比特币没有，一巴掌要不要？

0x02 破解勒索软件三部曲

第一步；打开进程抓包工具，找到勒索软件的进程，然后双击。

第二步；点击勒索软件上面的重新生成KEY，然后在抓包工具里面找到经过base64加密的部分。

从图中可以看到两段经过base64加密的代码，我们进行解密

密文：VGhlWXVDaGVuZ0B5ZWFoLm5ldA==
解密：[email]TheYuCheng@yeah.net[/email]

密文：SWxsdW1pbmF0aTY2Ng==

解密：Illuminati666

第三步；下载Foxmail,把抓包得到的解密邮箱账号和密码填入Foxmail里面，然后登录以后在已发送列表里面找到对应自己电脑的ID，把解密的key复制下来即可解锁。

我这里因为在虚拟机测试了两次，所以产生的ID不一样了，不过只要你中招，你登录Foxmail里面都有解锁密码的。

解锁完成

0x03 事情还没完，既然你贼心不死，那么这次我就让你感受社工的恐惧吧。

首先我用小号查找了xiaoba的QQ3047861776 在他的资料面板上发现了QQ群，我用小号申请加入。

进入群以后发现，在群资料里面发现了他创建群的地址

咱们点击进去看看具体在哪个位置

为了验证这个地址是否真实，我用小号在查找他的时候，点开它资料，然后给他点赞。

然后打开QQ里面附近的人。

点击这里进入

点击这里

点击我赞过谁

点开大黑阔的资料

然后会发现距离和他有991km

现在我们伪造自己的GPS地址，把自己GPS地址设置成大黑阔群资料里面的地址，然后重复以上动作一遍。

然后我们得到大黑阔的详细地址

重新点开大黑阔的资料，发现距离他只有0.14KM左右，那么已经可以肯定大黑阔就是住在这里没错了。

通过百度街景地图看到就是在这个小区里面。

警察蜀黍，就是这个人，用勒索软件到处搞坏事，地址出来了，快去抓他。

故事前传：

调戏勒索软件大黑客

【续集】再次调戏勒索软件大黑客

想从零开始学习黑客的看这里：

>>>>黑客是如何学起的？

这么炫酷的黑客技能你也能轻松学会

>>>>你想了解的白帽黑客技能都在这！

Stuxnet病毒，破坏伊朗的离心机，将伊朗核计划拖延一年多。

还记得大三的时候，学校曝出 学生修改考试成绩 被开除的通报。

当时就想，能够修改 学校教务处的成绩系统，也算是人才啊。

就算比不上大黑客，退学也能够有口饭吃。

然后又详细看了下内容，发现是个 非计算机专业 的同学。

心想，厉害了，比我们学校计算机专业的牛B多了。

再往下看，，

该生 偷瞄老师登陆密码。。

一只猴子暴力黑了地府的轮回系统，把自家猴子猴孙从地府数据库删了。

陈同学补上了这只猴子的悲惨结局：

————————————————

陈明明1 天前

从删库到跑路，一气呵成。可惜还是没跑掉。局子里蹲了500年，出来外包给取经团队。被甲方产品经理唐小僧虐的体无完肤

过年回家饭局上碰到一个原来心仪的妹子，虽然已经4、5年没见面了，妹子见到我还是分外亲热，不仅主动挨着我坐着，居然还邀请我一起玩游戏，心中窃喜不已，哥们王者刚上了王者星耀，先好好炫一下技术，然后……

妹子就给我发来了这个：

下载一看，尼玛什么鬼，妹子居然也玩网络棋牌了，这种小游戏一般都很弱啊，要是能把他拿下来，岂不是可以让妹子好好崇拜一下，别人都说妹子喜欢一个男人是从崇拜他开始的……嗯……

言归正传，访问目标主站，只有一个游戏下载页面，暂时没发现什么有价值的东东，先放一放。

在 Android 模拟器上安装游戏，配置好 burpsuite 代理，并开始用 wireshark 抓包进行流量分析。启动游戏，发现 app 会通过 www.game1579.com 进行身份认证并获取游戏基本信息，另一个URL是 http://fjsss.ruiyoushouyou.com 。

简单测试了一下已知的几个API，未发现明显漏洞，同时发现该服务器安装有安全狗。

继续分析流量，发现了一个比较关键的功能：用户通过微信登陆成功后，APP会把用户头像上传到服务器上，在APP加载的时候从WEB服务器上读取用户头像。而文件上传的操作，是通过/Public/XmlHttpUser.aspx这个API来完成的。

1） 任意文件上传配合web.config绕过安全狗getshell

漏洞位置：http://www.game1579.com/Public/XmlHttpUser.aspx?type=AddImg

filename参数可以控制文件上传的文件名，配合../可以跨目录。但是直接上传asp或者aspx会被安全狗拦截，因此，此处需要利用web.config来让iis解析自定义的后缀。

但是这个服务器不能解析自定义后缀的aspx文件，只能为asp自定义后缀，尝试向当前目录写入web.config，将asdx解析为asp。然后写入asdx后缀的asp webshell，由于安全狗会拦截菜刀，此处只写入了一个最基本的cmdshell。

然后上传操作数据库的aspx shell，利用move命令将后缀改为aspx，读取web.config获得数据库连接字符串。此处简单把sql语句reverse了一下，防止安全狗拦截，然后就直接system了。

2） 后台

System是远远不够的，我一定要进后台满足一下小小好奇心。

读取iis配置，发现网站管理后台在8080端口的admin目录下，但是无法直接从外网访问到。读取iis日志，也发现admin的访问记录，分析发现应该是iis做了ip限制。截取一部分日志……

虽然你有限制，但我有system权限啊，上了一个meterpreter，抓到了系统管理员密码明文：Administrator NfrsWQ86r^n9$***

将8080端口转发到本地，分析web代码，从数据库中找到网站管理员的账号和密码hash，破解后得到明文，神奇后台闪亮登场：

一些令人惊讶的小发现

1）游戏采取代理进行管理

代理后台位于网站主站的AgencyPhone目录下，通过代理可以向任意用户发放钻石（房卡），游戏后台管理员可以给代理充钻石。

2） 钻石的有偿交易

在游戏中，玩家要进行对局，需要消耗钻石，APP提供了钻石购买功能，允许玩家使用微信支付来购买钻石，也可以向代理购买，代理向玩家出售钻石，并通过其他支付手段来收取费用，以进一步逃避监管。部分高权限的代理可以继续招收下级代理，所有代理与二级代理之间的交易都有据可查。

3） 游戏可以作弊

管理员不仅搭平台坐庄，还搞了一批“机器”做高胜率赚玩家钱。

后续的拓展

后续通过各种关联分析，又搞定了一批目标，过程太复杂，大概就是程序内特征+IP&域名+全网特征扫描：

以下为各APP抓取的明文密码与通用充值接口，根据其采取的充值接口一致、关联关系与密码一致性可以明确为一个团伙作案，用户总规模近100万，总金额由于大量采取代理线下交接，无法准确统计，但光代理产生的钻石流水就已经突破了公安部《关于办理网络赌博犯罪案件适用法律若干问题的意见》中规定的“赌资数额累计达到30万元以上的属于情节严重，处3年以上10年以下有期徒刑，并处罚金”。

总结

以上六个APP为同一团队运营，均为专业性赌博APP，用户规模近100万，不仅通过各级代理组织线上赌博，且通过后台操作胜率对玩家黑吃黑，既不合法、也不合理。老衲能做的只能是将之公布出来，后面的就交给警察叔叔了。同时也敬告aliyun、yundun等企业，服务器上架要做好监督与核查，欢迎jcss站内私信，更多证据链可以提供……

真人真事，转自FreeBuf。

所谓黑客的厉害，其实也不过就是网络安全研究同学们的日常，我们在西雅图有一间专门研究物联网安全的实验室，最近发现了一个僵尸网络，研究员同学顺手就把它给黑了，详情如下（为确保原汁原味，英文和翻译我都放在下面了）：

0.前言

In an irony of epic proportions, we observed that an IoT botnet variant, Owari, which relies on default/weak credentials to hack IoT devices was itself using default credentials in its command and control server, allowing read/write access to their server database.

我们的研究员最近发现了一个挺搞笑的事情：就是Owari这个利用物联网设备的弱密码来攻击它们的僵尸网络自己的数据库也是用的弱密码。听起来有点绕对不对？且待我慢慢道来。

1.Owari的MySQL数据库

Mirai botnet was designed to set up a MySQL server for the command and control containing three tables, namely users, history, and whitelist. While IoT botnets have evolved and many of them have different attack vectors, most of them still retain this tried and tested MySQL server structure, and Owari is no exception to this.

讲Owari这个物联网僵尸网络，就得先说说Mirai这个物联网僵尸网络的老祖宗。Mirai的数据库是MySQL的，里面有三张表：用户，历史和白名单。好多Mirai的后代都开拓了新的方式，不过数据库这块还是用老祖宗的多，Owari也是这么个好孩纸。

We observed few IPs attacking our honeypots with default credentials, with executing commands like /bin/busyboxOWARI post successful login. In one of the cases, a payload hosted on 80(.)211(.)232(.)43 was attempted to be run post download.

我们的某个蜜罐某天受到一个来自80(.)211(.)232(.)43这个IP的攻击，命令是/bin/busybox OWARI post successful login。我们发现发过来的载荷代码里面想搞一下post 下载。

When we investigated the IP, we observed that port 3306, the default port for MySQL database, was open.

处于黑客的直觉我们自然去看了看对方的IP，然后发现他们开着3306口，配置MySQL也不改个缺省端口，鄙视一下。

We tried to investigate more into this IP. To our surprise, it is connected to the attacker’s servers using one of the weakest credentials known to mankind.

我们就跑去试了一下对方的密码，结果发现：全世界人民都知道啊！

Username: root
Password: root

2.数据库里那点事儿

User table contains login credentials for various users who will control the botnet. Some of them can be botnet creators, or some can simply be the customers of the botnet, a.k.a black box users, who pay a sum of money to launch DDoS attacks. Besides credentials, duration limit such as for how much time the user can perform the DDoS, maximum available bots for attack (-1 means the entire botnet army of the bot master is available) and

cooldown time (time interval between the two attack commands) can also be observed.

既然门都没关我们就进去瞅了瞅。用户表里面是一帮控制这个僵尸网络的人的用户名和密码。有些应该是作者，还有一些是客户，也叫黑箱用户，就是交钱然后打流量。除了密码还有能用多久，用多少僵尸，如果是-1就是全军都能用，以及冷却时间，就是打过以后要休息多久的意思。

In the specific Owari case, we observe one user with duration limit of 3600 seconds with permissible bot usage set as -1(maximum). It is to be noted that the credentials of all these botnet users are also weak.

我们发现的这个Owari的例子里面，我们找到一个用户的时间是3600秒也就是一小时而且僵尸总量是-1，大客户啊。注意这里用户密码也是明文的，再鄙视一次。

User with duration limit of 3600 seconds with permissible bot usage set as -1(maximum)

In the history table, we can see DDoS attack carried out against various IPs. Few of these IPs were IoT botnet related which lead us to speculate that the attacker might have tried to attack his rival botnet operators.

在历史记录表里面，我们找到了历史攻击IP记录。好多IP地址都没啥关联，我们猜测是因为他们在打对手的僵尸网络，黑吃黑的意思。

History table

In the next table, whitelist which is supposed to have a “do not attack these IPs” information was empty, implying that the bot makes no discrimination, and attacks every device it can.

白名单表居然是空的，说明这个僵尸网络胃口很好逮谁打谁。

Whitelist table

This IP was not a standalone case with its database exposed via weak credentials. The MySQL database of another attack IP (80.211.45.89) was accessible with “root: root” credentials.

而且这个还不是孤例，另外一个IP(80.211.45.89)也是一样的root:root登录。

3.商业模式了解一下

With some of Owari variant code being leaked in dark forums, it is difficult to pinpoint the people involved in these specific attacks. However, to understand more about the working of this user database we decided to talk to one of the known Owari operators known as “Scarface” who had the following to say on the attack time, cooldown and the related prices charged for such users of Owaribotnet.

Owari的代码已经在暗网上面泄露了，所以很难找到原作者。不过我们还是找到了一位代号“疤脸”的僵尸网络操控者，让TA讲解一下攻击事件，冷却时间和Owari网络的使用价格。

“For 60$ / month, I usually offer around 600 seconds of boot time, which is low compared to what other people offer. However, it is the only way I can guarantee a stable bot count. I can’t allow having 10+ people doing concurrent attacks of 1800 seconds each. Usually there is no cooldown on my spots. If I decide to give the cooldown, it’s about 60 seconds or less. 60$/month is not much but when you get 10–15 costumers per month it is enough to cover most of my virtual expenses”

-Scarface

“一般我每个月收费是60美元，提供600秒的服务。这个价位跟同行比不算高的。不过只有这种方法我才能保证僵尸设备的数量。我不能让十来个用户每个人都跑1800秒。我一般不让设备冷却。如果要冷却时间，我一般会设置成最多60秒。一个用户每月60每月不算多，不过每月有10个到15个用户的话，我平时的网络费用就够用了”

-疤脸

4.善后

One can assume that once they have the write access to the MySQL database, they can disrupt botnet by deleting the content. Sadly, it’s not such simple in case of most IoT botnets as these CNC related IPs already have a very low shelf life (on an average, a week). Botnet operators are aware that their IPs will be flagged soon due to the bad network traffic. Hence to stay under the radar, they often voluntarily change attack IPs. Both the IPs mentioned in the blog are already offline. NewSky Security IoT Halo protects and remediates against the Owari botnet.

或许大家以为一旦拿到MySQL数据库的改写权限，就能删除数据来把僵尸网络给搞掉。可惜事情没有这么简单，因为僵尸网络控制服务器CnC的IP地址很快就会失效(平均有效期是一周)。僵尸网络的控制者知道自己的IP地址很快就会被标记为恶意，因为流量太差了。所以他们经常会主动的改变IP来躲开监控。我们文中提到的两个IP地址都已经下线了。青天科技IoT HALO可以帮助大家挡住Owari僵尸网络的进攻。

以上

本文作者：Ankit Anubhav, 青天科技高级研究员(NewSky Security)

特别鸣谢 Vesselin Bontchev 博士的帮助(@vessonsecurity)

翻译：李嵩 @美人她爹 青天科技首席技术官