QQ博弈黑客20年
圖片來源於視覺中國
文/高智
1999~2009年:黑客掌握主動權
在上世紀90年代黑客有一個姊妹翻譯駭客,更凸顯神祕、強大、驚人破壞力與對未知的恐懼。
那時的黑客追求技術世界和精神世界,而隨著本世紀初傻瓜化黑客武器的湧現,黑客的門檻越來越低,黑客隊伍逐步呈現魚龍混雜的局面,神祕光環自然褪去,駭客一詞也成為歷史的塵埃。
劍指QQ的盜號木馬就是典型代表,成為諸多黑客入門的啟蒙工具。
作者聯絡上一名不願透露ID、昔日校園黑客聯盟成員X磊,如今的他從事一份體面的滲透檢測工作,對過去的故事諱莫如深,一再請求之下終於姍姍道來。
“記憶中2001年QQ盜號才開始興起。”那時他才讀高三,為了慰籍學習的苦悶,常常偷偷去網咖玩電腦,偶然機會了解到QQ木馬,從此踏入黑客之門。
“早期QQ木馬,就是偽裝成木馬的鍵盤記錄器,整蠱同學、網友的不二神器。”這個方法後面就行不通了,因為QQ登入介面設計了軟鍵盤,主流防毒軟體增加了反HOOK檢測分析功能。
那個時候,盜QQ賬號更多的是為了炫耀。
大二時,為了追求心儀的女孩,他決定送女孩一個5位數QQ號或者一個QQ靚號,為此用上了具備批量盜號功能的QQ木馬:“真的是年少不懂事,否則也不會幹這麼荒唐的事,你問問哪些大牛,幹過這事的都絕口不提。”
那個時候,惡貫滿盈的“QQ大盜”未現世,灰鴿子、上興等遠端控制木馬也未客串,網上流傳的都是簡陋的QQ木馬源程式,指定一個郵箱或者網站接收QQ使用者名稱和密碼,然後將木馬傳播出去,就可坐等魚兒上鉤了。
2003~2009年國內病毒最為猖狂時期,一年新增病毒數量可超4000萬個,QQ木馬是一個重要分支,黑客基地、校園黑客聯盟等黑客網站都有針對QQ的專欄,甚至出現了“QQ黑客”這個帶有貶義的稱呼。
為何是貶義?高手看不起那些只會用黑客工具的菜鳥,而QQ盜號形成一個黑色產業鏈,威脅多少人的利益,為世人不齒。
“有黑客負責編寫、更新QQ盜號木馬,有黑客負責批量盜號,有黑客負責將一萬個QQ賬號組合成一個‘信封’,如果這些賬號原封未動,稱之為‘一手信’,如果Q幣、虛擬物品等被篩選過則稱之為‘二手信’,一般‘二手信’更小,僅有一千個QQ賬號,之後中間商負責倒賣‘信封’。”
面對QQ盜號木馬不斷攻擊,當時的防毒軟體疲於奔命,騰訊也沒閒著,2006年12月研製了騰訊電腦管家的前身QQ醫生,使用者開啟QQ登入介面QQ醫生就會自動掃描。
QQ醫生不考慮其他病毒,專精防範與QQ盜號有關聯的木馬,有效降低了QQ被盜的機率。
然而有新的程式碼不斷湧現,有加花、加殼等免殺技術附體,不得不承認這個時期QQ盜號木馬掌握了主動權。
2010~2015年:QQ逐步壓制黑客
轉機出現於2010年5月。
QQ醫生升級為騰訊電腦管家,運用了當時最先進的雲防毒技術。這項2009年面世的防毒技術起初倍受黑客嘲諷,很快他們就笑不出來了,防毒軟體使用者數量越多,蒐集可疑檔案的速度就越多,預警及查殺新病毒的響應時間就越短。
如此一來,QQ木馬的生存週期大為縮短,甚至一個小時不到就能被防毒軟體識破真面目,QQ逐步掌握了暗戰的主動權。
這還沒完,網址檢測技術誕生後,跨站攻擊連結、網頁木馬連結、釣魚連結等想通過QQ傳播就難了,不安全網址字首有一個紅色警示Logo,而安全的網址字首是綠色Logo,一眼即可識別,而下載保護功能的出現可自動識別從QQ共享資料夾下載的檔案是否包含病毒。
技術進步壓縮了QQ盜號木馬的生存空間,法律進步抑制了它們的生存土壤。
2011年,《最高人民法院、最高人民檢察院關於辦理危害計算機資訊系統安全刑事案件應用法律若干問題的解釋》出臺,公安機關嚴厲打擊黑客攻擊破壞活動,震懾了黑客圈,大批黑客放棄病毒製作,少部分黑客轉向了流氓軟體、勒索病毒和挖礦病毒,針對QQ的盜號行為已趨於末路。
木馬專家萬立夫這樣對作者解釋:“流氓軟體主要是刷流量,這種打擦邊球的灰色產業鏈不容易引起警方注意,勒索病毒和挖礦病毒都與虛擬貨幣有關,可更好隱藏病毒作者的真實身份。”
於是2013年之後,QQ配上手機掃二維碼登入方式逐步得到解脫(編者注:圍繞騰訊遊戲的盜號木馬是在2015年步入低谷,這是另外一場艱苦持久的博弈),繼而流氓軟體逐步成為安卓平臺的頭號心腹大患,勒索病毒和挖礦病毒一躍成為當前病毒界“明星雙煞”。
這個事情黑客並沒有徹底認輸,想出了不少曲線盜號手法。
• 模仿QQ官方頁面
2010年後網路釣魚產業鏈已形成:專門有人設計釣魚網站模板(利用模組可以在極短的時間內量產大量相似的釣魚網站),專門有人搭建釣魚網站,專門有人傳播釣魚網站,專門有人提供假身份證,專門有人提供電話服務。
那時,安全廠商每天鑑定的釣魚網站數量在8000個~10000個之間,而每天新增的釣魚網站上萬個,總有釣魚網站成為漏網之魚,威脅網民安全,一不小心訪問了QQ郵箱釣魚欺詐頁面、QQ安全中心釣魚欺詐頁面等,就可能雙手將QQ賬號和密碼獻於黑客。
• 以美女照片為誘餌
通過微博、論壇等渠道傳播訪問某某網站可以瀏覽漂亮美眉以及最新XXX豔照的訊息,網友點選訊息中的連結後,進入一個類似QQ空間的網頁,網頁的其他內容半透明,主內容是一個QQ登入視窗,只有輸入QQ賬號和密碼才能瀏覽圖片,總有色迷心竅的網友上當受騙。
• 刷Q幣陷阱
黑客利用網民“天上能掉Q幣多好”的願景,炮製了數不清的刷Q幣軟體,這些軟體吹牛的本事一個比一個強。
稍有譜的說利用騰訊漏洞竊取Q幣,實際上根本沒有所謂的任意刷Q幣漏洞,離譜的說強行連線騰訊資料庫竊取Q幣、破解電信聲訊服務系統竊取Q幣,這兩種竊取方法沒有黑客做得到。
吹牛的目的當然是為了忽悠使用者輸入QQ號碼和密碼,體驗神奇的刷Q幣功能,事實上這些軟體都是空殼軟體,根本沒用。
HOSTS反黑檔案作者、反釣魚專家蒲浪向作者描述他做過的實驗:“上百款刷Q幣軟體無一有效,有的圖QQ賬號和密碼,有的直接騙錢,例如藍鷹QQ刷幣器,號稱一次刷50~200個Q幣,要先註冊才可使用,每次註冊使用者被騙2元錢,錢流入北京天盈九州網路技術有限公司、怡豐聯合科技有限責任公司的腰包。通過反編譯,發現此類軟體都是空殼軟體,根本不具備任何實際功能。”
除了刷Q幣軟體,網上還有一堆QQ神奇軟體(刷贊軟體、圖示點亮軟體等),都是一樣的套路。
QQ的應對之法是啟用智慧攔截釣魚網站技術,通過提取釣魚網站的特徵碼,再根據釣魚網站特徵碼攔截未知的釣魚網站;攔截傳播QQ空殼軟體的網站。
黑客的這些新花招一公開就不靈了,只能曇花一現,QQ終於獲得全面壓制優勢。
不妨回憶一下,有多久沒有聽說身邊人QQ被盜了。
2016年~至今:與黑客化敵為友
QQ盜號雖然威脅極大,但依然屬於低階黑客玩的範疇,高階黑客青睞漏洞攻擊、滲透攻擊等,騰出手的騰訊令此類攻擊逐步邊緣化。這又是怎麼回事呢?一個原因是騰訊安全崛起,另外一個原因是黑客轉型白帽成為共識。
• 騰訊安全崛起
2016年騰訊安全聯合實驗室正式成立,下設科恩實驗室、玄武實驗室、湛瀘實驗室、雲鼎實驗室等七大實驗室,薈萃了大批頂尖安全高手。
譬如玄武實驗室掌門人TK,國際頂尖白帽黑客,公認的“黑客教主”,微軟2016版全球黑客貢獻百人榜,其名列第二,再譬如湛瀘實驗室掌門人yuange,國際頂尖白帽黑客,公認的“黑客宗師”,2008年北京奧運會特聘其負責資訊保安……
如今,騰訊白帽黑客軍團與360白帽黑客軍團稱雄黑客技術前沿領域,在由微軟、谷歌、蘋果等全球知名網際網路公司贊助的Pwn2Own黑客大賽上,兩者多次拿到冠軍,與美國白帽黑客分庭抗禮。
電腦報第一屆黑客大賽冠軍“小恐龍”打趣:“圍繞QQ發到漏洞攻擊、滲透攻擊,普通的沒有這個能力,高手又幾乎是白帽黑客,後者以技術研究為主,會主動提交問題,自然不會造成實際影響。”
• 黑客轉型白帽
網際網路公司越來越重視網路安全以及法律監管趨嚴,促使越來越多黑客轉型白帽,針對這個問題作者曾採訪過知名黑客“深灰色”,他坦言:“現在‘黑客’一詞屬於貶義,算是罵人的話,大家更喜歡白帽、網路安全工程師等稱呼,為所欲為的時代一去不復返了。”
如今的網路安全崗,沒有二三十萬元是招不到硬手的,高手的話年入百萬元也是可能的——2019年2月9日,中國十大黑客之一sunwear(已入職阿里巴巴)在微博發了招聘資訊,資訊顯示滲透做得好年入百萬元問題不大。
賺擔驚受怕、朝不保夕的黑錢,還是賺體面光鮮、持久穩定的白錢,這個抉擇並不難。
當下,騰訊將精力更多用於打擊QQ群灰色產業,此類行為並不威脅QQ使用者端、服務端的安全,但依然不會放縱,不過打擊難度不小。
經人指點,作者在QQ群搜尋中輸入“掛號”,彈出北京協和醫院等掛號群一堆。原來黑客攻擊掛號預約系統,通過佔坑屯號方式獲得大量資源,然後將資源放到掛號APP平臺上,黃牛通過QQ群招攬患者,患者通過掛號APP平臺成功預約,黃牛和與黑客平分暴利。
這些QQ群裡面只有黃牛、沒有黑客,且存在大量潛在需求,封群無法徹底解決問題。
對此,騰訊將監控重心放到醫療平臺端,其監控資料顯示北京預約掛號統一平臺每天至少存在100萬次以上的惡意請求,下一步可考慮協助平臺過濾惡意請求。
事實上,有的醫療平臺端安全做得極差,例如某醫院的預約系統的後臺就使用了弱口令,輸入使用者名稱53,密碼123456即可登入看到92萬多名病人的歷史預約資料。
總結
20年,QQ從呱呱落地到少年初長成,一路走來大不易,從被黑客搶佔先機,到反壓制,再到化敵為友,取得了這場博弈的暫時勝利。
是的,僅僅是暫時勝利。隨著黑客技術進步,是否會出現針對QQ使用者未知的安全威脅現在誰都不敢斷言,甚至未來國外黑客組織會不會下場博弈,這個可能性也不能排除。
但我們相信不管是騰訊安全、還是其他安全廠商,都會站出來與之鬥爭,得道多助失道寡助。