黑客眼中的你，勒索只需要三步 _黑客

前言 /preface/
近些年，勒索案件时有发生。每一个受害者都很震惊：黑客为什么会盯上我？黑客是怎么进来的？采购了那么多安全设备，怎么还是会被勒索？
第一步策略选择:薄利多销or高投高产
黑客发起勒索的目的是要赚钱，要计算成本和收益。
就像所有生意一样，黑客也有两种盈利策略：要么压低成本，薄利多销；要么高投入高产出，走高端路线。
01 薄利多销的攻击--无差别自动化攻击
如果你有维护过暴露在公网的服务器，你一定会发现，你的服务器有大量的访问量来自陌生的IP ，其归属地并没有你的业务或客户，这样的流量可能占到服务器总流量的50%以上。为什么会有这么高的陌生访问量呢？
原因就是公网上有大量服务器，不停的对全网所有IP扫描，寻找存活的IP及其服务。一旦发现某个IP有开放的服务，就会发起自动的攻击。常见的攻击有弱口令爆破（如针对SSH、RDP、数据库的爆破）和高危通用漏洞（Log4j反序列化漏洞、永恒之蓝漏洞）。

文章插图

黑客要做的只是搭几台服务器，不停的对全网发起探测、爆破、漏洞利用。一旦入侵成功，会自动对服务器价值进行评估——价值较高的，就发起勒索攻击；价值不高的，就运行挖矿程序。并留下后门，长期控制该失陷主机。

文章插图

很多人会说，我的服务器没有开其他端口，只开放 RDP 用于管理运维，且设置了复杂的密码，这样总没问题吧？
然而，很多勒索案件就是这样发生的。密码的强弱，不在于位数多或者有复杂的字符组合。关键在于，你的弱密码在不在黑客的字典里。黑客会不停收集各网站泄漏的用户口令，并通过各种组合产生巨量的密码字典。
为了绕过防火墙的防爆破规则，黑客会利用IP代理池发起爆破。目前网上有大量免费的IP代理池， IP每分钟更新。有大量的IP ，就不怕防火墙封禁。

文章插图

这类攻击的受害者，大部分是小微企业。由于安全投入不足，缺乏有效的网络安全建设和安全意识，给黑客留下可乘之机。
02 高投入高产出--针对特定目标的攻击
如果你所在的公司，业务发展迅速，业绩蒸蒸日上，知名度越来越大，千万不要忘了，惦记你的黑客，也会越来越多。
一方面随着企业实力增强，有更多资源投入到安全建设中，提高了安全水位。另一方面，随着业务发展，企业的分支机构、合作伙伴、客户也增多，网络结构复杂，网络边界治理变难，网络安全管理挑战增加。

文章插图

在黑客看来，企业支付赎金的能力和意愿也提高了，黑客有了更强的动机。
第二步信息收集：寻找攻击路径 01 公开信息收集
黑客在开始攻击之前，首先会进行信息收集。一般会收集目标企业的域名、子域名、IP、员工信息（姓名、职务、邮件地址等），以及企业的子公司、分支机构等。这些信息通过公司的官网、公告、新闻、网络空间搜索引擎等公开途径，都可以轻易得到。
收集信息的目的，是为了找到目标企业安全防护的薄弱点。
02 泄漏数据收集
有大量的泄漏数据在黑客论坛出售。数据内容五花八门，知名网站数据库泄漏的账号信息、远程桌面账号密码、企业员工无意间上传到github的登录密钥等。