从一起特大黑客攻击案件所引发的网络安全思考( 节选一)

从一起特大黑客攻击案件所引发的网络安全思考（节选一）【编者按】
感谢网络信息安全专家、湖北警官学院兼职教授李恩忠供稿。

李恩忠教授是国内著名网络安全专家，实战经验丰富。

本文通过对国内一起特大网络安全事件的分析，清晰再现了黑客攻击的手段和路径。

确实是网络安全领域不可多得的好文。

【案件说明】：
国内知名游戏运营商A代理的大型游戏《C》海外服务器遭黑客攻击后，游戏服务端版本信息泄露，严重的影响公司正常运营，造成的评估损失高达数亿元。

因黑客技术过硬，加之A公司技术人员工作疏忽，采用“挂盘取证”，反被黑客获取盘上保存的报案材料，以至于公安机关尚未接到报案，报案材料却摆在了黑客案头。

所以在A公司向公安机关报案以后，黑客使用反侦察手段，用VPN代理服务器登录游戏服务器，按照报案所需资料进行数据销毁，作案计算机被拆毁，硬盘砸碎扔入江内；使用过的手机连同手机卡一并废弃；重要数据存入加密容器强加密后保存在不知情人手中；与网络有关的一切联系如QQ、邮件全部停用，凡是能证明其现实及网络行为的物证全部销毁。

嫌疑人曾扬言：一旦公安机关抓住我，他们会向我道歉！没有任何证据证明我们实施了这起案件！
天网恢恢，疏而不漏。

经公安系统两个月的艰苦调查，首先
1 厦门市美亚柏科信息股份有限公司
电话：(86-592)3929988 传真：(86-592)2519335 技术支持热线：400-888-6688 微博：@美亚柏科网站：
追查到黑客团伙中的两名主犯之一郑某某（男，19岁，重庆人，无业）于某地落网，随后追查另一主犯蔡某（男，30岁云南人，B安全公司信息安全员）于某地落网，韩某（男，28岁河南人，无业）也在7日后到公安机关投案自首。

【案发过程】：
●2012年4月23日，G国开发公司发现游戏内数据异常，等级
为2级的RGP角色，经验值为0。

●2012年4月24日，X国服务器管理员发现多台服务器内存在
WebShell木马，文件被创建、移动、打包，操作系统日志有改动痕迹，最终游戏服务端版本被打包并成功下载。

●2012年4月25日，A网络某市公司总部安全实验室接到X国
高层的求助后，正式介入进行安全事件调查，并向A公司C 市分公司转交提呈报案所需的全部数据资料。

【案件追踪】：
入侵过程
1.2012-1-16至22日之间黑客开始对目标
(ip:203.***.***.15)服务器发起入侵活动。

2012-03-07 03:57，黑客通过目标asp站点的Fckeditor编辑器任意
上传漏洞取得网站webshell权限
2 厦门市美亚柏科信息股份有限公司
电话：(86-592)3929988 传真：(86-592)2519335 技术支持热线：400-888-6688 微博：@美亚柏科网站：
3
厦门市美亚柏科信息股份有限公司
电话：(86-592)3929988 传真：(86-592)2519335 技术支持热线：400-888-6688 微博：@美亚柏科 网站：
2. 黑客通过webshell 成功提权，得到服务器管理员权限
.
*通过注册表信息分析，黑客有执行mimikatz 密码读取工具的记录，可能是在提权阶段使用该工具成功得到系统管理员账号密码
3.黑客通过提权获取的管理员(lewlian3)的用户密码远程登入服务器，于2012-03-12 21:31对服务器数据进行打包操作，打包文件名为：C:\SSHD\data.zip ，黑客在2012-03-12 22:28开始用18
4.***.***.25下载data.zip ，在2012-03-13 12:20完成了下载
4.2012-03-14 02:04黑客登入服务器清空系统日志。

黑客为保持对服务器的控制在服务器植入lpk.dll后门程序，并且3月初有后门被触发记录。

入侵定位通过对日志相关分析，以下用户存在入侵痕迹。

入侵时间入侵源IP IP归属地入侵行为
2012-03-07 03:57 119.***.***.118 重庆市电信访问Webshell木马2012-03-13 11:16 113.***.***.105 重庆市联通访问Webshell木马
4 厦门市美亚柏科信息股份有限公司
电话：(86-592)3929988 传真：(86-592)2519335 技术支持热线：400-888-6688 微博：@美亚柏科网站：
5
厦门市美亚柏科信息股份有限公司
电话：(86-592)3929988 传真：(86-592)2519335 技术支持热线：400-888-6688 微博：@美亚柏科 网站：
2012-03-13 23:06 14.***.***.228 重庆市电信 访问Webshell 木马 2012-03-14 21:10 119.***.***.140 广东省电信 访问Webshell 木马 2012-03-28 19:58 119.***.***.152 重庆市电信 访问Webshell 木马 2012-03-08 10:00 123.***.***.127 香港 访问Webshell 木马 2012-03-07 10:32 205.***.***.94 美国 访问Webshell 木马 2012-03-12 20:23 2012-03-12 22:28 184.***.***.25
美国
成功下载压缩包c.zip 成功下载data.zip ，20G 压
缩包, 2012-04-06 01:43 2012-04-06 02:21 14.***.***.191 119.***.***.140 重庆市电信 广东省电信
尝试并成功下载tuo.zip
*标红为重点入侵对象
1.通过对日志记录分析，有多处ip 访问了webshell 后门，其中ip 为184.***.***.25有下载服务器打包文件，该ip 可能为相关vpn 代理服务器ip ，ip 为14.***.***.191有成功下载tuo.zip 数据文件。

2. 通过相关日志分析以下用户存在较大嫌疑，通行证为R120******8537A ，角色名为whp 的游戏人物 登入游戏ip 与上述入侵ip 有相符记录，该用户曾以1：重庆IP 119.***.***.34、2：广东ip 为119.***.***.140，登入游戏，与攻击ip 记录的地域相吻合，其游戏数据存在明显的异常，角色等级2级，但是累计获得的经验值是0，存在非法修改游戏数据嫌疑。

下篇作者将会给我们分享案件的取证分析方法，以及案件带来的反思，尽请期待。