阿碼外傳-阿碼科技非官方中文 Blog: 2008年8月23日

2008年8月23日

電腦犯罪之數字搜查線(一) : 掛馬集團奧運也休兵

之前有看過一部影片,叫做「數字搜查線(Numb3rs)」 裡面就是有很誇張的數學模型,利用數學統計方式可以找到兇手、預測下一波的犯罪地點、對象甚至時間,不過我們沒那麼神奇,只是發現一些有趣的現象跟大家分享一下。

熱鬧的奧運即將閉幕,奧運期間在運動場上有運動選手的廝殺,網路上的你來我往更是場還沒有中止的競賽,現在的運動比賽講究的是資訊情報的蒐集,搞資訊安全也是,要能夠掌握威脅與攻擊的來源和手法,才能及早發現問題發布警訊和防禦措施。說也很巧,這陣子奧運期間,網路上的惡意網站與釣魚有一波搭著奧運順風車的主題,像是奧運門票、奧運照片還有各大新聞媒體的仿真惡意信件、攻擊奧運選手和奧委會的惡意信件。

但是都沒有下面我要談的這個有趣,奧運在8月8日晚上8點舉行開幕式的前後,惡意程式下載點(landing site)幾乎在瞬間都脫鉤(在此指:把domain name對應到其他連結不到的IP位址,或者停止活動),時間點就是晚上的八點多,大概和筆者一樣跑去看開幕轉播,還是跑去現場看鳥巢飛人,這就不得而知了。(註: 也有可能跑去吃飯、上廁所…不過按照以往的歷史資料顯示比較不合乎行為模式)

在這張圖可以看出來,8/8~8/14 奧運熱潮期間惡意網站活動量大量地減少(甚至停止活動),到了8/15(星期五)也是中元節(拜好兄弟的),竟然飆出破紀錄的活動量,看來是要弭補一下這一週的怠惰,還是碰上甚麼超自然現象(汗|||…)。



因為這次奧運在北京舉辦的關係,秉持著同一個世界同一個夢想的製藥理念(註:棒球比賽最常看到的廣告詞),再進一步分析下載點(惡意程式下載IP分布位於中國者)的位置分佈,冠軍是….北京市,之前有聽說北京這次奧運要封網,不過根據這次的資料統計結果,我們還是要把金牌頒給辛苦舉辦奧運的北京市。
(註: 下載點位置以美國地區最多,中國其次,台灣太小,排不上。)



同時在 Mass SQL Injection 的比賽項目中,也是有配合奧運開幕休兵的現象,8/7~8/8幾乎是全線休兵,至17日為止總計69個攻擊來源(來信索取 info_at>armorize.com),包含烏克蘭、土耳其、中國、臺灣、南韓、越南、澳大利亞、巴西、印度,基本上就像是一場小型的奧運會。這回第一名還是留給中國,第二名: 南韓,第三名: 台灣 (靠…又是銅牌)。記者來自北京現場的烤鴨報導~

註: SmartWAF 收到的攻擊來源,感謝 SmartWAF Team 的支援

作者 Jack 為阿碼科技 資安顧問

繼續閱讀全文...