有人說大數據黑客，大數據攻擊早N年都在使用了，其實我是相信的，我們所知的“黑產”或“灰產”很多攻擊模式都是這樣，舉幾個例子：

曾經瘋狂的網馬產業鏈

知道創宇07年底就開始推出的全國第一個最全面的全國網馬監控系統（蜜罐里是HOOK IE很多系統APIs的沙盒系統），08年是這個系統的成熟期，也是網馬產業鏈持續高潮的時期，那時針對黑客攻擊的刑法修正案（七）還沒頒布，我們捕獲了數萬各種變形的網馬源頭以及大量的木馬病毒樣本，根據這些網馬的特征，我們發現幾個地下產業的團隊活動，當時我們就被這些團隊的行為折服與震撼。

這種折服與震撼放到之后的科普文章里寫吧，因為本次的主題是“工具黨”。

我們發現數萬網站一次性被黑，然后植入網馬（掛馬），就是通過工具批量進行，比如當時類似挖掘雞這樣的傻瓜工具，基本就是掛機掃描網站主機的常見服務端口的弱口令、Google Hack常見漏洞、后臺地址+暴力口令、SQL注入（尤其是SQL Server的）、IIS缺陷等，別小瞧，大規模模式下的攻擊，往往會有驚喜（因為這時需要用統計學規律來解釋，你知道嗎？），尤其是針對一個 0day（未修補的漏洞）。

挖掘雞太挫了？當然，編寫一個在Linux下高效工作，甚至集群工作的掃描器也很簡單，對于有經驗的黑客來說，就是幾小時的事:)

為了看AV

大家記住一點：一旦一個東東上升到了統計學層面，就得擔心了，舉個真實例子，我們團隊有個神一般的黑客人物，曾經（年輕人嘛），想得到某AV論壇的一些種子，要邀請碼才能注冊，手頭一時沒這個論壇應用的0day，怎么辦？他靈機一動，想出了個令我佩服得要死的高招……

這個論壇有個功能是可以列出所有在線用戶的（這個數量很可觀），在Linux下，他把這些用戶賬號全部采集到，然后結合弱口令123456去批量登錄（當時沒驗證碼），登錄失敗的狀態特征我們是知道的，一旦發現不是這個狀態特征，那就是成功了。通過這個方式，搞下數十個賬號，而且還有VIP的……

恩，他此時就是一個工具黨。

俄羅斯黑客

我們最近又發現一起和這個國家的黑客團隊有關的一起攻擊案例（黑產），這起案例放在下次科普介紹，這次回顧下2012/3/20我們發布的一篇文章《Web 應用漏洞的大規模攻擊案例分析》，由我們安全研究員小G撰寫，語言生動詼諧、精彩之極！忍不住要看等看完本文再點擊這：

http://blog.knownsec.com/2012/03/
web%E5%BA%94%E7%94%A8%E6%BC%8F%E6%B4%9E%E7%9A%84
%E5%A4%A7%E8%A7%84%E6%A8%A1%E6%94%BB%E5%87%BB%E6
%A1%88%E4%BE%8B%E5%88%86%E6%9E%90/

這篇文章當時就跟蹤出了背后的主謀：俄羅斯黑客。他們利用WordPress插件TimThumb的漏洞批量拿到目標網站的后門權限（Webshell），3500站點，批量掛了網馬，感染了全球150000用戶。手段之陰險毒辣，行為之狡詐令我們團隊咬牙。

要快速利用曝光了的0day（我們稱之nday）進行大規模攻擊，就必須成為工具黨，大規模、掛馬、數據采集、數據分析、精準投放……我們可以肯定，很多很多安全公司的團隊和他們比起來簡直弱爆了！

全球弱口令設備

膜拜一下，雖然我們團隊也做了些嘗試，可惜僅僅搞了幾個國家的，這樣全球的，而且還開放出來，包括paper、庫、統計，出自一人之手，這才是真的黑客。恩，他也是工具黨。自己膜拜去吧，地址：

http://internetcensus2012.bitbucket.org/paper.html

看完如上幾個案例后，我所說的工具黨是褒義詞，很多人鄙視用工具的，經常說：“啥技術含量都沒，負分，滾粗！”告訴你吧，一旦一個玩意上升到統計學層面（或者說大數據層面），這個威力就不小了，能玩好統計學，能玩好群體，是一種巨大的本領，別整天意淫自己，這個圈子背后有一批真正的牛人，如幽靈般地行走。

你相信我說的嗎？

附注：我們會持續性的進行安全科普，大家有什么問題可以在微信里給我們留言，我們會認真對待每份留言，并在下次發文時進行必要的解答。如果大家有什么安全八卦也歡迎投稿給我們，我們的微信：網站安全中心/wangzhan_anquan?？破崭淖兪澜?，我們一起努力讓這個互聯網更好更安全吧！