点击兰花豆说网络安全,了解更多网络安全知识
2023年2月9日至20日,洪某伙同阳某、张某(均另案处理),通过分析并利用Yapi远程代码执行漏洞获取目标虚拟币网站权限后,实施了一系列非法行为。他们通过内网横向渗透、植入木马等方式控制了内网服务器,并下载服务器源码,分析出被害人苏某的一个虚拟钱包地址及其私钥。随后,他们构建虚假指令,将被害人虚拟钱包中的虚拟币转移,并兑换为其他虚拟货币出售,非法获利共计人民币250余万元。期间,郑某根据洪某的指示,伪造Dash币签名并广播交易,转移了被害人3015.9个Dash币。主要人员简介如下:
洪某,男,1994年生,高中文化,原奇虎360高级攻击研究院副院长。
郑某,男,1991年生,大学文化,360公司高级攻防实验室武器组组长。
洪某和郑某均为攻防技术人员,却为一己私利,利用自己技术专长走上了违法犯罪的道路,值得网安从业人员深思。随着网络安全行业红利消失,各大安全公司为了企业生存开始降本增效,采取优化员工或降薪措施,很多正规厂商员工贪图享乐或生存之需,开始抛弃信仰和情怀,铤而走险,走上黑产之路。作为安全厂商人员,比一般人更懂安全,就好比电视剧看多了,一些部队特种兵退伍之后从事犯罪活动,比一般犯罪人员更懂得反侦查一样。安全厂商人员一是具备足够的网络安全技术,二是更懂得网络安全防护产品,知道安全产品存在的漏洞,知道如何绕过,因此这类人员非常危险。一旦他们走上犯罪之路,将给网络安全行业带来更大的损失,作为安全厂商,应当加大员工培训力度,避免他们走上违法犯罪之路。
Dash币原名叫做暗黑币,是在比特币的基础上做了技术上的改良,具有良好的匿名性和去中心化特性,是第一个以保护隐私为要旨的数字加密货币。苏某通过搭建dash虚拟币交易网站从事虚拟币交易活动,本身也是一种违法行为。2017年9月4日,中国人民银行、中央网信办等七部委联合发布了《关于防范代币发行融资风险的公告》 (简称九四监管政策),自此中国境内再不允许比特币交易和其他代币发行融资。
其中yapi是一个可视化接口管理平台,由去哪儿公司开发,类似于RAP2、Easy Mock、Swagger,都是API接口管理工具。
通过作案时间来看,也是基于已经公开的yapi远程代码执行漏洞进行攻击,获取网站权限之后,进行内网横向渗透,获取网站源码进行分析,找出苏某的虚拟钱包地址及私钥等,进行虚拟货币转移之后兑换成人民币。
洪某和郑某作为安全厂商人员,自认为黑吃黑,苏某不会报警,毕竟都是违法行为。洪某和郑某也算不上攻防技术专家,只是具备一定攻防能力,但是贪图金钱,游走在法律边缘,事情做了屁股也没擦干净。如果真的是擅长攻防的技术专家,也不至于为了区区250万去冒这个风险,也不至于屁股也没擦干净。其中在暗网、电报、黑灰产交易网站等平台上有很多安全厂商人员和互联网厂商人员游走在法律边缘,违法网站开发(诈骗、黄赌毒等)、违法移动APP开发(诈骗、黄赌毒等)、开发网络钓鱼脚本、开发免杀木马、出售公民个人信息、售卖三件套、信用卡盗刷等违法犯罪活动。他们白天是公司员工,维护着网络空间正义;夜晚则是黑灰产人员,破坏着网络空间秩序。
对于普通的网络犯罪行为,这些违法犯罪人员主要通过已知漏洞或网络钓鱼方式攻击受害者,以网络钓鱼方式最为常见,引诱受害者点击邮件链接或附件,通过伪造的网址下载木马到本地、通过真实网站植入js代码下载木马到本地,通过文件、图片、视频等方式植入木马下载到本地等方式控制用户终端,获取有用信息。或者通过电报、whatsapp、line等社交群组发送包含木马的网站链接、图片、文档等等控制终端。或者通过推特、instagam等社交媒体发送包含木马的网站链接、图片、文档等控制用户终端。
总之,作为网络安全从业人员,应当坚守职业和法律底线,不应从事违法犯罪活动,应当协助执法机关打击网络犯罪,维护网络空间的安全。网络安全从业者拥有专业技能和知识,理应以正当的方式运用这些技能,保障网络安全,保护用户的隐私和数据安全。任何利用网络安全技能进行非法活动的行为,不仅违反法律,更背离了职业道德,必将受到法律的严惩。
作为企业和个人,应当加强网络安全防护,增强网络安全意识。企业应投入必要的资源和技术,建立健全的网络安全防护体系,定期进行安全审计和漏洞扫描,及时修补安全漏洞,防范黑客攻击。同时,企业应当对员工进行网络安全培训,提高全员的安全意识和防护技能,防止内部人员成为网络攻击的突破口。
个人应当提高网络安全意识,采取有效措施保护自己的信息和财产安全。首先,应当使用强密码,并定期更换,避免使用同一个密码在多个网站注册。其次,应启用双因素认证等额外的安全措施,增加账户的安全性。再次,个人应当保持警惕,拒绝诱惑,远离非法网站,不访问黄赌毒诈等不良网站,防止成为网络钓鱼的目标。此外,不随意点击来路不明的链接或下载不明来源的附件,避免电脑或手机感染病毒或恶意软件。
在网络时代,安全意识和防护措施缺一不可。只有每个人都行动起来,提高安全意识,采取有效的防护措施,才能构建一个更加安全、可信的网络环境。通过大家的共同努力,能够更好地防范和打击网络犯罪,维护网络空间的清朗和安全,保障我们的数字生活和财产不受侵害。
原文始发于微信公众号(兰花豆说网络安全):某头部网安企业前攻防技术人员窃取虚拟货币被判刑
评论