狩猎网络罪犯——黑客视角的开源情报实战

前  言

我最近参与了一起针对市值达数十亿美元企业的黑客攻击的调查工作，被盗的数据在“地下圈子”兜售。在发现这一点后，我立刻联系了这家企业，他们问了我很多问题。由于我在此次调查的前期已经开展了大量工作，所以，这家企业让我代表他们与威胁行为者联系，试图获取关于此次违规行为是如何发生的等更多信息。

以下内容是名为NSFW的威胁行为者提供的文章的一部分，我们将在本书后续更加详细地介绍这个人和他的组织。文章详细描述了他是如何入侵该组织的网络的，其过程非常复杂，绝非普通的黑客所能达到。

整个入侵过程是精心组织并实施的。

文中的敏感信息已修改。

读到这里，我对文章作者在这一攻击事件中付出的努力印象深刻。抛开结果不谈，客户同样也非常吃惊。

这次攻击事件有一个圆满的结局。我向客户提供的有用情报能够让他们确定违规是如何发生的，他们将采取适当的保护措施来确保类似的情况不会再出现。

我们的工作原点不应该像许多威胁情报公司所做的那样，为客户提供与假想的威胁行为者相关的通用TTP（策略、技术和程序）的无用文章，而是尽可能给出威胁行为者是如何破坏他们系统的详细信息。

很多公司对黑客这一群体的认知仅来源于阅读分析报告，但从未真正从核心上了解攻击是如何发生的。实际上，作为狩猎威胁行为者的一个环节，调查者可以直接与他们进行交谈。他们通常非常开放，并乐于吹嘘他们是如何做到的，因为在某种程度上，所有黑客都想出名，虚荣心总会战胜安全操作（Operation Security，OPSEC）。

我之前也与NSFW谈论了与他有关的其他几位黑客们的事情，他也很爽快地坦白了他是如何完成攻击的。

如果读者足够细心，将会注意到他提供的文本中的几个拼写错误和独特的写作风格。常见的拼写错误或区域差异（如organisation与organization）是非常重要的调查线索，我将在本书中讨论。

在进一步探讨之前，让读者了解我是谁很重要，这能说明是什么让我与众不同，也可以让读者更早习惯全书中将会充斥的枯燥幽默和讽刺文法。

我的故事

开始写这本书时，我问过自己一个简单的问题：我有资格写这本书吗？直到今天，我的回答仍然是“可能不会”。我不相信一个人可以掌握关于某个领域的全部知识，这就是你会在本书中找到来自其他行业专家提供的技巧和故事的原因。

我钦佩并尊重为本书做出贡献的每个人。我非常了解他们的工作，因而我相信他们独特的观点都成为我在本书中随后讨论内容的有力佐证和补充。

在开始之前，下面有一些关于我是谁，以及我为什么做这件事的理由。

1. 往事

当我父亲带回家一台IBM PS/2时，我大约10岁。虽然我不知道它是什么、能做什么，但我被迷住了。那是Windows 3.1之前的时代，我仍然记得启动这台计算机之后出现的DOS提示符，它使我感觉非常震撼。整个事情就像一个巨大的谜题，深深地吸引了我。

我是一个狂热的拼图迷，越复杂的事情越对我的胃口。我的优势（也是公认的弱点）之一就是除非我找到复杂问题的解决方案，否则我决不认输。有些人将这种行为称为“强迫症”，我同意，也承认这一结论。

有时凌晨4点我仍然在工作，因为我就是停不下来。工作是我的一部分，也是我觉得自己非常擅长做某些事情（不论是试图入侵系统，还是在刑事调查背后还原事情的真相）的重要原因。

2. 寻根锐舞

20世纪90年代后期，我作为Web开发人员开始了编写HTML和JavaScript的职业生涯。

我在新泽西州长大，一直很喜欢电子音乐。我也对锐舞文化[1]着迷，像Limelight和Tunnel这样的夜总会对我而言非常重要，我渴望成为其中的一员。

不幸的是，这些俱乐部对会员有21岁以上的年龄要求。这很麻烦，因为当时我只有16岁。所以，我自学了HTML，并提出为俱乐部的一位常驻DJ建立一个免费网站。从那时起，我就可以和他一起进入俱乐部，因为我是他的“网络伙计”。

相比之下，渗透测试并没有太大的不同，关键是要了解规则是什么，然后找出绕过规则的方法。这就是我一生都在以某种方式进行渗透测试的原因。

我一直很擅长寻找绕过规则的方法，我认为这是大多数渗透测试人员的共同特点。

不要误会我的意思，规则仍然很重要。有些人喜欢在定义明确的沙盒中生活，而另一些人则喜欢应对挑战、尝试突破，我属于后者。

3. 开发商业模型（使用激光！）

2011年的一个晚上，我在正在访问的网站上启用了Burp套件并开始运行被动风险扫描，这是我和大多数同行浏览互联网的一致模式。

我告诉我的妻子有一个很棒的网站，那里出售不同颜色的高功率激光器，我希望她能让我买一个。虽然这一请求被断然否定了，但令我惊讶的是，Burp套件在这个网站中发现了一个被动SQL注入漏洞。

对此我必须检查一下。我没费什么力气就找到了用户列表，以及对应的口令散列值。如果想以管理员身份登录，那么我必须破解管理员口令的散列值。由于管理员口令是类似“Admin123”的变体，我通过在线哈希破解器立刻找到了它。

我顺利登录了网站，能够访问包括系统记录、用户账号、订单信息等在内的所有内容。

 说明

我后来意识到这个行为并不完全是“合法的”，但请不要用道德准则评判我，因为做任何事情都必须从“某个地方”开始。此外，这个故事有一个美好的结局。

正是在那一刻，我感受到了创业的火花。如果我将获取这些信息的方法提供给站点所有者，让他们能够修复SQL注入错误，从而防止其他人以同样的方式再度入侵，那么他们肯定会用一些很棒的高功率激光器来回报我的善举吧。

我现在拥有一台2000mW蓝色激光器和一台1000mW绿色激光器。激光确实很强大，它们能烧坏许多东西。

相比该站点修复了SQL注入漏洞更重要的是，我拥有了一套为需要帮助的人们提供服务的商业模型。

在这个过程中，我学到了非常宝贵的经验：如果你先入侵一个网站，再尝试向客户提供修复漏洞的解决方案，同时要求以他们网站上出售的产品作为“小费”，那么这种行为可以被解释成“敲诈勒索”，而这显然不是我的意图。虽然我认为我在与该网站CEO的电子邮件沟通中进行了明确陈述，但回想起来，我当时的确有可能会陷入麻烦中。因此，虽然这种特殊的实践对我来说十分奏效，但显然我需要进一步努力来完善我的商业模式。

4. 教育经历

我在美国国防部工作时，某天我从一位高级领导那里听说他将招募一位刚刚通过“道德黑客”（也称为白帽子）认证的人加入他的团队。

我认为我也可以做到这一点，因为我已经拥有了破解事物的技能，并且我一生都在这样做。“道德黑客”听起来是一条很好的职业道路，可以做一些我真正喜欢的事情，于是我立刻开始着手研究。

这时，我已经有了学士学位。我在高中时就开始从事技术支持工作，后来只上了一个学期的大学就辍学了。直到很久以后，我才决定去完成我的在线学士学位。

经过一番研究，我在西部州长大学（WGU）找到了一个专门研究信息安全的硕士课程，并将道德黑客（CEH）认证和黑客取证调查员（CHFI）认证作为攻读硕士学位课程的一部分。

几年后，我取得了硕士学位，并获得了所有我想得到的证书。回想起来，我觉得当时我很像阿甘跑遍美国那个场景：既然我已经做到了这一步，那么我还不如继续前进。我决定跳过CISSP认证这一“规定动作”，去攻读博士学位。

我又花了大约4年的时间参加在线课程，撰写了名为《不同行业CISO对网络安全框架有效性的认知》的论文，并于2018年获得博士学位。

5. 创建夜狮安全

在与多家大型组织合作，包括担任RSM（排名前5的会计师事务所）的安全服务总监后，我对如何执行渗透测试和风险评估形成了独特的见解。我知道我能够提供更好的东西。

2014年，我决定创办自己的安全咨询公司——Night Lion Security。我的愿景是组建一支由黑客和渗透测试人员组成的精英队伍，为客户提供全面而有用的调查报告。

成为一家初创网络安全咨询公司本身就已经够难的了，试图与Optiv、毕马威、SecureWorks、AT&T等巨头竞争就更加困难了。

我觉得我们能够在这样一个过度饱和的市场中脱颖而出的重要原因，是我们积极接触新闻和媒体并频繁出现在电视上。这也是客户愿意与一家从未听说过的小型初创企业合作的核心原因之一。

虽然我因为在电视上进行“自我推销”而受到批评，但我觉得这是值得的，因为这样能让我以一种难以替代的方式回馈社会。

我们最近完成了对一家大型上市银行的渗透测试。测试结束时，银行的安全副总裁特意告诉我，我们的测试是他们开展过的“首次实质性渗透测试”。过去所有经董事会批准为他们提供服务的大型网络安全公司，都只是进行了例行的漏洞扫描工作，而我们能够为他们提供更有价值的东西。我非常感谢他告诉我这一点，同时对此感到非常自豪，因为这正是我创办公司的初衷。

6. 数字调查与数据泄露

我向数字调查工作的过渡是如此无缝，以至于根本称不上过渡。我甚至不会说我“转向”了它，因为我平常所做的事情就是数字调查：处理事件响应案例、渗透测试、解决复杂问题。它们本质上是一样的，都是为了破解谜题。

在很多个客户案例（识别数据泄露和非法使用）中，如何妥善处置事件调查的后果，有时比事件查找和曝光的过程本身更具挑战性。

我破获了一些备受瞩目的数据泄露事件，包括Exactis、Apollo.io、Verifications.io等（将在第14章中详细讨论），这些事件披露后带来的后果都大不一样。

Verifications.io特别有趣，因为我们发现其泄露的数据实际上是从其他人那里窃取的。事实证明，这家公司完全是假的，在我们介入调查后，他们关闭了全部网站。

也有很多次，我绕着圈子向数十家公司发送数据副本，试图找出数据的所有者。

需要注意的是：如果向一家公司询问与他们有关的数据非法使用（或泄露）事件，该公司没有义务透露数据是否真正属于他们。

尽管各个行业的人可能都在努力做正确的事情，但公司不得不公开承认数据非法使用（或泄露）将会为他们带来重大后果——因为几乎总是有人会被解雇，或者更糟糕。

在第14章中，我详细介绍了对Exactis数据泄露事件的发现过程。当他们的CEO在周六晚上给我发短信询问，我为什么要毁了他的事业时，这一点也不有趣（也不轻松）。一切都会起起落落，但归根结底，我喜欢我所做的事情。

我用现实生活中的故事、场景和技巧填满了这本书，它是我过去二十年生命的巅峰之作。希望有一天它能帮助你开展自己的网络调查。

那么，让我们进入正题吧。

当你的组织被网络犯罪分子盯上时，你需要做好反击准备。调查安全攻击事件通常是组织自己的责任，因此，开发一个能够帮助你追踪犯罪分子的强大工具包是必不可少的。 本书提供了多种经验证的技术来分析非法网络流量的来源，从公开可用的网络资源中获取情报，追踪那些对你的组织造成威胁的网络罪犯。本书通过易于理解的示例，为调查网络安全事件提供了重要指导。哪怕只有一个IP地址，你也可以开启一次调查之旅，挖掘用来加强防御、协同执法部门甚至将黑客绳之以法的必要信息。本书可以让我们了解到Vinny Troia（作者）在调查网络恐怖组织“黑暗霸主”成员过程中使用的独特方法和实用技术。除了展现作者的专业知识，本书还引入了其他行业专家的智慧（包括Alex Heid, Bob Diachenko, Cat Murdoch, Chris Hadnagy, Chris Roberts, John Strand, Jonathan Cran, Leslie Carhart, Nick Furneux, Rob Fuller, Troy Hunt和William Martin等）。

文尼·特洛亚（Vinny Troia），博士，CEH1, CHFI2，Night Lion Security 网络安全咨询公司负责人，公司位于圣路易斯，致力于提供顶级的白帽黑客和风险管理服务。特洛亚被公认为是网络安全领域的思想领袖，是网络安全相关问题的媒体专家，主要研究企业数据泄露、网络法律和立法、航空和车载系统黑客攻击及网络安全相关问题。长期以来，通过编代码、解决复杂问题、自学计算机技能，特洛亚在IT 安全方面积累了丰富的经验。目前，他常在全球各地的网络安全会议和相关活动上发表演讲，大部分时间都在致力于挖掘数据泄露事件，并渗透进暗网的威胁行为者圈子。特洛亚获得了卡佩拉大学（Capella University）的博士学位，是一名经认证的白帽黑客和黑客取证调查员。

陈剑锋博士

研究员，研究生导师。中国电子科技集团公司网络安全板块总师副召集人，长期从事网络空间安全和人工智能安全融合等方面的研究和相关重大工程任务实施。发表论文近60篇，专利22项，参与8项标准编制，出版4本专著，获省部级科技进步一等奖3项、二等奖1项。

张玲

中国电子科技集团公司第三十研究所研究员级高工，长期从事网络攻防领域总体论证与技术研究工作，曾主持或参与网络攻防、网络安全审查、漏洞挖掘等国家级或省部级项目十余个，主笔编写多项国家部委级规划，获国防科技进步二等奖2项，省部级科技进步二等奖2项，授权发明专利6项，发表学术论文二十余篇。

罗仙

中国电子科技集团公司第三十研究所工程师，长期从事网络空间安全战略研究工作，曾主持或参与多个网络安全战略政策及法规制度、网络攻防技术研究等项目，获省部级科技进步二等奖1项，发表学术论文十余篇。

蒋涛

中国电子科技集团公司第三十研究所高级工程师，长期从事网络空间安全技术管理工作，参与制定国家标准1项、授权发明专利8项。获省部级科技进步二等奖1项、三等奖1项。

目 录 

第1章 准备开始 001 
1.1 本书的独到之处 001 
1.2 你需要知道的 003 
1.3 重要资源 004 
1.4 加密货币 008 
1.5 小结 014 
第2章 调查威胁行为者 015 
2.1 调查之路 015 
2.2 黑暗领主 021 
2.3 小结 030 
第一部分 网络调查 
第3章 人工网络调查 032 
3.1 资产发现 033 
3.2 钓鱼域名和近似域名 043 
3.3 小结 047 
第4章 识别网络活动（高级NMAP技术） 048 
4.1 准备开始 048 
4.2 对抗防火墙和入侵检测设备 050 
4.3 小结 060 
第5章 网络调查的自动化工具 061 
5.1 SpiderFoot工具 062 
5.2 SpiderFoot HX（高级版本） 067 
5.3 Intrigue.io 069 
5.4 Recon-NG 078 
5.5 小结 085 
? 
第二部分 网络探索 
第6章 网站信息搜集 088 
6.1 BuiltWith 088 
6.2 Webapp信息搜集器（WIG） 090 
6.3 CMSMap 094 
6.4 WPScan 098 
6.5 小结 105 
第7章 目录搜索 106 
7.1 Dirhunt 106 
7.2 Wfuzz 109 
7.3 Photon 111 
7.4 Intrigue.io 114 
7.5 小结 117 
第8章 搜索引擎高级功能 118 
8.1 重要的高级搜索功能 118 
8.2 自动化高级搜索工具 125 
8.3 小结 129 
第9章 Whois 130 
9.1 Whois简介 130 
9.2 Whoisology 135 
9.3 DomainTools 139 
9.4 小结 147 
第10章 证书透明度与互联网档案 148 
10.1 证书透明度 148 
10.2 小结 164 
第11章 域名工具IRIS 165 
11.1 IRIS的基础知识 165 
11.2 定向Pivot搜索 166 
11.3 信息融合 175 
11.4 小结 181 
? 
第三部分 挖掘高价值信息 
第12章 文件元数据 183 
12.1 Exiftool 183 
12.2 Metagoofil 185 
12.3 Recon-NG元数据模块 187 
12.4 Intrigue.io 193 
12.5 FOCA 196 
12.6 小结 200 
第13章 藏宝之处 201 
13.1 Harvester 202 
13.2 Forums 206 
13.3 代码库 212 
13.4 维基网站 218 
13.5 小结 221 
第14章 可公开访问的数据存储 222 
14.1 Exactis Leak与Shodan 223 
14.2 CloudStorageFinder 226 
14.3 NoSQL Database3 228 
14.4 NoScrape 237 
14.5 小结 244 
第四部分 狩猎威胁行为者 
第15章 探索人物、图像和地点 247 
15.1 PIPL 248 
15.2 公共记录和背景调查 251 
15.3 Image Searching 253 
15.4 Cree.py和Geolocation 260 
15.5 IP地址跟踪 263 
15.6 小结 263 
第16章 社交媒体搜索 264 
16.1 OSINT.rest 265 
16.2 Skiptracer 273 
16.3 Userrecon 282 
16.4 Reddit Investigator 284 
16.5 小结 286 
第17章 个人信息追踪和密码重置提示 287 
17.1 从哪里开始搜索TDO 287 
17.2 建立目标信息矩阵 288 
17.3 社会工程学攻击 290 
17.4 使用密码重置提示 297 
17.5 小结 307 
第18章 密码、转存和Data Viper 308 
18.1 利用密码 309 
18.2 获取数据 312 
18.3 Data Viper 319 
18.4 小结 328 
第19章 与威胁行为者互动 329 
19.1 让他们从“阴影”中现身 329 
19.2 WhitePacket是谁 330 
19.3 YoungBugsThug 335 
19.4 建立信息流 339 
19.5 小结 344 
第20章 破解价值1000万美元的黑客虚假信息 345 
20.1 GnosticPlayers 346 
20.2 GnosticPlayers的帖子 349 
20.3 与他联系 354 
20.4 把信息汇聚在一起 357 
20.5 到底发生了什么 363 
20.6 小结 367 
后记 368

当你的组织