1月14日，在騰訊公司主辦的主題為“開放共享攜手共治”的2018年守護(hù)者計(jì)劃大會上，廣東深圳網(wǎng)警對外公布，打掉全國影響力最大的網(wǎng)絡(luò)攻擊黑客團(tuán)伙——“暗夜攻擊小組”，創(chuàng)造了網(wǎng)安部門首例跨境完整打擊黑客攻擊犯罪全鏈條的典范。深圳市公安局網(wǎng)警支隊(duì)副支隊(duì)長宗成鹍在會上指出，騰訊“守護(hù)者計(jì)劃”協(xié)助高效開展DDoS攻擊鏈分析、調(diào)查取證和溯源分析等工作，為該案破獲提供重要支持。

　　2017年以來，“守護(hù)者計(jì)劃”升級踐行企業(yè)社會責(zé)任，不僅加大反電信網(wǎng)絡(luò)詐騙公益宣傳力度，而且加強(qiáng)政企合作，協(xié)助警方直擊網(wǎng)絡(luò)黑產(chǎn)威脅源。DDoS網(wǎng)絡(luò)攻擊是“守護(hù)者計(jì)劃”重點(diǎn)打擊的七大網(wǎng)絡(luò)黑產(chǎn)威脅源之一，據(jù)了解，此次被消滅掉的“暗夜攻擊小組”曾在DDoS攻擊黑產(chǎn)圈占50%的份額。

　　最大網(wǎng)絡(luò)攻擊黑客團(tuán)伙“暗夜”覆滅歷程

　　今年2月，“守護(hù)者計(jì)劃”安全團(tuán)隊(duì)監(jiān)測到多起針對網(wǎng)絡(luò)云服務(wù)的大流量高峰值DDoS攻擊（分布式拒絕服務(wù)攻擊），隨即協(xié)助深圳網(wǎng)警調(diào)查取證，輸出自身安全能力溯源分析，最終鎖定幕后黑手“暗夜攻擊小組”。

　　據(jù)查，該團(tuán)伙成員多在境外活動，擁有超過800G的網(wǎng)絡(luò)攻擊流量，主要攻擊網(wǎng)絡(luò)游戲、第三方支付、視頻直播平臺等，以搶占市場份額牟利。從2015年起，在組織者原某輝帶領(lǐng)下實(shí)施網(wǎng)絡(luò)攻擊犯罪活動，兩年時間發(fā)展成為國內(nèi)影響力最大的DDoS黑客團(tuán)伙。

　　案情上報并得到中央及公安部指示后，深圳市副市長、公安局長徐文海迅速組織精干警力成立專案組，聯(lián)合“守護(hù)者計(jì)劃”、國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心廣東分中心等力量，迅速查清了該團(tuán)伙的組織架構(gòu)和犯罪事實(shí)。該團(tuán)伙為逃避打擊，在老撾、泰國、柬埔寨多地流竄，銷毀證據(jù)。專案組在4月至9月期間兩赴柬埔寨，先后抓獲原某輝等十余名犯罪嫌疑人，查獲涉案車輛、筆記本電腦、手機(jī)及銀行卡等物證一批，徹底摧毀了該犯罪團(tuán)伙。

圖為跨境抓捕DDoS攻擊犯罪嫌疑人

　　同時，警方連帶破獲了廣州、成都、黃石、青島等地接報的一批社會影響惡劣的黑客攻擊案件，通過該案發(fā)起了全國打擊DDoS網(wǎng)絡(luò)攻擊黑產(chǎn)鏈條的集群戰(zhàn)役，抓獲其他犯罪嫌疑人42名。

　　技術(shù)賦能成為破獲網(wǎng)絡(luò)攻擊專案重要因素

　　近年來，新型網(wǎng)絡(luò)違法犯罪呈現(xiàn)技術(shù)化、產(chǎn)業(yè)化、專業(yè)化趨勢，隱蔽性加強(qiáng)，破獲難度增大，以技術(shù)對抗技術(shù)成為重要破局手段。深度參與本案的“守護(hù)者計(jì)劃”安全團(tuán)隊(duì)，擁有最先進(jìn)的網(wǎng)絡(luò)安全能力和大數(shù)據(jù)偵查技術(shù)。

　　騰訊安全聯(lián)合實(shí)驗(yàn)室旗下的科恩、玄武、湛瀘、云鼎、反病毒、反詐騙、移動安全七大實(shí)驗(yàn)室，專注安全技術(shù)研究及安全攻防體系搭建。在本次案件當(dāng)中，云鼎實(shí)驗(yàn)室發(fā)揮了重要作用。

　　今年一季度，云鼎實(shí)驗(yàn)室發(fā)現(xiàn)騰訊云上業(yè)務(wù)尤其是游戲類業(yè)務(wù)遇到DDoS瘋狂攻擊，單日攻擊流量峰值達(dá)到462G。經(jīng)過跟進(jìn)分析攻擊手法、攻擊時長、流量波形、源IP等要素，反向定位宿主主機(jī)、控制端，在過程中由于黑客技術(shù)老道、可能存在境外主機(jī)等因素，給溯源工作增加難度。

　　經(jīng)過不斷的復(fù)盤分析，最終在一臺控制端服務(wù)器上發(fā)現(xiàn)可以線索并定位到證據(jù)所在。此證據(jù)在后續(xù)的團(tuán)伙人員定位分析、關(guān)聯(lián)產(chǎn)業(yè)鏈分析、公安抓捕及定罪的依據(jù)上都起到了關(guān)鍵證據(jù)的作用。同時，云鼎實(shí)驗(yàn)室和其它部門協(xié)作，通過對此黑產(chǎn)團(tuán)伙的各行為研究，關(guān)聯(lián)拓展出了其產(chǎn)業(yè)鏈條的上下游環(huán)節(jié)，從而在技術(shù)環(huán)節(jié)徹底打通了整體黑產(chǎn)團(tuán)伙的全部脈絡(luò)。

　　拆解DDoS攻擊黑產(chǎn)結(jié)構(gòu)，守護(hù)者計(jì)劃全面打擊網(wǎng)絡(luò)黑產(chǎn)威脅源

　　在協(xié)助破獲幾起DDoS攻擊犯罪案后，云鼎實(shí)驗(yàn)室分析了該黑色產(chǎn)業(yè)鏈的分工協(xié)作情況及技術(shù)利用情況：

　　在DDoS攻擊黑色產(chǎn)業(yè)鏈中，鏈條頂端角色為“發(fā)單人”，即出資并發(fā)出攻擊需求的人，一般是出于打壓競爭對手需要而雇傭黑客對其他同類網(wǎng)站進(jìn)行攻擊。接到指令并執(zhí)行攻擊的人，稱為“攻擊實(shí)施人”，他們當(dāng)中，有的不懂DDoS攻擊服務(wù)器搭建，于是從“肉雞商”和“高帶寬服務(wù)器租售者/控制者”手中購買�！叭怆u商”是侵入計(jì)算機(jī)信息系統(tǒng)的實(shí)施人，他們利用后門程序獲得個人計(jì)算機(jī)和服務(wù)器的控制權(quán)限，植入木馬，使得這些計(jì)算機(jī)變成能實(shí)施DDoS攻擊的“肉雞”�！案邘�寬服務(wù)器租售者/控制者”是擁有服務(wù)器控制權(quán)限和網(wǎng)絡(luò)流量的人，他們有一定技術(shù)能力，能夠租用專屬服務(wù)器并自行配置攻擊軟件從而獲取流量。

圖為DDoS攻擊黑色產(chǎn)業(yè)鏈

　　在“守護(hù)者計(jì)劃”發(fā)布的《2017年度網(wǎng)絡(luò)黑產(chǎn)威脅源研究報告》中，DDoS攻擊是七大網(wǎng)絡(luò)黑產(chǎn)威脅源之一，其高技術(shù)性特征以及高度專業(yè)化分工降低了網(wǎng)絡(luò)犯罪成本，增加了違法犯罪隱蔽性。而對網(wǎng)絡(luò)黑產(chǎn)威脅源的打擊，能夠有效遏制網(wǎng)絡(luò)黑產(chǎn)發(fā)展。據(jù)了解，在“暗夜攻擊小組”被打掉當(dāng)月，DDoS攻擊頻次環(huán)比下降86%。

　　2017年以來，“守護(hù)者計(jì)劃”以全面打擊網(wǎng)絡(luò)黑產(chǎn)威脅源為抓手，協(xié)助各地警察機(jī)關(guān)破獲新型網(wǎng)絡(luò)違法犯罪案件160起，抓獲相關(guān)人員約3800人，涉案資金近32億元，有力地維護(hù)我國網(wǎng)絡(luò)空間安全。