2013年,國外老牌技術新聞和信息分享網站Ars Technica做了一個有趣的實驗。他們從互聯網下載了一份被黑客公布在網上的社工數據,包含16000個用戶的賬號密碼信息,密碼采用MD5 hash 存儲。泄露數據的網站曾公開表示:“用戶密碼的加密過程是不可逆的,就算拿到MD5密文,也不可能還原出密碼明文。
為了向大眾展示這些所謂“加密”的密碼在黑客手中能搞出多大動靜,他們邀請了三位職業黑客舉辦了一場密碼破解挑戰賽(這三名黑客包括著名GPU破解軟件Hashcat作者Jens Steube,密碼破譯專家Jeremi Gosney和匿名黑客Moniker radix)。挑戰賽的結果沒有讓大家失望,僅用20小時,Gosney就破解了90%的密碼。
在普通網民的心中,密碼在黑客手中薄如紙。那么黑客自己的密碼能被攻破嗎?我們泰格實驗室的小伙伴們也做了一次密碼破解實驗,不過我們沒法邀請到職業黑客來破解密碼,只能小伙伴們自己扛著算盤上了。
正文
4月6號,知名地下黑客論壇Nulled.io發生數據泄露事件,泄露的53萬用戶數據同日被上傳至互聯網。我們無法分辨每一個用戶的國籍,但是我們可以通過國內主流郵箱的分布情況,大致了解中國用戶的情況。
| 郵箱 | 出現次數 |
|---|---|
| QQ郵箱 | 5672 |
| 163郵箱 | 1802 |
| 新浪郵箱 | 1225 |
| 126郵箱 | 392 |
| Foxmail郵箱 | 110 |
| 搜狐郵箱 | 71 |
我們再來看一下gov和edu后綴的郵箱分布情況:
| 郵箱 | 出現次數 |
|---|---|
| Gov后綴 | 30 |
| Edu后綴 | 388 |
gov.cn郵箱沒有發現,edu.cn郵箱發現兩個,都來自清華大學,其中一個注冊ip為101.5.124.4,估計代理都沒用。
本次分析的重點并不是泄露的用戶身份,我們更關注的是泄露的密碼情況。nulled泄露的密碼采用加salt的方式進行hash【md5(md5(salt).md5(pass))】。5月12日,其中24萬密碼被黑客破解成功并發布到互聯網。泰格實驗室的小伙伴們經過三天的努力,又破解出了15萬條密碼,總計獲得了39萬條明文密碼,破解成功率為73.6%。
我們做了一些簡單統計分析,下圖是根據破解出的Top 200密碼繪制的密碼熱度圖:
1、Top 20密碼
與2015年最弱密碼top20對比:
123456當之無愧繼續占據寶座。兩組密碼列表中雖然都出現了password和qwerty,但是黑客習慣首字母大寫,理論上密碼強度有所提升。更有意思的事情是,黑客密碼列表中出現了四個特殊的密碼:lol123,asdasd,asd123和asdasd123。看來黑客都是寂寞的,英雄聯盟才是最愛。
2、密碼長度分布:
密碼的平均密碼長度為8個字符
3、鍵盤模式密碼分布:
我們從39萬個密碼中提取出了10種最常用的鍵盤模式,排除了123456等數字模式,因為它們并不是純粹的鍵盤模式。
在這十種鍵盤模式中,前9種其實比較容易聯想到,除了最后一個adgjmptw,雖然它的比例很少,但是它代表了鍵盤模式的一個新的發展方向。你能猜到為什么嗎?拿出你的智能手機,輸入方式調到九宮格模式,將每個鍵盤的第一個字母進行組合。
這個模式引出了一個非常有趣的話題:隨著移動智能設備的普及,越來越多的人選擇通過智能設備觸摸輸入密碼,密碼的選擇出現了新的變化。
4、Top 20 IP地址:
我們知道,黑客通常不會暴露自己的真實IP,代理、跳板、vpn、tor都是黑客用來隱藏IP的手段。此次泄露的數據中,我們發現了大量用戶復用同一個IP的情況。主要包括以下三種情況:1)使用了公共代理、公共VPN;2)多個賬號為同一用戶所有;3)同一組織成員使用專用vpn或代理。IP出現次數統計排名如下:
| 序號 | 出現次數 | IP地址 | 國家 | Ip屬性 |
|---|---|---|---|---|
| 1 | 106 | 113.165.134.77 | 越南 | 垃圾郵件,僵尸網絡 |
| 2 | 104 | 202.70.162.37 | 香港 | IDC服務器 |
| 3 | 101 | 27.54.92.147 | 澳大利亞 | IDC服務器 |
| 4 | 81 | 14.176.96.57 | 越南 | 僵尸網絡 |
| 5 | 80 | 1.52.179.5 | 越南 | 垃圾郵件,僵尸網絡 |
| 6 | 79 | 119.235.251.172 | 印尼 | IDC服務器 |
| 7 | 78 | 79.141.160.23 | 波蘭 | 漏洞利用,僵尸網絡 |
| 8 | 77 | 153.92.43.119 | 香港 | IDC服務器 |
| 9 | 76 | 115.78.127.212 | 越南 | 垃圾郵件,僵尸網絡 |
| 10 | 72 | 65.49.14.167 | 美國 | XX代理 |
| 11 | 69 | 65.49.14.80 | 美國 | XX代理 |
| 12 | 66 | 65.49.14.83 | 美國 | XX代理 |
| 13 | 64 | 65.49.14.156 | 美國 | XX代理 |
| 14 | 61 | 65.49.14.164 | 美國 | XX代理 |
| 15 | 60 | 128.199.118.182 | 新加坡 | IDC服務器 |
| 16 | 60 | 43.230.88.155 | 香港 | 垃圾郵件,僵尸網絡 |
| 17 | 59 | 65.49.14.152 | 美國 | XX代理 |
| 18 | 59 | 65.49.14.159 | 美國 | XX代理 |
| 19 | 59 | 65.49.14.144 | 美國 | XX代理 |
| 20 | 59 | 65.49.14.154 | 美國 | XX代理 |
注:IP屬性數據參考virusbook.cn和ipip.net
1)使用公共代理網路
TOP 20 的ip數據中,我們發現65.49.14.*網段的數據出現了9次,查了一下IP的歸屬(http://bgp.he.net/net/65.49.14.0/24#_dns),猜測應該是無界瀏覽使用的IP地址。
2)多個賬號為同一用戶所有
我們發現了大量同一用戶注冊多個賬號的情況。一種是使用同一IP,密碼相同,或者用戶名或郵箱有明顯的關聯性;另一種雖然使用了不同IP,但設置了一個非常獨特的密碼。
根據經驗,這樣的用戶密碼可能通用,拿來直接登陸郵箱也是一個不錯的選擇,我們嘗試登陸了兩個163郵箱,都可以順利登陸,而且可以看出,郵箱已經被很多人嘗試登陸過了。
郵箱看來還是常用郵箱,注冊了大量賬號,安全意識有待加強。
兩個郵箱里面都發現很多LeagueSharp的支付成功通知,LeagueSharp是個什么鬼?谷歌了一下,原來是LOL插件。
LeagueSharp和nulled有啥關系,繼續谷歌…真相出來了,我們大膽猜測,這里面一大半來自中國的所謂“黑客”,應該是去下載LOL的破解外掛的….
寫在最后
由于時間原因,針對nulled的分析并未完成,近期又有一大堆泄露的數據襲來,后續我們將進行連載,歡迎大家批評指正。最后盜用PKAV的一句話:
關于作者
泰格實驗室是一群來自高校、安全公司和互聯網公司的網絡安全愛好者組成的安全研究團體
京公網安備 11010502049343號