第4章 僵尸网络(1/2)
三个攻击目标的方案定下来之后,林劫开始干他最擅长的事——不是黑进系统,而是铺路。那种路铺得很慢,一块砖一块砖地码,外人看着枯燥到想死,但每块砖放下去的位置都得精确到毫米。等到路铺完的那天,他只需要踩一脚油门,整条路就会自动把力量传到该去的地方。
僵尸网络就是这个路。
龙吟系统再强大,它的公共DNS解析服务器总归要响应请求。那三组根节点的物理位置分布在瀛海市三个数据中心,彼此之间靠光纤直连做数据同步,正常负载均衡阈值是每节点每秒处理大约两百万到三百万次查询请求,峰值可以撑到五百万。超过峰值之后请求会开始排队,响应延迟逐渐拉长。如果延迟超过五百毫秒,健康检查模块会判定该节点性能劣化,自动把流量切给备选节点。备选节点再撑不住,继续切给下一个,直到所有节点全部被压垮。这个兜底机制在正常运维场景下是合理的——毕竟很少有攻击能同时打穿三道防线。但林劫要做的不是打穿,是填满。准确地说,是同时填满三条下水道,让它们自己把自己呛死。
问题是流量从哪来。靠墨影那几组自建服务器是杯水车薪——三组服务器同时跑满带宽大概能贡献每秒不到十万次请求,连一个节点的正常负载都达不到。租用的商用云服务器更不用想,但凡流量骤增超过基线百分之五十,云服务商的自动化风控系统会在三十秒内封掉所有实例,顺便把账号信息打包发给网域巡捕。买流量也不行——暗网上卖DDoS流量的团伙他之前在第六卷就接触过,大多是些用恶意软件感染普通用户设备组建的肉鸡网络,规模不大,控制在几千到几万台设备之间,而且质量参差不齐,延迟波动太大,没法满足三秒同步精度的要求。
他需要自己搞。
林劫之前在各种行动里随手攒了不少东西——不是刻意攒的,更像是每次干活留下的边角料,没舍得扔。早在他还在龙穹科技当安全工程师的时候,就发现过一套物联网设备固件的底层漏洞,涉及三个主流厂商的智能摄像头和家用路由器,漏洞类型是远程未授权命令执行,CVSS危险等级评分高达九点八。当时他写了一份详细的漏洞报告交上去,结果被主管压了下来,理由是涉及的那几家厂商都是龙吟系统的生态合作伙伴,“技术上能修,商务上不能修”。后来他离开龙穹之后,这个漏洞就一直躺在自己的工具库里吃灰,现在该拿出来使了。
光是这一个漏洞还不够,覆盖面太窄。那三家厂商的设备在瀛海市保有量加起来不超过五十万台,算上平均在线率大概只有七成能同时打,总请求量还是不够。
林劫用了一整个晚上,把自己过去三年积累的漏洞数据库从头到尾翻了一遍。翻到凌晨的时候眼睛干得发涩,点了两滴在锈带黑市上淘来的过期眼药水,辣得眼泪直流,但也把瞌睡一块儿辣跑了。他又翻出了四个还没公开过的零日漏洞——两个针对智能家电的控制中枢系统,一个针对车载信息娱乐终端,还有一个极其偏门的,针对的是龙吟系统官方推广的健康监测手环。那玩意儿几乎每个瀛海市民都有一个,戴在手腕上,实时上传心率、血氧、体温和运动数据。手环的底层固件里有一个蓝牙协议栈的缓冲区溢出漏洞,只要在手环附近二十米内发送一个特制的广播包,就能静默获取手环的系统级权限。获取权限之后可以在后台偷偷开一个被限速的Wi-Fi数据通道,速度不快,峰值只有每秒几十KB,但胜在数量大得离谱。
光是瀛海市常住人口就有将近四千万,扣掉老年人和不愿戴的少数反抗派,健康手环的存量保守估计在三千万台左右。就算只有一半在线,也有一千五百万个潜在节点。
他花了两天两夜把五个漏洞整合在一起,写了套自动化工具,封装成巴掌大的脚本包,取了个毫无辨识度的名字“牧群”。
这期间沈易也没闲着。他从墨影的旧项目“绿波”里翻出了那套独立交通信号协调方案的数据底子,开始做全城智能驾驶系统与信号灯网络的压力测试模拟。模拟需要的算力墨影自己的服务器跑不过来,他就把任务拆成小块分散到锈带各处的私人工作站上,用的加密通信信道是沈易自己手搓的一套协议。他说在巡捕的流量监控眼底下跑数据,就像在猫面前遛老鼠,必须把数据包的形状和频率伪装成跟普通民用流量一模一样——不加密会暴露内容,加密太强又会暴露特征。所以他搞了个折中方案:先把模拟数据拆碎,嵌进一段伪造的短视频内容流里,再混入普通的视频网站上传流量中发送。巡捕的深度包检测就算拦下来,也只会在屏幕上报一个“疑似盗版影视内容传输”的低级别告警。
林劫把僵尸网络的构建分成三步走。
第一步是扫描。他先往瀛海市公共网络里撒了一批被动探测包,不主动攻击任何设备,只是嗅探那些联网设备的型号、固件版本和开放端口,相当于先在黑暗中摸一遍墙在哪儿。马雄那边从一个搞废旧电器回收的熟人手里弄到了全市三大运营商的信号覆盖热力图——这东西本来是用来优化基站布局的,但反过来用,就能精确知道瀛海市每个街区不同时段的设备在线密度。
城市核心区在线密度最高的时候是晚上八点到十一点,每平方公里有将近六万台智能设备同时在线。锈带边缘只有主城区的十分之一不到,但在马雄地盘上有大量使用翻新机和改装设备的用户,这些人虽然穷但网络使用率不低——他们得靠刷短视频和打游戏打发时间,是流量贡献的主力军。设备型号分布也跟富人区完全不一样:富人区以高端智能家电和最新款车载终端为主,安全更新及时,漏洞少;穷人区用的多是厂商已经停更的老旧设备,固件版本落后得能追溯到三四年前,漏洞多得跟筛子一样。
第二步是植入。林劫在扫描数据里筛出了所有能利用的设备型号和固件版本,然后通过劫持的厂商固件更新推送通道,把改造过的补丁伪装成安全更新发出去。整个过程不需要用户确认——大部分物联网设备的固件更新都是静默进行的,后台下载、自动安装、重启生效,用户在手机屏幕上完全感知不到。唯一可能触发拦截的环节是数字签名校验——厂商的固件包需要合法的签名证书才能通过设备的安全校验。
他正好有这个证书。不是偷的,是合法的。龙吟系统为了管理生态链内部的固件更新流程,会给每家合作厂商签发统一的根证书,证书的签发权限掌握在龙吟系统自己的PKI也就是公钥基础设施里。而龙吟系统内部的PKI管理后台在三个月前的一次常规升级中引入了一个权限验证逻辑错误——这个漏洞是沈易从墨影残存的信息库里挖出来的,漏洞报告原件标注的作者名字是个林劫认识的老同事,报告提交日期是两年前,审批状态至今写着“待处理”。他通过伪造一个PKI管理后台的API调用,申请了一份合法签名的固件更新包推送许可证,整个伪造链条花了不到四十分钟,过程中唯一遇到的阻碍是管理后台的图形验证码——那验证码用的是旧版算法,林劫写了个脚本十秒就跑出来了。
第三步是播种。固件补丁被推送出去的当晚,第一批被感染的设备开始上线。林劫坐在变压器房里,盯着屏幕上那几排数字——它们代表的是每秒新增的被感染设备数量。最初十几分钟只有零星几十台,分布在高新区的高端智能冰箱和自动咖啡机之间,跟洒在沙漠里的一把芝麻差不多。半小时后,健康手环的漏洞开始生效,那排跳动的数字忽然从两位数直接蹦到了五位数,然后六位数——每刷新一次都是往上翻一个量级,速度快到林劫自己的监控脚本都开始掉帧,屏幕上的数字卡成一团模糊的像素块。
沈易站在他身后,端着杯凉透了的速溶咖啡,看着屏幕上疯狂滚动的数字,杯子悬在半空中好一会儿才放下。“你搞了多少?”
“目前二十七万。”林劫的声音还是那么平,“预计今晚破五十万。”
沈易盯着屏幕又看了一会儿,把咖啡杯搁在桌上,杯子底磕出一声闷响。“你知道你在造什么东西吗?这不是攻击工具,这是大规模恶意软件传播。瀛海市网络安全法第十七条第八款写得明明白白:未经授权向他人信息设备植入程序、利用漏洞传播恶意代码、组建僵尸网络用于任何目的——最高二十年。”
“你不是一直想让我自首吗?”林劫连眼皮都没抬。
“我没让你自首。我是让你知道你在干什么。”
本章未完,点击下一页继续阅读。