峰网博客2013年,国外老牌技术新闻和信息分享网站Ars Technica做了一个有趣的实验。他们从互联网下载了一份被黑客公布在网上的社工数据,包含16000个用户的账号密码信息,密码采用MD5 hash 存储。泄露数据的网站曾公开表示:“用户密码的加密过程是不可逆的,就算拿到MD5密文,也不可能还原出密码明文。
为了向大众展示这些所谓“加密”的密码在黑客手中能搞出多大动静,他们邀请了三位职业黑客举办了一场密码破解挑战赛(这三名黑客包括著名GPU破解软件Hashcat作者Jens Steube,密码破译专家Jeremi Gosney和匿名黑客Moniker radix)。挑战赛的结果没有让大家失望,仅用20小时,Gosney就破解了90%的密码。
在普通网民的心中,密码在黑客手中薄如纸。那么黑客自己的密码能被攻破吗?我们泰格实验室的小伙伴们也做了一次密码破解实验,不过我们没法邀请到职业黑客来破解密码,只能小伙伴们自己扛着算盘上了。
正文
4月6号,知名地下黑客论坛Nulled.io发生数据泄露事件,泄露的53万用户数据同日被上传至互联网。我们无法分辨每一个用户的国籍,但是我们可以通过国内主流邮箱的分布情况,大致了解中国用户的情况。
| 邮箱 | 出现次数 |
|---|---|
| QQ邮箱 | 5672 |
| 163邮箱 | 1802 |
| 新浪邮箱 | 1225 |
| 126邮箱 | 392 |
| Foxmail邮箱 | 110 |
| 搜狐邮箱 | 71 |
我们再来看一下gov和edu后缀的邮箱分布情况:
| 邮箱 | 出现次数 |
|---|---|
| Gov后缀 | 30 |
| Edu后缀 | 388 |
gov.cn邮箱没有发现,edu.cn邮箱发现两个,都来自清华大学,其中一个注册ip为101.5.124.4,估计代理都没用。
本次分析的重点并不是泄露的用户身份,我们更关注的是泄露的密码情况。nulled泄露的密码采用加salt的方式进行hash【md5(md5(salt).md5(pass))】。5月12日,其中24万密码被黑客破解成功并发布到互联网。泰格实验室的小伙伴们经过三天的努力,又破解出了15万条密码,总计获得了39万条明文密码,破解成功率为73.6%。
我们做了一些简单统计分析,下图是根据破解出的Top 200密码绘制的密码热度图:
1、Top 20密码
与2015年最弱密码top20对比:
123456当之无愧继续占据宝座。两组密码列表中虽然都出现了password和qwerty,但是黑客习惯首字母大写,理论上密码强度有所提升。更有意思的事情是,黑客密码列表中出现了四个特殊的密码:lol123,asdasd,asd123和asdasd123。看来黑客都是寂寞的,英雄联盟才是最爱。
2、密码长度分布:
密码的平均密码长度为8个字符
3、键盘模式密码分布:
我们从39万个密码中提取出了10种最常用的键盘模式,排除了123456等数字模式,因为它们并不是纯粹的键盘模式。
在这十种键盘模式中,前9种其实比较容易联想到,除了最后一个adgjmptw,虽然它的比例很少,但是它代表了键盘模式的一个新的发展方向。你能猜到为什么吗?拿出你的智能手机,输入方式调到九宫格模式,将每个键盘的第一个字母进行组合。
这个模式引出了一个非常有趣的话题:随着移动智能设备的普及,越来越多的人选择通过智能设备触摸输入密码,密码的选择出现了新的变化。
4、Top 20 IP地址:
我们知道,黑客通常不会暴露自己的真实IP,代理、跳板、vpn、tor都是黑客用来隐藏IP的手段。此次泄露的数据中,我们发现了大量用户复用同一个IP的情况。主要包括以下三种情况:1)使用了公共代理、公共VPN;2)多个账号为同一用户所有;3)同一组织成员使用专用vpn或代理。IP出现次数统计排名如下:
| 序号 | 出现次数 | IP地址 | 国家 | Ip属性 |
|---|---|---|---|---|
| 1 | 106 | 113.165.134.77 | 越南 | 垃圾邮件,僵尸网络 |
| 2 | 104 | 202.70.162.37 | 香港 | IDC服务器 |
| 3 | 101 | 27.54.92.147 | 澳大利亚 | IDC服务器 |
| 4 | 81 | 14.176.96.57 | 越南 | 僵尸网络 |
| 5 | 80 | 1.52.179.5 | 越南 | 垃圾邮件,僵尸网络 |
| 6 | 79 | 119.235.251.172 | 印尼 | IDC服务器 |
| 7 | 78 | 79.141.160.23 | 波兰 | 漏洞利用,僵尸网络 |
| 8 | 77 | 153.92.43.119 | 香港 | IDC服务器 |
| 9 | 76 | 115.78.127.212 | 越南 | 垃圾邮件,僵尸网络 |
| 10 | 72 | 65.49.14.167 | 美国 | XX代理 |
| 11 | 69 | 65.49.14.80 | 美国 | XX代理 |
| 12 | 66 | 65.49.14.83 | 美国 | XX代理 |
| 13 | 64 | 65.49.14.156 | 美国 | XX代理 |
| 14 | 61 | 65.49.14.164 | 美国 | XX代理 |
| 15 | 60 | 128.199.118.182 | 新加坡 | IDC服务器 |
| 16 | 60 | 43.230.88.155 | 香港 | 垃圾邮件,僵尸网络 |
| 17 | 59 | 65.49.14.152 | 美国 | XX代理 |
| 18 | 59 | 65.49.14.159 | 美国 | XX代理 |
| 19 | 59 | 65.49.14.144 | 美国 | XX代理 |
| 20 | 59 | 65.49.14.154 | 美国 | XX代理 |
注:IP属性数据参考virusbook.cn和ipip.net
1)使用公共代理网路
TOP 20 的ip数据中,我们发现65.49.14.*网段的数据出现了9次,查了一下IP的归属(http://bgp.he.net/net/65.49.14.0/24#_dns),猜测应该是无界浏览使用的IP地址。
2)多个账号为同一用户所有
我们发现了大量同一用户注册多个账号的情况。一种是使用同一IP,密码相同,或者用户名或邮箱有明显的关联性;另一种虽然使用了不同IP,但设置了一个非常独特的密码。
根据经验,这样的用户密码可能通用,拿来直接登陆邮箱也是一个不错的选择,我们尝试登陆了两个163邮箱,都可以顺利登陆,而且可以看出,邮箱已经被很多人尝试登陆过了。
邮箱看来还是常用邮箱,注册了大量账号,安全意识有待加强。
两个邮箱里面都发现很多LeagueSharp的支付成功通知,LeagueSharp是个什么鬼?谷歌了一下,原来是LOL插件。
LeagueSharp和nulled有啥关系,继续谷歌…真相出来了,我们大胆猜测,这里面一大半来自中国的所谓“黑客”,应该是去下载LOL的破解外挂的….
写在最后
由于时间原因,针对nulled的分析并未完成,近期又有一大堆泄露的数据袭来,后续我们将进行连载,欢迎大家批评指正。最后盗用PKAV的一句话:
关于作者
泰格实验室是一群来自高校、安全公司和互联网公司的网络安全爱好者组成的安全研究团体
*本文作者:泰格实验室,本文属FreeBuf原创奖励计划,未经许可禁止转载
评论前必须登录!
注册