转载

追踪黑客论坛微软周二发补丁周三就被利用

　　英文原文：Tracking Hacker Forums with Traffic Analysis

　　黑客论坛依然存在，黑客社区态势良好并在持续增长。但黑客论坛通常很难被发现，一旦被发现了踪迹，他们便会立马改变地址。

　　黑客论坛大部分位于俄罗斯、中国、巴西、阿拉伯地区，因此语言就成了交流的最大问题。黑客论坛是“黑暗力量”的集合地，在这里，黑客们可以买卖 exp，讨论新漏洞，获取建议等。

　　RecordedFuture 带你揭秘全球黑客论坛

　　情报公司 RecordedFuture 使用类似流量分析的技术分析了一个黑客论坛，即使研究者们一点也不懂黑客论坛中使用的语言（外语），该技术也可以让其很有效展的开展搜集分析工作。

“分析家们可以及时的检测到模式，论坛参与者的产品，漏洞等。使用该项技术还可以知道论坛参与者是否具有威胁。而且，这种洞察力还可以被用于建立适当的警报机制，帮助网络防护者跟上漏洞和 exp 的发展步伐。”

　　该项研究中的数据全是专家们在 900 天内对俄罗斯黑客论坛的分析中得来的，研究者们做的第一件事就是识别论坛中使用的主要语言，居然是俄语。

　　然后他们把注意力集中在了漏洞代码——通用漏洞披露（CVE），用这种方法研究员们发现了黑客论坛上出现的 CVE 主要和 Microsoft、Adobe、Flash 相关；另外，由于 shellshock 漏洞的原因，Linux 漏洞也被受黑客们关注。

追踪黑客论坛微软周二发补丁周三就被利用

　　从漏洞的角度来看，heartbleed 和 shellshock 稳居榜首，当然还有一些其他比较重要的漏洞。

追踪黑客论坛微软周二发补丁周三就被利用

　　周二补丁，周三利用

　　“周二补丁，周三利用”，这句话是 2006 年趋势科技文章中提到的，意思是微软周二补丁日公开一些漏洞之后，接下来一周就是漏洞被大肆利用的一周，黑客们会尽可能的利用这些新发现的漏洞。下图中有一张图片，时间节点是 2013 年 3 月到 2015 年 9 月，其中蓝色部分是正常的论坛流量，绿色部分是关于 CVE 的流量，红色部分是关于微软产品的流量。

追踪黑客论坛微软周二发补丁周三就被利用