商务合作: on9gcn@163.com skype: sam793561805

泄露数据告诉你,黑客论坛Nulled.IO用户都用哪些密码?

admin 2016-6-17 10:42225 人围观, 发现评论数0个

简介 :2013年,国外老牌技术新闻和信息分享网站Ars Technica做了一个有趣的实验。他们从互联网下载了一份被黑客公布在网上的社工数据,包含16000个用户的账号密码信息,密码采用MD5 hash 存储。泄露数据的网站曾公开表示: ...

2013年,国外老牌技术新闻和信息分享网站Ars Technica做了一个有趣的实验。他们从互联网下载了一份被黑客公布在网上的社工数据,包含16000个用户的账号密码信息,密码采用MD5 hash 存储。泄露数据的网站曾公开表示:“用户密码的加密过程是不可逆的,就算拿到MD5密文,也不可能还原出密码明文。

为了向大众展示这些所谓“加密”的密码在黑客手中能搞出多大动静,他们邀请了三位职业黑客举办了一场密码破解挑战赛(这三名黑客包括著名GPU破解软件Hashcat作者Jens Steube,密码破译专家Jeremi Gosney和匿名黑客Moniker radix)。挑战赛的结果没有让大家失望,仅用20小时,Gosney就破解了90%的密码。

图片1.png

在普通网民的心中,密码在黑客手中薄如纸。那么黑客自己的密码能被攻破吗?我们泰格实验室的小伙伴们也做了一次密码破解实验,不过我们没法邀请到职业黑客来破解密码,只能小伙伴们自己扛着算盘上了。

正文

4月6号,知名地下黑客论坛Nulled.io发生数据泄露事件,泄露的53万用户数据同日被上传至互联网。我们无法分辨每一个用户的国籍,但是我们可以通过国内主流邮箱的分布情况,大致了解中国用户的情况。

邮箱出现次数
QQ邮箱5672
163邮箱1802
新浪邮箱1225
126邮箱392
Foxmail邮箱110
搜狐邮箱71

       我们再来看一下gov和edu后缀的邮箱分布情况:

邮箱出现次数
Gov后缀30
Edu后缀388

          gov.cn邮箱没有发现,edu.cn邮箱发现两个,都来自清华大学,其中一个注册ip为101.5.124.4,估计代理都没用。

图片2.png

图片3.png

本次分析的重点并不是泄露的用户身份,我们更关注的是泄露的密码情况。nulled泄露的密码采用加salt的方式进行hash【md5(md5(salt).md5(pass))】。5月12日,其中24万密码被黑客破解成功并发布到互联网。泰格实验室的小伙伴们经过三天的努力,又破解出了15万条密码,总计获得了39万条明文密码,破解成功率为73.6%。

我们做了一些简单统计分析,下图是根据破解出的Top 200密码绘制的密码热度图:

 图片4.png

1、Top 20密码

图片5.png

 

与2015年最弱密码top20对比:

图片6.png

123456当之无愧继续占据宝座。两组密码列表中虽然都出现了password和qwerty,但是黑客习惯首字母大写,理论上密码强度有所提升。更有意思的事情是,黑客密码列表中出现了四个特殊的密码:lol123,asdasd,asd123和asdasd123。看来黑客都是寂寞的,英雄联盟才是最爱。

2、密码长度分布:

  图片7.png

密码的平均密码长度为8个字符

3、键盘模式密码分布:

我们从39万个密码中提取出了10种最常用的键盘模式,排除了123456等数字模式,因为它们并不是纯粹的键盘模式。

 图片8.png 

在这十种键盘模式中,前9种其实比较容易联想到,除了最后一个adgjmptw,虽然它的比例很少,但是它代表了键盘模式的一个新的发展方向。你能猜到为什么吗?拿出你的智能手机,输入方式调到九宫格模式,将每个键盘的第一个字母进行组合。

图片9.png

这个模式引出了一个非常有趣的话题:随着移动智能设备的普及,越来越多的人选择通过智能设备触摸输入密码,密码的选择出现了新的变化。 

4、Top 20 IP地址:

我们知道,黑客通常不会暴露自己的真实IP,代理、跳板、vpn、tor都是黑客用来隐藏IP的手段。此次泄露的数据中,我们发现了大量用户复用同一个IP的情况。主要包括以下三种情况:1)使用了公共代理、公共VPN;2)多个账号为同一用户所有;3)同一组织成员使用专用vpn或代理。IP出现次数统计排名如下:

序号出现次数IP地址国家Ip属性
1106113.165.134.77越南垃圾邮件,僵尸网络
2104202.70.162.37香港IDC服务器
310127.54.92.147澳大利亚IDC服务器
48114.176.96.57越南僵尸网络
5801.52.179.5越南垃圾邮件,僵尸网络
679119.235.251.172印尼IDC服务器
77879.141.160.23波兰漏洞利用,僵尸网络
877153.92.43.119香港IDC服务器
976115.78.127.212越南垃圾邮件,僵尸网络
107265.49.14.167美国XX代理
116965.49.14.80美国XX代理
126665.49.14.83美国XX代理
136465.49.14.156美国XX代理
146165.49.14.164美国XX代理
1560128.199.118.182新加坡IDC服务器
166043.230.88.155香港垃圾邮件,僵尸网络
175965.49.14.152美国XX代理
185965.49.14.159美国XX代理
195965.49.14.144美国XX代理
205965.49.14.154美国XX代理

注:IP属性数据参考virusbook.cn和ipip.net

1)使用公共代理网路

TOP 20 的ip数据中,我们发现65.49.14.*网段的数据出现了9次,查了一下IP的归属(http://bgp.he.net/net/65.49.14.0/24#_dns),猜测应该是无界浏览使用的IP地址。

                  图片10.png

2)多个账号为同一用户所有

我们发现了大量同一用户注册多个账号的情况。一种是使用同一IP,密码相同,或者用户名或邮箱有明显的关联性;另一种虽然使用了不同IP,但设置了一个非常独特的密码。

             图片11.png

              图片12.png

根据经验,这样的用户密码可能通用,拿来直接登陆邮箱也是一个不错的选择,我们尝试登陆了两个163邮箱,都可以顺利登陆,而且可以看出,邮箱已经被很多人尝试登陆过了。

图片13.png

图片14.png

邮箱看来还是常用邮箱,注册了大量账号,安全意识有待加强。

                 图片15.png 

两个邮箱里面都发现很多LeagueSharp的支付成功通知,LeagueSharp是个什么鬼?谷歌了一下,原来是LOL插件。

图片16.png 

收藏 邀请

已有0条评论