1月14日，深圳网警对外公布，打掉全国影响力最大的网络攻击黑客团伙——“暗夜攻击小组”，创造了网安部门首例跨境完整打击黑客攻击犯罪全链条的典范。深圳市公安局网警支队副支队长宗成鹍在会上指出，腾讯“守护者计划”协助高效开展DDoS攻击链分析、调查取证和溯源分析等工作，为该案破获提供重要支持。

2017年以来，“守护者计划”升级践行企业社会责任，不仅加大反电信网络诈骗公益宣传力度，而且加强政企合作，协助警方直击网络黑产威胁源。DDoS网络攻击是“守护者计划”重点打击的七大网络黑产威胁源之一，据了解，此次被消灭掉的“暗夜攻击小组”曾在DDoS攻击黑产圈占50%的份额。

最大网络攻击黑客团伙“暗夜”覆灭历程

今年2月，“守护者计划”安全团队监测到多起针对网络云服务的大流量高峰值DDoS攻击（分布式拒绝服务攻击），随即协助深圳网警调查取证，输出自身安全能力溯源分析，最终锁定幕后黑手“暗夜攻击小组”。

据查，该团伙成员多在境外活动，拥有超过800G的网络攻击流量，主要攻击网络游戏、第三方支付、视频直播平台等，以抢占市场份额牟利。从2015年起，在组织者原某辉带领下实施网络攻击犯罪活动，两年时间发展成为国内影响力最大的DDoS黑客团伙。

锐速云防护团队参与了整个防攻击事件的全过程，分析的12个站点中有3个是锐速云在做防护并保证了客户正常运行，其中防护的一个站点最大的攻击量达到了900G。

　　2017年7月30日，安天安全研究与应急处理中心（Antiy CERT）的工程师发现一种具备拒绝服务（DDoS）攻击能力的新型木马。经初步分析，安天CERT工程师认为该木马属于一个新家族，并将其命名为“魔鼬”。通过关联查询安天对于DDoS攻击的历史监测数据，发现本次事件中受攻击的域名同时也在遭受Trojan/Linux.BillGates、Trojan/Linux.Mayday等家族的DDoS攻击。

经过分析和关联查询，发现在相近时间内多个组织对相同目标发起DDoS攻击。从目前掌握的资料来看，本次DDoS事件的攻击强度足以瘫痪一般的网站，但是部分受攻击网站采用了CDN服务，因此没有受到严重影响。该木马家族的出现时间仅有短短的1个月，却发现较多起由该家族发起的DDoS攻击事件，说明该木马传播速度较快，需要引起重视。

案情上报并得到中央及公安部指示后，深圳市副市长、公安局长徐文海迅速组织精干警力成立专案组，联合“守护者计划”、国家计算机网络应急技术处理协调中心广东分中心等力量，迅速查清了该团伙的组织架构和犯罪事实。该团伙为逃避打击，在老挝、泰国、柬埔寨多地流窜，销毁证据。专案组在4月至9月期间两赴柬埔寨，先后抓获原某辉等十余名犯罪嫌疑人，查获涉案车辆、笔记本电脑、手机及银行卡等物证一批，彻底摧毁了该犯罪团伙。

图为跨境抓捕DDoS攻击犯罪嫌疑人

同时，警方连带破获了广州、成都、黄石、青岛等地接报的一批社会影响恶劣的黑客攻击案件，通过该案发起了全国打击DDoS网络攻击黑产链条的集群战役，抓获其他犯罪嫌疑人42名。

技术赋能成为破获网络攻击专案重要因素

近年来，新型网络违法犯罪呈现技术化、产业化、专业化趋势，隐蔽性加强，破获难度增大，以技术对抗技术成为重要破局手段。深度参与本案的“守护者计划”安全团队，拥有最先进的网络安全能力和大数据侦查技术。

腾讯安全联合实验室旗下的科恩、玄武、湛泸、云鼎、反病毒、反诈骗、移动安全七大实验室，专注安全技术研究及安全攻防体系搭建。在本次案件当中，云鼎实验室发挥了重要作用。

今年一季度，云鼎实验室发现腾讯云上业务尤其是游戏类业务遇到DDoS疯狂攻击，单日攻击流量峰值达到462G。经过跟进分析攻击手法、攻击时长、流量波形、源IP等要素，反向定位宿主主机、控制端，在过程中由于黑客技术老道、可能存在境外主机等因素，给溯源工作增加难度。

经过不断的复盘分析，最终在一台控制端服务器上发现可以线索并定位到证据所在。此证据在后续的团伙人员定位分析、关联产业链分析、公安抓捕及定罪的依据上都起到了关键证据的作用。同时，云鼎实验室和其它部门协作，通过对此黑产团伙的各行为研究，关联拓展出了其产业链条的上下游环节，从而在技术环节彻底打通了整体黑产团伙的全部脉络。

拆解DDoS攻击黑产结构，守护者计划全面打击网络黑产威胁源

在协助破获几起DDoS攻击犯罪案后，云鼎实验室分析了该黑色产业链的分工协作情况及技术利用情况：

图为DDoS攻击黑色产业链

在“守护者计划”发布的《2017年度网络黑产威胁源研究报告》中，DDoS攻击是七大网络黑产威胁源之一，其高技术性特征以及高度专业化分工降低了网络犯罪成本，增加了违法犯罪隐蔽性。而对网络黑产威胁源的打击，能够有效遏制网络黑产发展。据了解，在“暗夜攻击小组”被打掉当月，DDoS攻击频次环比下降86%。