关于近期“金贝飞投”与“福利来”被黑事件的技术解析

2024年12月10日，“金贝飞投”平台遭遇黑客攻击，损失金额高达100万U。仅五天后，12月15日，“福利来”平台也遭受了类似攻击，损失金额为10万U。经过深入分析，可以确认两起事件是由同一攻击者所为，并且利用的漏洞和攻击手法完全一致。以下是对攻击全过程的详细技术解析。

攻击目标及手法概述
攻击者针对“福利来”与“金贝飞投”的主要攻击路径均集中在以下几个环节：
利用Go语言应用的命令执行漏洞
攻击者利用了Go语言某组件在输入处理时的命令执行漏洞（Command Execution），这是一次典型的0day漏洞。
接口抓包与信息获取
通过抓包获取担保机器人与服务器之间的通信数据，从而解析出关键的API接口及域名信息。
代码审计发现安全缺陷
在掌握接口的基础上，对相关服务进行代码审计，确认命令执行漏洞的可利用性。
内网横向拓展
攻击者通过成功的初始入侵，进一步横向拓展，逐步获取数据库的访问权限和敏感信息。
数据库篡改与资金提取
攻击者登录后台管理系统，直接篡改用户余额信息，并通过伪造交易记录的方式迅速提现。

攻击流程详细分析
漏洞发现与利用
福利来担保机器人由Go语言编写，服务端使用了一个存在0day漏洞的依赖包。攻击者通过分析抓包数据，定位到某接口可以触发远程命令执行，并以此为入口成功入侵服务器。
信息获取
攻击者在服务器入侵后，利用内网探测手段（如网络扫描、弱口令爆破等），成功获取了数据库的连接信息及管理凭证。
内网横向拓展
通过逐步渗透，攻击者不仅掌握了数据库的完全控制权，还解锁了后台管理系统的登录权限。
余额修改与提现
攻击者登录后台后，直接篡改用户的账户余额数据，将余额提升到一个高额数值（例如10万U）。随后，通过快速发起提现操作，将资金转移到自己的账户。
覆盖痕迹与撤离
在完成提现后，攻击者删除了相关日志记录，试图掩盖攻击痕迹，并迅速转移赃款。

风险防范与建议
两起事件暴露出担保机器人及平台后台系统在安全防护方面的不足。为防止类似事件再次发生，提出以下建议：
代码审计与漏洞修复
平台开发团队应对所有依赖包进行全面审计，特别是Go语言相关组件，及时更新到最新安全版本，修复已知漏洞。
加强网络隔离
提高内网安全防护等级，限制横向拓展的可能性，例如启用强制访问控制（MAC）、分区网络策略。
接口访问控制
对API接口的访问权限进行严格限制，避免对外暴露敏感接口，启用API请求签名及访问频率限制。
日志监控与入侵检测
配置实时日志监控和入侵检测系统（IDS），及时发现并阻止异常行为。
增强数据库安全性
数据库应启用多因子认证，限制访问IP，并定期更新管理密码。