回顧2007年��,包括賽門鐵克����、趨勢科技、IronPort�����、Websense��、McAfee等安全廠商����,不約而同指出一個(gè)共同現(xiàn)象:在黑市公開銷售的專業(yè)黑客工具���,以及出租僵尸網(wǎng)絡(luò)(botnet)等地下經(jīng)濟(jì)現(xiàn)象,不但助長了網(wǎng)絡(luò)犯罪�,而黑客工具業(yè)者提供如合法商用軟件般定制化、產(chǎn)品更新與技術(shù)支持等“服務(wù)”����,也為黑客地下經(jīng)濟(jì)創(chuàng)造出全新的營運(yùn)模式,黑客“產(chǎn)業(yè)”隱然成形��。
黑客行為的商業(yè)化或組織化并非自2007年才出現(xiàn)���,以偷取資料為目的的惡意軟件早就存在��,在網(wǎng)絡(luò)地下經(jīng)濟(jì)服務(wù)器上販?zhǔn)鬯玫膫(gè)人信息亦非新聞�,以營利而非出名的網(wǎng)絡(luò)犯罪動(dòng)機(jī)也早就漸漸蔚為主流����。
但安全廠商認(rèn)為,2007年黑客工具M(jìn)Pack����、與風(fēng)暴蠕蟲的出現(xiàn),因其技術(shù)復(fù)雜性與銷售方式絕非業(yè)余個(gè)人或小組織能夠達(dá)到�����,使得專業(yè)化、商業(yè)化與組織化的正式登上臺面�����,而業(yè)余黑客僅為了出名而撰寫的病毒爆發(fā)事件減少����,也正式宣告了黑客行為真正進(jìn)入了新的時(shí)代。
臺灣地區(qū)也有類似案例����。以年初發(fā)生的P2P軟件Foxy泄露資料事件來說�����,因傳出部份Foxy版本會(huì)自動(dòng)將使用者整個(gè)硬碟檔案與P2P網(wǎng)路上所有使用者分享,便曾一度引發(fā)犯罪集團(tuán)利用Foxy竊取個(gè)人資料的揣測。
而近日臺灣地區(qū)主要購物網(wǎng)站發(fā)生的疑似客戶資料外泄事件����,也在刑事局偵辦后發(fā)現(xiàn),為黑客在搜集到使用者部份資料后�����,以資料拼圖方式���,在特定網(wǎng)站測試用戶帳號密碼�����,一但成功�,便可合法進(jìn)入使用者帳號觀看所有個(gè)人資料��、采購記錄��,再將這些資料轉(zhuǎn)賣給詐騙集團(tuán)進(jìn)行傳統(tǒng)ATM轉(zhuǎn)帳詐騙��,不但顯示在網(wǎng)絡(luò)上竊取個(gè)人資料已集團(tuán)化作業(yè)�,不同犯罪組織甚至還會(huì)虛擬與實(shí)體犯罪的整合。
黑客工具也有技術(shù)支持�?
惡意軟體或駭客工具的銷售并不是新鮮事,事實(shí)上�����,通過搜索引擎或特定網(wǎng)絡(luò)社區(qū)����,都不難找到兜售黑客工具的資訊�����。此外�����,黑客社區(qū)向來也都有互相交流的文化�,甚至類似開放源代碼軟件授權(quán)的精神----在他人的基礎(chǔ)上繼續(xù)開發(fā)���,并將成果貢獻(xiàn)出來��,也使得黑客工具在過去也能夠通過社區(qū)的維系����,也是“產(chǎn)品更新”的一種型式��。
但MPack的特別之處�����,便是不再只隱身在社群中�����,而是直截了當(dāng)?shù)匾浦采虡I(yè)軟件的經(jīng)營模式���,以營利之姿登場��。
來自俄羅斯�����,并在2006年12月推出第一個(gè)版本的MPack�����,是一個(gè)PHP-based的惡意軟件工具套件�����,利用iFrame等漏洞入侵合法網(wǎng)站并植入惡意程序�����,讓不知情的網(wǎng)友感染���,并提供購買的黑客Web-based管理介面,可監(jiān)看發(fā)動(dòng)攻擊后的感染狀況。
MPack可直接通過網(wǎng)站購得����,大約以每個(gè)月一個(gè)新版本的速度更新,基本版售價(jià)約500至1000美元不等�,并會(huì)提供為期一年的產(chǎn)品更新及支持,另外還針對最新的軟件漏洞發(fā)行附加模組���,售價(jià)則在30至300美元不等�����。
經(jīng)營手法創(chuàng)新��,但MPack真正引起眾人注意�,是開始于今年中的兩項(xiàng)大規(guī)模攻擊事件����。
首先是六月底、七月初發(fā)生在歐洲的上萬個(gè)網(wǎng)站遭黑的事件�����。根據(jù)McAfee�、Websense與趨勢科技當(dāng)時(shí)發(fā)布的安全通報(bào),都指出駭客使用了MPack工具來發(fā)動(dòng)攻擊�。而在八月份,印度銀行網(wǎng)站遭攻擊事件也被認(rèn)為與MPack有關(guān)����。
風(fēng)暴蠕蟲打造僵尸網(wǎng)絡(luò)供出租
除了黑客工具販賣有了新商業(yè)模式,挾持大批僵尸網(wǎng)絡(luò)的“僵尸網(wǎng)絡(luò)牧人(bot-herders)”公然出租僵尸網(wǎng)絡(luò)供租用者進(jìn)行DDoS(分散式阻絕服務(wù))攻擊的情況也越來越常見���。海外已經(jīng)開始有黑客以僵尸網(wǎng)絡(luò)發(fā)動(dòng)DDoS攻擊來勒索知名企業(yè)的案例�。
根據(jù)McAfee統(tǒng)計(jì)客戶回報(bào)信息�,僵尸網(wǎng)絡(luò)在安全防護(hù)技術(shù)進(jìn)步下,在2006的數(shù)目一路下滑�����,并在11月達(dá)到單月偵測數(shù)10萬次以下的最低點(diǎn)���,但隨著2007年一月風(fēng)暴蠕蟲(Storm Worm)的出現(xiàn)����,卻又開始顯著成長���,在2007年八月則達(dá)到逼近90萬次偵測數(shù)的高峰
IronPort臺灣技術(shù)顧問總監(jiān)林育民便說�����,風(fēng)暴蠕蟲變種速度快���,且會(huì)將感染電腦組成一個(gè)P2P的群體��,而非傳統(tǒng)僵尸網(wǎng)絡(luò)的中央控制架構(gòu)�����,不但難以追蹤源頭��,也不易估算整體僵尸網(wǎng)絡(luò)規(guī)模�����,“設(shè)計(jì)精良���,背後應(yīng)有專業(yè)組織在設(shè)計(jì)、操控��,”他說���。
根據(jù)IronPort綜合多家研究機(jī)構(gòu)統(tǒng)計(jì)����,2007年風(fēng)暴蠕蟲從無到有�����,共引起100萬到1000萬臺不等的系統(tǒng)感染��,而估計(jì)數(shù)字差距龐大的原因�,即在于風(fēng)暴蠕蟲產(chǎn)生的僵尸網(wǎng)路,尚缺乏能合理計(jì)算其數(shù)量的方法所致���。
除了代客攻擊�����,黑客也已發(fā)展出僵尸網(wǎng)路的最新利用方式:搜集使用行為信息作行銷��。
CA便在其網(wǎng)絡(luò)威脅報(bào)告中指出�����,“僵尸網(wǎng)路牧人”除了出租旗下僵尸網(wǎng)路進(jìn)行攻擊����,還可順便搜集使用者的行為信息,成為目標(biāo)式行銷的最佳資料庫���,“甚至可與最大型的正規(guī)行銷商抗衡�,”CA在該報(bào)告中指出��。
MPack與風(fēng)暴蠕蟲不單止是2007年安全新聞的重點(diǎn)�����,更因其采用了更復(fù)雜化的技術(shù)�����,使傳統(tǒng)自殺式的攻擊----攻擊然后消失----成為過去�����,IronPort指出�����,MPack與風(fēng)暴蠕蟲借由不停推陳出新���,以及商業(yè)手法���,將成為能夠長存且可重復(fù)利用的攻擊平臺��。
對攻擊者來說�,“業(yè)余時(shí)代已經(jīng)結(jié)束�����,”林育民說
|
