回顧2007年,包括賽門鐵克����、趨勢科技、IronPort��、Websense����、McAfee等安全廠商,不約而同指出一個共同現(xiàn)象:在黑市公開銷售的專業(yè)黑客工具�����,以及出租僵尸網(wǎng)絡(botnet)等地下經(jīng)濟現(xiàn)象�����,不但助長了網(wǎng)絡犯罪,而黑客工具業(yè)者提供如合法商用軟件般定制化��、產(chǎn)品更新與技術支持等“服務”�����,也為黑客地下經(jīng)濟創(chuàng)造出全新的營運模式��,黑客“產(chǎn)業(yè)”隱然成形��。
黑客行為的商業(yè)化或組織化并非自2007年才出現(xiàn)��,以偷取資料為目的的惡意軟件早就存在����,在網(wǎng)絡地下經(jīng)濟服務器上販售所得的個人信息亦非新聞,以營利而非出名的網(wǎng)絡犯罪動機也早就漸漸蔚為主流�����。
但安全廠商認為���,2007年黑客工具MPack、與風暴蠕蟲的出現(xiàn)�,因其技術復雜性與銷售方式絕非業(yè)余個人或小組織能夠達到,使得專業(yè)化、商業(yè)化與組織化的正式登上臺面��,而業(yè)余黑客僅為了出名而撰寫的病毒爆發(fā)事件減少���,也正式宣告了黑客行為真正進入了新的時代��。
臺灣地區(qū)也有類似案例��。以年初發(fā)生的P2P軟件Foxy泄露資料事件來說����,因傳出部份Foxy版本會自動將使用者整個硬碟檔案與P2P網(wǎng)路上所有使用者分享����,便曾一度引發(fā)犯罪集團利用Foxy竊取個人資料的揣測。
而近日臺灣地區(qū)主要購物網(wǎng)站發(fā)生的疑似客戶資料外泄事件���,也在刑事局偵辦后發(fā)現(xiàn)���,為黑客在搜集到使用者部份資料后,以資料拼圖方式���,在特定網(wǎng)站測試用戶帳號密碼�,一但成功,便可合法進入使用者帳號觀看所有個人資料�、采購記錄,再將這些資料轉(zhuǎn)賣給詐騙集團進行傳統(tǒng)ATM轉(zhuǎn)帳詐騙��,不但顯示在網(wǎng)絡上竊取個人資料已集團化作業(yè)����,不同犯罪組織甚至還會虛擬與實體犯罪的整合。
黑客工具也有技術支持�?
惡意軟體或駭客工具的銷售并不是新鮮事,事實上��,通過搜索引擎或特定網(wǎng)絡社區(qū)���,都不難找到兜售黑客工具的資訊��。此外�����,黑客社區(qū)向來也都有互相交流的文化����,甚至類似開放源代碼軟件授權(quán)的精神----在他人的基礎上繼續(xù)開發(fā)�,并將成果貢獻出來,也使得黑客工具在過去也能夠通過社區(qū)的維系�����,也是“產(chǎn)品更新”的一種型式���。
但MPack的特別之處���,便是不再只隱身在社群中,而是直截了當?shù)匾浦采虡I(yè)軟件的經(jīng)營模式�����,以營利之姿登場����。
來自俄羅斯,并在2006年12月推出第一個版本的MPack�,是一個PHP-based的惡意軟件工具套件,利用iFrame等漏洞入侵合法網(wǎng)站并植入惡意程序�����,讓不知情的網(wǎng)友感染����,并提供購買的黑客Web-based管理介面�����,可監(jiān)看發(fā)動攻擊后的感染狀況��。
MPack可直接通過網(wǎng)站購得�����,大約以每個月一個新版本的速度更新��,基本版售價約500至1000美元不等�����,并會提供為期一年的產(chǎn)品更新及支持�,另外還針對最新的軟件漏洞發(fā)行附加模組�,售價則在30至300美元不等。
經(jīng)營手法創(chuàng)新�����,但MPack真正引起眾人注意,是開始于今年中的兩項大規(guī)模攻擊事件��。
首先是六月底����、七月初發(fā)生在歐洲的上萬個網(wǎng)站遭黑的事件����。根據(jù)McAfee、Websense與趨勢科技當時發(fā)布的安全通報�,都指出駭客使用了MPack工具來發(fā)動攻擊。而在八月份�,印度銀行網(wǎng)站遭攻擊事件也被認為與MPack有關。
風暴蠕蟲打造僵尸網(wǎng)絡供出租
除了黑客工具販賣有了新商業(yè)模式�����,挾持大批僵尸網(wǎng)絡的“僵尸網(wǎng)絡牧人(bot-herders)”公然出租僵尸網(wǎng)絡供租用者進行DDoS(分散式阻絕服務)攻擊的情況也越來越常見�����。海外已經(jīng)開始有黑客以僵尸網(wǎng)絡發(fā)動DDoS攻擊來勒索知名企業(yè)的案例���。
根據(jù)McAfee統(tǒng)計客戶回報信息�,僵尸網(wǎng)絡在安全防護技術進步下���,在2006的數(shù)目一路下滑��,并在11月達到單月偵測數(shù)10萬次以下的最低點�����,但隨著2007年一月風暴蠕蟲(Storm Worm)的出現(xiàn)��,卻又開始顯著成長����,在2007年八月則達到逼近90萬次偵測數(shù)的高峰
IronPort臺灣技術顧問總監(jiān)林育民便說,風暴蠕蟲變種速度快���,且會將感染電腦組成一個P2P的群體��,而非傳統(tǒng)僵尸網(wǎng)絡的中央控制架構(gòu)��,不但難以追蹤源頭����,也不易估算整體僵尸網(wǎng)絡規(guī)模����,“設計精良�,背後應有專業(yè)組織在設計�、操控,”他說�����。
根據(jù)IronPort綜合多家研究機構(gòu)統(tǒng)計�,2007年風暴蠕蟲從無到有�����,共引起100萬到1000萬臺不等的系統(tǒng)感染�,而估計數(shù)字差距龐大的原因,即在于風暴蠕蟲產(chǎn)生的僵尸網(wǎng)路�����,尚缺乏能合理計算其數(shù)量的方法所致���。
除了代客攻擊��,黑客也已發(fā)展出僵尸網(wǎng)路的最新利用方式:搜集使用行為信息作行銷����。
CA便在其網(wǎng)絡威脅報告中指出,“僵尸網(wǎng)路牧人”除了出租旗下僵尸網(wǎng)路進行攻擊�,還可順便搜集使用者的行為信息,成為目標式行銷的最佳資料庫�����,“甚至可與最大型的正規(guī)行銷商抗衡����,”CA在該報告中指出。
MPack與風暴蠕蟲不單止是2007年安全新聞的重點���,更因其采用了更復雜化的技術��,使傳統(tǒng)自殺式的攻擊----攻擊然后消失----成為過去�����,IronPort指出�����,MPack與風暴蠕蟲借由不停推陳出新����,以及商業(yè)手法,將成為能夠長存且可重復利用的攻擊平臺����。
對攻擊者來說,“業(yè)余時代已經(jīng)結(jié)束��,”林育民說
|
