|
告别07业余时代 黑客产业隐然成形
|
来源: 2008-01-03 13:48:55
|
告别2007年,业余黑客的时代恐也将随之结束,取而代之的,是以营利为目的、专业并组织化的恶意软件“产业”,甚至还有yb亚博全站首页的技术支持,安全厂商表示。 回顾2007年,包括赛门铁克、趋势科技、ironport、websense、mcafee等安全厂商,不约而同指出一个共同现象:在黑市公开销售的专业黑客工具,以及出租僵尸网络(botnet)等地下经济现象,不但助长了网络犯罪,而黑客工具业者提供如合法商用软件般定制化、产品更新与yb亚博全站首页的技术支持等“服务”,也为黑客地下经济创造出全新的营运模式,黑客“产业”隐然成形。 黑客行为的商业化或组织化并非自2007年才出现,以偷取资料为目的的恶意软件早就存在,在网络地下经济服务器上贩售所得的个人信息亦非新闻,以营利而非出名的网络犯罪动机也早就渐渐蔚为主流。 但安全厂商认为,2007年黑客工具mpack、与风暴蠕虫的出现,因其技术复杂性与销售方式绝非业余个人或小组织能够达到,使得专业化、商业化与组织化的正式登上台面,而业余黑客仅为了出名而撰写的病毒爆发事件减少,也正式宣告了黑客行为真正进入了新的时代。 台湾地区也有类似案例。以年初发生的p2p软件foxy泄露资料事件来说,因传出部份foxy版本会自动将使用者整个硬碟档案与p2p网路上所有使用者分享,便曾一度引发犯罪集团利用foxy窃取个人资料的揣测。 而近日台湾地区主要购物网站发生的疑似客户资料外泄事件,也在刑事局侦办后发现,为黑客在搜集到使用者部份资料后,以资料拼图方式,在特定网站测试用户帐号密码,一但成功,便可合法进入使用者帐号观看所有个人资料、采购记录,再将这些资料转卖给诈骗集团进行传统atm转帐诈骗,不但显示在网络上窃取个人资料已集团化作业,不同犯罪组织甚至还会虚拟与实体犯罪的整合。 黑客工具也有yb亚博全站首页的技术支持? 恶意软体或骇客工具的销售并不是新鲜事,事实上,通过搜索引擎或特定网络社区,都不难找到兜售黑客工具的资讯。此外,黑客社区向来也都有互相交流的文化,甚至类似开放源代码软件授权的精神----在他人的基础上继续开发,并将成果贡献出来,也使得黑客工具在过去也能够通过社区的维系,也是“产品更新”的一种型式。 但mpack的特别之处,便是不再只隐身在社群中,而是直截了当地移植商业软件的经营模式,以营利之姿登场。 来自俄罗斯,并在2006年12月推出第一个版本的mpack,是一个php-based的恶意软件工具套件,利用iframe等漏洞入侵合法网站并植入恶意程序,让不知情的网友感染,并提供购买的黑客web-based管理介面,可监看发动攻击后的感染状况。 mpack可直接通过网站购得,大约以每个月一个新版本的速度更新,基本版售价约500至1000美元不等,并会提供为期一年的产品更新及支持,另外还针对最新的软件漏洞发行附加模组,售价则在30至300美元不等。 经营手法创新,但mpack真正引起众人注意,是开始于今年中的两项大规模攻击事件。 首先是六月底、七月初发生在欧洲的上万个网站遭黑的事件。根据mcafee、websense与趋势科技当时发布的安全通报,都指出骇客使用了mpack工具来发动攻击。而在八月份,印度银行网站遭攻击事件也被认为与mpack有关。 风暴蠕虫打造僵尸网络供出租 除了黑客工具贩卖有了新商业模式,挟持大批僵尸网络的“僵尸网络牧人(bot-herders)”公然出租僵尸网络供租用者进行ddos(分散式阻绝服务)攻击的情况也越来越常见。海外已经开始有黑客以僵尸网络发动ddos攻击来勒索知名企业的案例。 根据mcafee统计客户回报信息,僵尸网络在安全防护技术进步下,在2006的数目一路下滑,并在11月达到单月侦测数10万次以下的最低点,但随着2007年一月风暴蠕虫(storm worm)的出现,却又开始显着成长,在2007年八月则达到逼近90万次侦测数的高峰。 ironport台湾技术顾问总监林育民便说,风暴蠕虫变种速度快,且会将感染电脑组成一个p2p的群体,而非传统僵尸网络的中央控制架构,不但难以追踪源头,也不易估算整体僵尸网络规模,“设计精良,背後应有专业组织在设计、操控,”他说。 根据ironport综合多家研究机构统计,2007年风暴蠕虫从无到有,共引起100万到1000万台不等的系统感染,而估计数字差距庞大的原因,即在于风暴蠕虫产生的僵尸网路,尚缺乏能合理计算其数量的方法所致。 除了代客攻击,黑客也已发展出僵尸网路的最新利用方式:搜集使用行为信息作行销。 ca便在其网络威胁报告中指出,“僵尸网路牧人”除了出租旗下僵尸网路进行攻击,还可顺便搜集使用者的行为信息,成为目标式行销的最佳资料库,“甚至可与最大型的正规行销商抗衡,”ca在该报告中指出。 mpack与风暴蠕虫不单止是2007年安全新闻的重点,更因其采用了更复杂化的技术,使传统自杀式的攻击----攻击然后消失----成为过去,ironport指出,mpack与风暴蠕虫借由不停推陈出新,以及商业手法,将成为能够长存且可重复利用的攻击平台。 对攻击者来说,“业余时代已经结束,”林育民说。 |