回顾2007年,包括赛门铁克、趋势科技、IronPort、Websense、McAfee等安全厂商,不约而同指出一个共同现象:在黑市公开销售的专业黑客工具,以及出租僵尸网络(botnet)等地下经济现象,不但助长了网络犯罪,而黑客工具业者提供如合法商用软件般定制化、产品更新与技术支持等“服务”,也为黑客地下经济创造出全新的营运模式,黑客“产业”隐然成形。
黑客行为的商业化或组织化并非自2007年才出现,以偷取资料为目的的恶意软件早就存在,在网络地下经济服务器上贩售所得的个人信息亦非新闻,以营利而非出名的网络犯罪动机也早就渐渐蔚为主流。
但安全厂商认为,2007年黑客工具MPack、与风暴蠕虫的出现,因其技术复杂性与销售方式绝非业余个人或小组织能够达到,使得专业化、商业化与组织化的正式登上台面,而业余黑客仅为了出名而撰写的病毒爆发事件减少,也正式宣告了黑客行为真正进入了新的时代。
台湾地区也有类似案例。以年初发生的P2P软件Foxy泄露资料事件来说,因传出部份Foxy版本会自动将使用者整个硬碟档案与P2P网路上所有使用者分享,便曾一度引发犯罪集团利用Foxy窃取个人资料的揣测。
而近日台湾地区主要购物网站发生的疑似客户资料外泄事件,也在刑事局侦办后发现,为黑客在搜集到使用者部份资料后,以资料拼图方式,在特定网站测试用户帐号密码,一但成功,便可合法进入使用者帐号观看所有个人资料、采购记录,再将这些资料转卖给诈骗集团进行传统ATM转帐诈骗,不但显示在网络上窃取个人资料已集团化作业,不同犯罪组织甚至还会虚拟与实体犯罪的整合。
黑客工具也有技术支持?
恶意软体或骇客工具的销售并不是新鲜事,事实上,通过搜索引擎或特定网络社区,都不难找到兜售黑客工具的资讯。此外,黑客社区向来也都有互相交流的文化,甚至类似开放源代码软件授权的精神----在他人的基础上继续开发,并将成果贡献出来,也使得黑客工具在过去也能够通过社区的维系,也是“产品更新”的一种型式。
但MPack的特别之处,便是不再只隐身在社群中,而是直截了当地移植商业软件的经营模式,以营利之姿登场。
来自俄罗斯,并在2006年12月推出第一个版本的MPack,是一个PHP-based的恶意软件工具套件,利用iFrame等漏洞入侵合法网站并植入恶意程序,让不知情的网友感染,并提供购买的黑客Web-based管理介面,可监看发动攻击后的感染状况。
MPack可直接通过网站购得,大约以每个月一个新版本的速度更新,基本版售价约500至1000美元不等,并会提供为期一年的产品更新及支持,另外还针对最新的软件漏洞发行附加模组,售价则在30至300美元不等。
经营手法创新,但MPack真正引起众人注意,是开始于今年中的两项大规模攻击事件。
首先是六月底、七月初发生在欧洲的上万个网站遭黑的事件。根据McAfee、Websense与趋势科技当时发布的安全通报,都指出骇客使用了MPack工具来发动攻击。而在八月份,印度银行网站遭攻击事件也被认为与MPack有关。
风暴蠕虫打造僵尸网络供出租
除了黑客工具贩卖有了新商业模式,挟持大批僵尸网络的“僵尸网络牧人(bot-herders)”公然出租僵尸网络供租用者进行DDoS(分散式阻绝服务)攻击的情况也越来越常见。海外已经开始有黑客以僵尸网络发动DDoS攻击来勒索知名企业的案例。
根据McAfee统计客户回报信息,僵尸网络在安全防护技术进步下,在2006的数目一路下滑,并在11月达到单月侦测数10万次以下的最低点,但随着2007年一月风暴蠕虫(Storm Worm)的出现,却又开始显着成长,在2007年八月则达到逼近90万次侦测数的高峰
IronPort台湾技术顾问总监林育民便说,风暴蠕虫变种速度快,且会将感染电脑组成一个P2P的群体,而非传统僵尸网络的中央控制架构,不但难以追踪源头,也不易估算整体僵尸网络规模,“设计精良,背後应有专业组织在设计、操控,”他说。
根据IronPort综合多家研究机构统计,2007年风暴蠕虫从无到有,共引起100万到1000万台不等的系统感染,而估计数字差距庞大的原因,即在于风暴蠕虫产生的僵尸网路,尚缺乏能合理计算其数量的方法所致。
除了代客攻击,黑客也已发展出僵尸网路的最新利用方式:搜集使用行为信息作行销。
CA便在其网络威胁报告中指出,“僵尸网路牧人”除了出租旗下僵尸网路进行攻击,还可顺便搜集使用者的行为信息,成为目标式行销的最佳资料库,“甚至可与最大型的正规行销商抗衡,”CA在该报告中指出。
MPack与风暴蠕虫不单止是2007年安全新闻的重点,更因其采用了更复杂化的技术,使传统自杀式的攻击----攻击然后消失----成为过去,IronPort指出,MPack与风暴蠕虫借由不停推陈出新,以及商业手法,将成为能够长存且可重复利用的攻击平台。
对攻击者来说,“业余时代已经结束,”林育民说
|
