告別2007年,業余黑客的時代恐也將隨之結束,取而代之的�����,是以營利為目的、專業并組織化的惡意軟件“產業”,甚至還有技術支持�����,安全廠商表示�。
回顧2007年�����,包括賽門鐵克�����、趨勢科技、IronPort����、Websense��、McAfee等安全廠商,不約而同指出一個共同現象:在黑市公開銷售的專業黑客工具���,以及出租僵尸網絡(botnet)等地下經濟現象,不但助長了網絡犯罪����,而黑客工具業者提供如合法商用軟件般定制化�����、產品更新與技術支持等“服務”,也為黑客地下經濟創造出全新的營運模式�,黑客“產業”隱然成形���。
黑客行為的商業化或組織化并非自2007年才出現���,以偷取資料為目的的惡意軟件早就存在,在網絡地下經濟服務器上販售所得的個人信息亦非新聞���,以營利而非出名的網絡犯罪動機也早就漸漸蔚為主流。
但安全廠商認為��,2007年黑客工具MPack�����、與風暴蠕蟲的出現����,因其技術復雜性與銷售方式絕非業余個人或小組織能夠達到����,使得專業化、商業化與組織化的正式登上臺面,而業余黑客僅為了出名而撰寫的病毒爆發事件減少,也正式宣告了黑客行為真正進入了新的時代。
臺灣地區也有類似案例��。以年初發生的P2P軟件Foxy泄露資料事件來說�,因傳出部份Foxy版本會自動將使用者整個硬碟檔案與P2P網路上所有使用者分享,便曾一度引發犯罪集團利用Foxy竊取個人資料的揣測。
而近日臺灣地區主要購物網站發生的疑似客戶資料外泄事件��,也在刑事局偵辦后發現�,為黑客在搜集到使用者部份資料后,以資料拼圖方式,在特定網站測試用戶帳號密碼��,一但成功��,便可合法進入使用者帳號觀看所有個人資料��、采購記錄,再將這些資料轉賣給詐騙集團進行傳統ATM轉帳詐騙����,不但顯示在網絡上竊取個人資料已集團化作業�,不同犯罪組織甚至還會虛擬與實體犯罪的整合����。
黑客工具也有技術支持��?
惡意軟體或駭客工具的銷售并不是新鮮事����,事實上,通過搜索引擎或特定網絡社區,都不難找到兜售黑客工具的資訊。此外�,黑客社區向來也都有互相交流的文化�����,甚至類似開放源代碼軟件授權的精神----在他人的基礎上繼續開發,并將成果貢獻出來,也使得黑客工具在過去也能夠通過社區的維系,也是“產品更新”的一種型式��。
但MPack的特別之處���,便是不再只隱身在社群中�,而是直截了當地移植商業軟件的經營模式,以營利之姿登場。
來自俄羅斯�,并在2006年12月推出第一個版本的MPack��,是一個PHP-based的惡意軟件工具套件,利用iFrame等漏洞入侵合法網站并植入惡意程序,讓不知情的網友感染�,并提供購買的黑客Web-based管理介面�,可監看發動攻擊后的感染狀況����。
MPack可直接通過網站購得,大約以每個月一個新版本的速度更新���,基本版售價約500至1000美元不等,并會提供為期一年的產品更新及支持,另外還針對最新的軟件漏洞發行附加模組��,售價則在30至300美元不等���。
經營手法創新����,但MPack真正引起眾人注意��,是開始于今年中的兩項大規模攻擊事件��。
首先是六月底、七月初發生在歐洲的上萬個網站遭黑的事件�。根據McAfee����、Websense與趨勢科技當時發布的安全通報���,都指出駭客使用了MPack工具來發動攻擊���。而在八月份��,印度銀行網站遭攻擊事件也被認為與MPack有關����。
風暴蠕蟲打造僵尸網絡供出租
除了黑客工具販賣有了新商業模式��,挾持大批僵尸網絡的“僵尸網絡牧人(bot-herders)”公然出租僵尸網絡供租用者進行DDoS(分散式阻絕服務)攻擊的情況也越來越常見����。海外已經開始有黑客以僵尸網絡發動DDoS攻擊來勒索知名企業的案例�。
根據McAfee統計客戶回報信息,僵尸網絡在安全防護技術進步下�����,在2006的數目一路下滑���,并在11月達到單月偵測數10萬次以下的最低點���,但隨著2007年一月風暴蠕蟲(Storm Worm)的出現����,卻又開始顯著成長��,在2007年八月則達到逼近90萬次偵測數的高峰����。
IronPort臺灣技術顧問總監林育民便說,風暴蠕蟲變種速度快���,且會將感染電腦組成一個P2P的群體,而非傳統僵尸網絡的中央控制架構�,不但難以追蹤源頭�����,也不易估算整體僵尸網絡規模,“設計精良�,背後應有專業組織在設計�����、操控,”他說�。
根據IronPort綜合多家研究機構統計�,2007年風暴蠕蟲從無到有����,共引起100萬到1000萬臺不等的系統感染,而估計數字差距龐大的原因����,即在于風暴蠕蟲產生的僵尸網路����,尚缺乏能合理計算其數量的方法所致����。
除了代客攻擊����,黑客也已發展出僵尸網路的最新利用方式:搜集使用行為信息作行銷。
CA便在其網絡威脅報告中指出,“僵尸網路牧人”除了出租旗下僵尸網路進行攻擊���,還可順便搜集使用者的行為信息,成為目標式行銷的最佳資料庫,“甚至可與最大型的正規行銷商抗衡,”CA在該報告中指出。
MPack與風暴蠕蟲不單止是2007年安全新聞的重點����,更因其采用了更復雜化的技術�����,使傳統自殺式的攻擊----攻擊然后消失----成為過去,IronPort指出��,MPack與風暴蠕蟲借由不停推陳出新��,以及商業手法����,將成為能夠長存且可重復利用的攻擊平臺���。
對攻擊者來說���,“業余時代已經結束��,”林育民說����。
