2008年1月1日 星期二

告別2007 駭客「產業」隱然成形

ZDNet記者馬培治/台北報導 2007/12/31 17:20 2007進入最後告別倒數,業餘駭客的時代恐也將隨之結束,取而代之的,是以營利為目的、專業並組織化的惡意軟體「產業」,甚至還有技術支援,資安業者表示。

回顧2007年,包括賽門鐵克、趨勢科技、IronPort、Websense、McAfee等資安業者,不約而同指出一個共同現象:在黑市公開銷售的專 業駭客工具,以及出租殭屍網路(botnet)等地下經濟現象,不但助長了網路犯罪,而駭客工具業者提供如合法商用軟體般客製化、產品更新與技術支援等 「服務」,也為駭客地下經濟創造出全新的營運模式,駭客「產業」隱然成形。

駭客行為的商業化或組織化並非自2007年才出現,以偷取資料為目的的惡意軟體早就存在,在網路地下經濟伺服器上販售所得的個人資訊亦非新聞,以營利而非 出名的網路犯罪動機也早就漸漸蔚為主流;但資安業者認為,2007年駭客工具MPack、與風暴蠕蟲的出現,因其技術複雜性與銷售方式絕非業餘個人或小組 織能夠達到,使得專業化、商業化與組織化的網路犯罪正式登上檯面,而業餘駭客僅為了出名而撰寫的病毒爆發事件減少,也正式宣告了駭客行為真正進入了新的時 代。

台灣地區也有類似案例。以年初發生的P2P軟體Foxy洩露資料事件來說,因傳出部份Foxy版本會自動將使用者整個硬碟檔案與P2P網路上所有使用者分 享,便曾一度引發犯罪集團利用Foxy竊取個人資料的揣測。而近日國內主要購物網站發生的疑似客戶資料外洩事件,也在刑事局偵辦後發現,為駭客在搜集到使 用者部份資料後,以資料拼圖方式,在特定網站測試用戶帳號密碼,一但成功,便可合法進入使用者帳號觀看所有個人資料、採購記錄,再將這些資料轉賣給詐騙集 團進行傳統ATM轉帳詐騙,不但顯示在網路上竊取個人資料已集團化作業,不同犯罪組織甚至還會虛擬與實體犯罪的整合。

駭客工具也有技術支援?

惡意軟體或駭客工具的銷售並不是新鮮事,事實上,透過搜尋引擎或特定網路社群,都不難找到兜售駭客工具的資訊。此外,駭客社群向來也都有互相交流的文化, 甚至類似開原碼軟體授權的精神----在他人的基礎上繼續開發,並將成果貢獻出來,也使得駭客工具在過去也能夠透過社群的維繫,也是「產品更新」的一種型 式。

但MPack的特別之處,便是不再只隱身在社群中,而是直截了當地移植商業軟體的經營模式,以營利之姿登場。

來自俄羅斯,並在2006年12月推出第一個版本的MPack,是一個PHP-based的惡意軟體工具套件,利用iFrame等漏洞入侵合法網站並植入惡意程式,讓不知情的網友感染,並提供購買的駭客Web-based管理介面,可監看發動攻擊後的感染狀況。

MPack可直接透過網站購得,大約以每個月一個新版本的速度更新,基本版售價約500至1000美元不等,並會提供為期一年的產品更新及支援,另外還針對最新的軟體漏洞發行附加模組,售價則在30至300美元不等。

經營手法創新,但MPack真正引起眾人注意,是開始於今年中的兩項大規模攻擊事件。

首先是六月底、七月初發生在歐洲的上萬個網站遭駭的事件。根據McAfee、Websense與趨勢科技當時發佈的資安通報,都指出駭客使用了MPack工具來發動攻擊。而在八月份,印度銀行網站遭攻擊事件也被認為與MPack有關。

風暴蠕蟲打造殭屍網路供出租

除了駭客工具販賣有了新商業模式,挾持大批殭屍網路的「殭屍網路牧人(bot-herders)」公然出租殭屍網路供租用者進行DDoS(分散式阻絕服務)攻擊的情況也越來越常見。

調查局電腦犯罪偵辦科調查員錢世傑便表示,海外已經開始有駭客以殭屍網路發動DDoS攻擊來勒索知名企業的案例,國內亦不排除會有犯罪集團採用類似手法的可能性。

根據McAfee統計客戶回報資訊,殭屍網路在資安防護技術進步下,在2006的數目一路下滑,並在11月達到單月偵測數10萬次以下的最低點,但隨著 2007年一月風暴蠕蟲(Storm Worm)的出現,卻又開始顯著成長,在2007年八月則達到逼近90萬次偵測數的高峰。

IronPort技術顧問總監林育民便說,風暴蠕蟲變種速度快,且會將感染電腦組成一個P2P的群體,而非傳統殭屍網路的中央控制架構,不但難以追蹤源頭,也不易估算整體殭屍網路規模,「設計精良,背後應有專業組織在設計、操控,」他說。

根據IronPort綜合多家研究機構統計,2007年風暴蠕蟲從無到有,共引起100萬到1000萬台不等的系統感染,而估計數字差距龐大的原因,即在於風暴蠕蟲產生的殭屍網路,尚缺乏能合理計算其數量的方法所致。

除了代客攻擊,駭客也已發展出殭屍網路的最新利用方式:搜集使用行為資訊作行銷。

CA便在其網路威脅報告中指出,「殭屍網路牧人」除了出租旗下殭屍網路進行攻擊,還可順便搜集使用者的行為資訊,成為目標式行銷的最佳資料庫,「甚至可與最大型的正規行銷商抗衡,」CA在該報告中指出。

MPack與風暴蠕蟲不單止是2007年資安新聞的重點,更因其採用了更複雜化的技術,使傳統自殺式的攻擊----攻擊然後消失----成為過去,IronPort指出,MPack與風暴蠕蟲藉由不停推陳出新,以及商業手法,將成為能夠長存且可重複利用的攻擊平台。

對攻擊者來說,「業餘時代已經結束,」林育民說。

沒有留言: