数年前,典型黑客场景,就是一名或几个攻击者,在咖啡因碳酸饮料的刺激下鏖战深夜,找寻开放IP地址。一旦找到一个,他们便开始枚举其上广告服务(Web服务器、SQL服务器等等),利用多个漏洞攻入,然后探索被黑公司,挖掘其核心内容。他们的目的往往只是满足自身好奇心。即便做了什么违法的事情,通常也只是一时兴起的机会性犯罪。
如今,想要描述典型黑客场景,你必须得从黑客活动甚或黑客本身之前,从攻击背后的黑客组织开始。时至今日,黑客活动已成为全时段全类型的犯罪,有恶意软件竞价市场、网络犯罪集团、雇佣僵尸网络、国家支持黑客和狼烟四起的网络战。
今天的IT安全人士,面临9大危险:
威胁No.1:网络犯罪集团
尽管独狼犯罪大师依然存在,如今的大多数恶意黑客攻击,都是有组织犯罪团伙的产物,其中一些团伙还是职业的。惯于从事贩毒、博彩、敲诈勒索等行当的传统有组织犯罪团伙,已投身在线抢钱事业,但竞争非常激烈,不是由黑手党领导,而是在几个专注网络犯罪的超大型职业犯罪团伙操控下。
大多数最成功的有组织网络犯罪集团,是统领大型下属企业组织的公司,大多沿袭合法分布式营销层次结构。事实上,无论愿不愿意承认,今天的网络罪犯可能更像是雅芳或玫琳凯直销代表。
成员略少的小型团伙也在从事黑客活动,但IT安全人士真正要面对的,更多是专注流氓行径的大集团。想想全职员工、人力资源部、项目管理团队、团队主管等等,全部都是罪犯,不再是小孩子的恶作剧,是正正经经的犯罪企业。大部分都公开经营,有些甚至有自己的维基百科条目——比如俄罗斯商业网络。有点让你回忆过去美好时光的意味,不是吗?
专业分工是这些企业的核心。一个主脑,或内部核心圈子,运营整个集团。中层和分部专精不同领域,一部分人致力于创建恶意软件,一部分人负责市场营销,一部分建立并维护分发渠道,还有一部分人构建僵尸网络并出售给其他作恶的人。
通行IT安全操作无法对抗今天的恶意软件毫不令人奇怪,毕竟网络犯罪已发展成面向服务的多层次产业,公然劫掠公司企业和普通民众的钱财及知识产权。
威胁No.2:小规模诈骗及作为支撑的钱骡和洗钱者
不是所有的网络犯罪组织都是大集团或企业,有些只是以金钱为唯一追逐目标的小“业务”。
这些恶意夫妻店或许只是盗窃身份和口令,或者通过恶意重定向来获得账号口令。最终目的:钱。他们创建虚假信用卡或银行交易,利用钱骡、电子现金分发、网上银行或者其他洗钱方式,将这些非法所得转化为当地货币。
洗钱者不难找。成百上千的实体争相成为能在这些非法所得上分一杯羹的人。事实上,期望成为互联网犯罪支持环节一员的人数及其公开性,都令人惊讶的高。他们主打“不问”、“干净”,托管在法律传票无法企及的国家,提供公共公告牌、软件特价、全天候电话支持、竞价论坛、可靠的客户参考、反恶意软件规避技术,以及所有帮助他人成为更好在线罪犯的种种服务。一系列此类团伙每年净赚数千万美元。
过去几年,很多此类团伙及其背后人员都被相继指认并逮捕。他们的社交媒体资料显示,这些人都是住豪宅,开豪车,全家惬意出国游的富裕人士。但凡他们对盗取他人钱财的行为有一点点罪恶感,都不会在社交媒体上如此炫富。
想象一下社区露天烧烤餐会上,告诉邻居和朋友自己开了个“互联网营销公司”的那些人——根本就是用社会工程方法盗取千百万美元,让无数尽全力保护用户不落圈套的IT安全人士惊愕不已的那些。
威胁No.3:激进黑客
相比早期常见的漏洞利用自吹自擂,今天的网络犯罪追求的是潜踪匿迹——只除了激进黑客军团这个例外。
IT安全人士不得不面对致力于政治活动的松散个人黑客团体的兴起,比如着名的“匿名者(Anonymous)”组织。政治动机的黑客,自黑客活动最初诞生时就已存在。发展到今日的最大改变,是其更多地公开进行,且社会也承认这是一种政治活动形式。
政治性黑客团体,往往事先会在公开论坛上公布其目标和所用黑客工具,匿名或具名都有。他们招募更多成员,向媒体表达不满以获取公众支持,一旦因违法行为被捕,往往还表现得非常惊讶。他们的目的,是尽可能羞辱受害者或给受害者带来负面媒体关注,手段可能包含盗取客户信息、执行DDoS攻击,或者单纯给受害公司造成额外麻烦。
政治性激进黑客,最常倾向于给受害者造成金钱上的痛苦,试图改变受害者的行为。这种斗争中,个人可能会受到连带伤害,且无论人们是否相信激进黑客的政治原因,其意图和方法依然是触犯法律的。
威胁No.4:知识产权盗窃和商业间谍
盗取公司知识产权,或直接从事商业间谍活动的大量恶意黑客,是大多数IT安全人员必须面对的挑战。此类黑客的方法,就是入侵公司IT资产,转储全部口令,逐渐渗漏出GB级机密信息:专利、新产品创意、军事秘密、财务信息、商业计划等等。他们尽可能长时间地驻留在被入侵公司的网络中,将有价值信息出售给客户。
为收获回报,他们窃听重要邮件,突袭数据库,获取尽可能多的信息,有些甚至开始研发自己的恶意搜索引擎和查询工具,用以挑选更有价值的知识产权。
此类攻击者被称为高级持续性威胁(APT)或坚定人类对手(DHA)。极少有大型攻击没被此类威胁成功攻破过的。
威胁No.5:恶意软件佣兵
无论网络犯罪背后的意图或组织是什么,总得有人制作恶意软件。过去,程序员单打独斗创建恶意软件自用或出售。现在,有团队和公司专门编写恶意软件用于绕过特定安全防护,攻击特定客户,达成特定目标。这些软件在竞价论坛上公开出售。
通常,这些恶意软件都是模块化多阶段的。较小的存根程序,被赋予对受害计算机进行初始漏洞利用的任务,一旦安全植入以确保能挺过机器重启,该程序就会联系“母舰”Web服务器请求进一步指令。
初始存根程序通常会发出DNS查询请求以找寻母舰,它自身往往是一台临时充当母舰的被黑计算机。这些DNS查询请求,被发送到同样是无辜被感染受害电脑的DNS服务器。DNS服务器的角色在受害计算机间跳转,正如母舰Web服务器所做的那样。
一旦建立联系,DNS和母舰服务器,通常会将初始存根客户端,重定向到其他DNS和母舰服务器上。依此方式,存根客户端被不断导引(通常多达十几次以上)到新利用的计算机上,直到存根程序最终收到其最后的指令,而长久驻留型恶意程序被安装到受害主机上。此种设置让IT安全人员非常难以防护自身负责的IT资产。
威胁No.6:僵尸网络即服务
僵尸网络已不仅仅为其创建者所用了。今天的僵尸网络拥有者,更有可能购买了创建僵尸主机的恶意软件,要么自用,要么把僵尸网络租赁给他人。
其中方法学大家耳熟能详。每个恶意程序都试图利用成千上万台计算机,努力构建按创建者意图行事的僵尸网络。僵尸网络中的每台僵尸主机,最终都回连其命令与控制(C&C)服务器来获取最新指令。这些指令往往包含释放勒索软件程序的动作。僵尸网络藏身在成千上万的受感染计算机中。
如今这种活跃僵尸网络如此之多的情况下(每天数以百万计的受感染电脑),僵尸网络租赁就相当便宜了——IT安全人员的麻烦更多了。
恶意软件战士往往试图关闭C&C服务器,或者接过这些服务器的控制权,指令通连的僵尸主机清理宿主电脑并自杀。
威胁No.7:多功能恶意软件
复杂恶意软件程序通常打包出售,提供一应俱全的功能。它们不仅仅感染终端用户,还能入侵网站,修改网站以辅助感染更多受害者。这些多功能恶意软件程序通常自带管理控制台,其拥有着和创建者可以跟踪僵尸网络的当前行动、感染目标和成功率。
最恶意的程序是特洛伊木马。计算机病毒和蠕虫早已不再是最流行的恶意软件类型。大多数情况下,终端用户被诱骗执行特洛伊木马,木马往往伪装成必备杀毒扫描、磁盘碎片整理工具或其他一些看起来必要又无害的应用。用户的常规防御会被骗过,因为大多数时候,提供流氓可执行程序的网页,正是他们访问过多次的信任网站。坏人仅仅是入侵了该网站,使用许多技巧,插入几行JavaScript代码,将用户浏览器重定向到特洛伊木马程序。
威胁No.8:越来越多的被黑网站
从最基本的层面上看,网站就是一台计算机,就像普通的终端用户工作站。相对的,网站管理员与普通终端用户无异。于是,合法网站充斥恶意JavaScript重定向链接的情况,丝毫不令人惊讶。
这并不完全是网站管理员电脑被利用,而导致网页服务器被黑的问题。更经常的情况是,攻击者在网站上找到漏洞,绕过管理员身份验证,向网页中写入了恶意脚本。
常见网站漏洞包括:弱口令、跨站脚本漏洞、SQL注入、脆弱软件和不安全权限。开放网页应用安全项目(OWASP)十大,就是大多数Web服务器被黑方法的权威。
太多情况,都不是Web服务器或其应用软件,而是其上某些链接或广告被黑。普通广告公司投放的横幅广告,是最常被感染的。最见鬼的,是恶意软件拥有者有时候会在流行Web服务器上购买广告空间。
因为很多坏人都伪装成合法公司的生意人出现,带有完整的公司总部信息、商务名片和开支账户,我们并不总能轻易辨别出广告来源的合法性,坏人往往从给合法产品打广告开始,但在广告活动过程中就将广告中的链接替换成了流氓产品。一个有趣的漏洞利用案例,涉及黑客入侵某卡通集团,导致再版该受影响卡通的每家报纸,最终都是在推送恶意软件。这年月,你甚至都不能再相信卡通了。
被黑网站的另一个问题在于,托管网站的计算机往往同时托管着多家站点,有时候甚至是成百上千家。一家网站被黑,有可能很快就扩散到上千家站点。
无论网站是怎么被黑的,无辜的用户,哪些可能之前访问该网站数年都没发生任何问题的用户,某天就被提示要安装非预期的程序。尽管感觉十分诧异,但该提示来自他们已知且信任的网站的事实,也足以让他们选择执行该安装程序。然后,一切都完了。该终端用户的计算机(或移动设备),变身别人庞大僵尸网络中的有一个齿轮。
威胁No.9:网络战
民族国家网络战程序自成一派,不是大多数IT安全人员日常对付的东西。这些隐秘的行动,创建出复杂专业的网络战程序,旨在监视对手,或致瘫对手的某个功能。但正如震网和Duqu病毒所呈现的,此类方式的附带结果,可能比预期目标更多。我们如今都已经见识到有民族国家,比如朝鲜,仅仅因为不喜欢某部电影,就黑掉一家财富500强公司了。
犯罪无处罚
有些受害者从未从漏洞利用中恢复过来。他们的信用记录,被黑客的欺诈交易造成了永久性伤害,恶意软件使用受害者的地址簿列表,来向其朋友和家人转发自身,知识产权盗窃的受害者需要花费上千万美元进行修复和预防。
最糟的是,使用上述恶意攻击的人,几乎没有哪个被成功起诉。职业互联网罪犯生活富足滋润,因为互联网不擅长产生法庭可用的证据。即便可以产生,嫌犯也生活在受害者法律体系管辖范围之外。绝大多数黑客活动默认匿名进行,踪迹在几毫秒内被擦除或掩盖。我们目前还生活在互联网的“狂野西部”时代。随着互联网的成熟,罪犯的安全天堂终将干涸。在此之前,IT安全人士还有自己的工作要做。