現今駭客的真面貌也許就像Christopher Maxwell一樣:白天在Wal-Mart百貨上班,但到了晚上,便化身成為操控殭屍網路(Botnet)的傢伙;不然,也可能如同Ancheta一般,年紀輕輕,可是出入有名車代步,靠著兜售廣告軟體和租賃殭屍網路給廣告商,從中牟利超過60,000美元。
他們的計劃不但縝密周到,所獲得利潤也相當可觀!這些數不清的無辜受害者,大多是不知情的受害企業和家用電腦。其中以西雅圖市的西北醫院(Northwest Hospital)受害程度最嚴重。據了解,Maxwell利用Sasser蠕蟲攻陷具LSASS登錄驗證服務弱點的Windows機器,這些蠕蟲侵略性的掃描整個醫療網路,找尋有漏洞的伺服器和電腦用戶,將某些服務的管理功能關閉停止,像是記錄管理功能、病患的認證及帳務功能。其造成的影響是病患醫療雖持續進行,但醫院的醫療程序卻無端地被變更,同時也改變了病患原定的治療時間。
調查當局指出,駭客只要將廣告軟體植入一台主機,便可獲得15分美金的回饋,如此一來,15分美元便在數千台受害主機之中不斷地增長。
這些案例詳實地被記錄在冗長的法院文件裡,而這只是眾多以利益為導向的網路犯罪型態中的案例罷了!過去駭客用高超手法取得權限,炫耀自身技術的日子早已不復存在,現今的電腦攻擊者會聚集組織殭屍網路,開發複雜的程式,並且販售漏洞,這當中只為了一個目的──就是錢。引述一名法務部官員的說法,「雖然部份攻擊者,會像狼一般獨自行動,但其餘攻擊者的背後則是有著龐大,且深具組織性的機制正在運作。」
就使用者層級的損害來判斷,跡象顯示線上詐騙會朝向榨乾銀行帳戶和偷取用戶身份下手,而就企業而言,受影響的層面則會是機密資料流失、作業遭破壞中斷,以及聲譽受損。
數字會說話
遭入侵的受害者以及相關統計數據會告訴你整串事情的結果。今年年初,由IBM針對IT廠商所作的一項調查報告顯示,有將近60%認為電腦犯罪比實體犯罪造成更多的利益損害,流失更多的顧客,非但如此,還會喪失勞動者的生產力。
FBI和CSI(Computer Security Institute)對於700個資安廠商所作年度調查也透露,未授權存取資料所造成的平均損失,從2004年的51,454美元暴增到去年的303,234美元,同期,私密資料遭竊取所造成的平均損失,也翻了一倍多,直逼355,552美元。另外,Computer Economics研究機構更預估,全球因惡意程式所造成的損害,包含復原成本以及淨值損失在內,將高達142億美元。
事實上,殭屍網路的確是讓駭客造成這種混亂的主因!眾多的控制程式直到被控制主機觸發之前,都還只具有部份功能而已。但是,一旦遭到喚醒之後,殭屍控制程式便會下載惡意程式庫中的其它功能,包括鍵盤側錄能力的木馬程式,或是擁有與外界溝通的自動更新能力。
Symantec最新出爐的網路安全威脅報告指出,在2005年的下半年,就有近11,000隻Windows新種病毒和蠕蟲出現,絕大部份的能力都是在感染電腦中置入殭屍控制程式,而在2005年的前半年,跟殭屍控制程式有關的蠕蟲就佔了43%,並且讓一堆瀏覽器的漏洞也都因此上了頭版新聞。接下來,Symantec更預測,下一波大規模的殭屍控制行動即將來臨!
「這幫惡徒早已修正他們的經營模式!」,既是惡意程式專家,同時也是作家的Ed Skoudis說道,「要是你回顧20年前,絕少犯罪組織會擁有IT部門。但現在他們卻有,而且只要花錢就可以買得到!」
暗中搞鬼
許多駭客目前對於植入廣告軟體和出租殭屍網路所獲取的微薄報酬已不再滿足。因此,他們除了想要取得顧客以及智財權相關資料外,也將腦筋動到政府機構上,虎視眈眈的要偷取極度機密的資料文件,倘若他們真的成功,後果可能會危及到國家安全。一家不願具名的製造大廠指出,來自於中國大陸和東歐共產國家的網路掃描,一直在探測蒐集工程檔案資料,好在交易活絡的黑市之中,將其賣給競爭對手。
所謂「有錢能使鬼推磨」,故此,駭客總會以相當老練地的技術,穿越企業那道虛擬之牆,並且偷走他們情蒐而來的戰利品!而Rootkit就是相當熱門的偷竊技術,有些Rootkit甚至還會塞入能侵害特定瀏覽器的間諜軟體,比方說像是微軟的IE。Rootkit除了會把惡意程式碼進行偽裝,或者是幫忙掩護入侵行動之外,這些包含間諜程式的Rootkit,也會在受害電腦中放置鍵盤側錄程式,最終,便能以root等級的權限進入到系統裡面!而且,大多數的間諜程式都擁有自我更新能力,能在無聲無息地的情況底下自由進出,所以,只要攻擊者待在系統裡頭的時間愈長,這些壞蛋所能逛到的東西也就愈多!
「駭客們了解到,將偷來的資料帶出企業外的方式實在是非常之多。不過,當使用者開始意識到這些是假把戲的時候,駭客也會隨之改變作法!」,Air Force CERT小組前任隊長,同時也是TaoSecutiry顧問團的創立者Richard Bejtlich說。他針對企業提出一個警訊-注重「extrusion detection」!也就是說,對於從企業內部流出的封包要加以過濾監測。「之後企業得要花很多時間在這兒上頭,而且我們真的是要小心從公司內部流出去的東西。」
事實上,駭客們也攻擊具防禦性質的技術,特別是防毒和防間諜程式兩種,他們的作法是:只消讓這些軟體處於無法運作的狀態,或者是讓它們對於惡意程式視而不見就行了!另外,駭客們更想出特製的程式封裝演算法,以阻撓研究者進行反向工程的追蹤破解,Skoudis說。有些研究人員甚至還說,在能夠精確判斷某段惡意程式碼的真正意圖之前,他們必須研讀二、三十種的特製演算法才行。不過,就算如此,企業也早已喪失補救先機,伴隨而來的,則是企業漏洞的曝露時間被拖長了。
再者,有些惡意程式會對於程式除錯人員在系統上所執行的東西十分敏感,進而將自己關閉停用以逃避追蹤。甚至是,部份惡意程式還能自行判斷是否本身正處於虛擬機器的環境之中,像是VMware,反而會用其他的方式來干擾研究人員,例如變換行為模式,或者是自動停用。
這其實並非駭客程式的全部,就像搞怪駭客Kevin Mitnick在資安圈所玩的惡作劇把戲,跟他所從事的社交工程工作就有相當密切地關連性。現在,攻擊者將焦點聚集在他們想要染指的企業目標,有可能是某企業部門,甚至是某特定人士。
「這是一場更高層次的腦力匯集大挑戰!」,Symantec安全會報工程部資深主管Al Huger說,「對付入侵者,已經不僅僅是作通訊埠掃描而已!駭客們現在懂得利用新聞論壇來找尋公司員工所轉貼上來的資料,從中發掘他們所感興趣,所要的東西。這是非常聰明的作法,而且進行的還相當地成功!」
Huger轉述了一則關於某銀行安全主管慘遭釣魚詐騙的切身故事,內容大略是一名駭客發表了一封求助信,述說他在瀏覽過某惡意網站之後,銀行帳戶遭到入侵的事情始末。由於駭客在信中放上關於問題中所描述的惡意網址,接下來,這位仁兄也就跟著點選,他當然沒料到網站裡頭,還藏有一個未公開的瀏覽器漏洞,於是乎,這家銀行就這樣不明不白地被植入後門程式!六個月之後,駭客得手銀行VPN和資料庫密碼。「如同我們所知的,這應該算是二進位攻擊(binary attack)手法!」,Huger接著又說,「這種方式從未見過,而且只鎖定部門中的某位受害者。」
「小規模的駭客組織正利用這種手法大賺其錢。」,網路安全專家,同時也是Hacker Beware一書的作者,與人合著Network Security Bible的Eric Cole說,「這類資料和文件通常可以賣到很好的價錢,所以駭客願意將其精力投注在此,並且會對於生技藥廠、金融機構和政府機關進行勘察作業,雖然聽起來很像好萊塢電影情節,但我的確親眼看到這事發生了,更教人驚訝的卻是我完全沒料到會有這種事情!」
會搬錢的木馬
就是基於這種「另類想法」,木馬程式變得更加狡詐!大多數藏匿在電腦當中的木馬都夾帶著鍵盤側錄程式,通常它們會將按鍵、滑鼠移動軌跡的記錄,及螢幕擷圖送往外界;不過,有些木馬則沒有傳送即時資料的能力,而是使用讓人料想不到的花招,在第一時間採取攻擊行動。
例如,有些木馬程式,只有等到使用者上線登入到銀行帳戶才會出來活動,接著就代替真正的使用者進行交易行為,將錢從這個帳戶移往另外一個。
「會搬錢的木馬程式根本就是為成功掛上品質保證!」,RSA Security的行銷部門副總裁Amir Orad說,「新一代的木馬程式會蒐集當下的資料,而且完全讓你感覺不到時間差,這些就是所謂的零時差(即時性)的攻擊手法。」
在此同時,殭屍網路也提供攻擊者更多的邪惡力量,而且無需高深的技術能力便可操控自如。
「我們看到相當多並非有才能者,或是只略懂一些技術的人,正在操控這些殭屍網路!我們發現操縱IRC殭屍網路伺服器的傢伙,其實不太了解IRC運作的方式,所以對於指令操作可說是相當地不熟悉。不過,現在有千萬大軍任憑指揮,就等著下達指令而已,所以他們可能正笨拙地在想,到底要進行什麼樣子的攻擊?」Arbor Networks的資深工程師Jose Nazario說,「這不過證明要進入這個圈子是有多麼地容易!」
一旦攻擊者策畫出攻擊藍圖,他們會很快的發現有人會支付殭屍網路的服務費用,看是要讓殭屍主機安裝廣告軟體或是間諜程式,然後再對付費者的競爭對手發動DoS攻擊。
Nazario說,殭屍網路的操作者可能分散各處,多數是來自於美國、俄羅斯、羅馬尼亞以及巴西等地。更厲害的高手則是發展出更簡單有效的操控方式來管理殭屍網路,他們可以更精確地知道不同殭屍程式的能力屬性,還有要將其擺在何處。
「事實上,他們早已經將其管理高度自動化了!」Nazario說。
Bejtlich也表示,過去包含在IRC當中的殭屍網路指令和控制程式,目前已逐步Web化。駭客們正在發展Web形式的控制系統,以便可以透過正常的HTTP和HTTPS流量,將資料帶離受害企業。他建議安全管理人員,應該將流出企業的Web流量進行代理控管並作內容過濾!
「利用殭屍網路,幾乎可以毫無限制地作任何你想作的事。」FBI洛杉磯調查站電腦第一小隊的監察特務Ramyar Tabatabaian說。
犯罪與罰則
殭屍網路的興盛再加上它們與惡意程式牽扯在一塊,這件事已經使得Tabatabaian辦公室的調查人員顯得異常忙碌起來。「生意從來沒像這樣地好過!」,Tabatabaian冷冷地說。
最近退休的Secret Service犯罪調查組特務Larry Johnson說,FBI與美國Secret Service對於擁有國際網路工作小組協助調查電腦犯罪,顯得相當地自豪。因為有太多的案例,除了關係錯綜複雜之外,還牽涉到相當多的人力資源,甚至要深入與當地ISP合作,以及考慮海外執法的問題。另外,這些線上竊賊不但擁有許多身分,也善於隱匿他們的蹤跡!
不過,還是有成功逮到電腦罪犯的案例,就好比Ancheta這種具較大規模組織的團體一樣,在今年初於法庭陳述多項與其利用殭屍網路謀利的罪狀,所幸這些活動已經停止了!
2004年,Secret Service的Operation Firewall組織在美國就協助逮捕21人,並且破獲一個大型國際犯罪中心Shawdowcrew.com,該組織大約擁有4,000名會員,專門進行贓卡、銀行信用卡號及個人資料等交易;至於其餘幾名成員,也在海外被捕,全案目前仍在法務部調查中。
今年三月,Secret Service宣稱Operation Rolling Stone瞄準線上詐騙和身份竊賊,並在英、美二國逮捕22人。這項行動是該單位的部份傑出成果,其破獲專門買賣遭竊信用卡、個人身分資料以及惡意程式的線上論壇。
執法警官說,將加強關注那些利用身分取巧賺錢的攻擊者,因為他們會直接連線到金融機構榨乾帳戶,或者是侵入大型企業資料庫,強取豪奪數千筆身分資料。
不過,企業們也要對於內部人員所帶來的威脅性有所警覺,因為這些人通常才是最接近重要資料和資產的傢伙。
在Maxwell的案例之中,他將多所大學的主機挪為殭屍主機,用以找尋更多有弱點的機器。就在同時,據了解西北醫院其實就是遭遇到他的攻擊,但不料此次醫療網路的入侵,竟成為Maxwell的敗筆!
先前IT管理人員注意到在其所管理的網路之中,有二個掃描程式正在執行,他們除了通報主管機關之外,最後就連FBI也都介入辦案。特務David Farquhar監控受感染機器的一舉一動,並且循著掃描程式到醫院的路徑追蹤,從IRC channel一路追到ISP,再找到網域的提供者,直到他查到Maxwell在加州Vacaville市的家中所註冊的電話號碼為止。之後,Maxwell和二個未成年的同夥束手就逮,除了電腦設備被扣押之外,還在他們的PayPal帳戶裡查到33,000美元,這筆錢是在過去九個月當中,由廣告公司所支付的款項,據信這就是Maxwell的帳戶。Maxwell的審判,預定是在5月15日開庭審理(至截稿日尚未裁決)。雖然他的委任律師對此並無作出任何回應,但是助理檢察官 Kathryn Warma說, Maxwell對於殭屍網路躲避追蹤一事,似乎相當地熟稔,並且他也曾攻陷過美國國防部的電腦系統。
此時此刻,在Ancheta陳述有關對他濫用殭屍網路的指控之後,他被排定在5月8日聆聽宣判。Ancheta在網路上使用fortunecookie及Resilent等暱稱,並藉由指揮超過400,000台的殭屍網路主機悄悄地安裝廣告軟體,以此大賺其錢。檢察官說,為了一點點錢,他還將這支殭屍大軍出租給別人,用以發動DoS攻擊,或者是散發大量的網路垃圾信函。
「他並非只會用別人寫好的程式而已!」,聯邦檢察官James Aquilina又說,「Ancheta的技術純熟,他會自己撰寫程式,並修改現有的程式碼。另外,為避免殭屍網路被執法單位和網路管理人員偵測到,他在抵抗追查上的表現,則顯示出相當頑強但卻頗富創造力的另一面。」
無論Maxwell和Ancheta後續發生何事,他們二人的案例,早已清楚說明一件事──電腦犯罪是以利益導向為前提的,這也是企業們不可輕忽的一個趨勢。
「這世上是有不少聰明人,但他們卻盡幹一些骯髒事!」,Skoudis說。
Michael S. Mimoso與Marcia Savage是Information Security雜誌的資深編輯和專欄編輯。