當今世介面臨的九大安全威脅

行者武松發表於2017-10-09

數年前,典型黑客場景,就是一名或幾個攻擊者,在咖啡因碳酸飲料的刺激下鏖戰深夜,找尋開放IP地址。一旦找到一個,他們便開始列舉其上廣告服務(Web伺服器、SQL伺服器等等),利用多個漏洞攻入,然後探索被黑公司,挖掘其核心內容。他們的目的往往只是滿足自身好奇心。即便做了什麼違法的事情,通常也只是一時興起的機會性犯罪。

然而,時代變了。

 

 

如今,想要描述典型黑客場景,你必須得從黑客活動甚或黑客本身之前,從攻擊背後的黑客組織開始。時至今日,黑客活動已成為全時段全型別的犯罪,有惡意軟體競價市場、網路犯罪集團、僱傭殭屍網路、國家支援黑客和狼煙四起的網路戰。

今天的IT安全人士,面臨9大危險:

威脅No.1:網路犯罪集團

儘管獨狼犯罪大師依然存在,如今的大多數惡意黑客攻擊,都是有組織犯罪團伙的產物,其中一些團伙還是職業的。慣於從事販毒、博彩、敲詐勒索等行當的傳統有組織犯罪團伙,已投身線上搶錢事業,但競爭非常激烈,不是由黑手黨領導,而是在幾個專注網路犯罪的超大型職業犯罪團伙操控下。

大多數最成功的有組織網路犯罪集團,是統領大型下屬企業組織的公司,大多沿襲合法分散式營銷層次結構。事實上,無論願不願意承認,今天的網路罪犯可能更像是雅芳或玫琳凱直銷代表。

成員略少的小型團伙也在從事黑客活動,但IT安全人士真正要面對的,更多是專注流氓行徑的大集團。想想全職員工、人力資源部、專案管理團隊、團隊主管等等,全部都是罪犯,不再是小孩子的惡作劇,是正正經經的犯罪企業。大部分都公開經營,有些甚至有自己的維基百科條目——比如俄羅斯商業網路。有點讓你回憶過去美好時光的意味,不是嗎?

專業分工是這些企業的核心。一個主腦,或內部核心圈子,運營整個集團。中層和分部專精不同領域,一部分人致力於建立惡意軟體,一部分人負責市場營銷,一部分建立並維護分發渠道,還有一部分人構建殭屍網路並出售給其他作惡的人。

通行IT安全操作無法對抗今天的惡意軟體毫不令人奇怪,畢竟網路犯罪已發展成面向服務的多層次產業,公然劫掠公司企業和普通民眾的錢財及智慧財產權。

威脅No.2:小規模詐騙及作為支撐的錢騾和洗錢者

不是所有的網路犯罪組織都是大集團或企業,有些只是以金錢為唯一追逐目標的小“業務”。

這些惡意夫妻店或許只是盜竊身份和口令,或者通過惡意重定向來獲得賬號口令。最終目的:錢。他們建立虛假信用卡或銀行交易,利用錢騾、電子現金分發、網上銀行或者其他洗錢方式,將這些非法所得轉化為當地貨幣。

洗錢者不難找。成百上千的實體爭相成為能在這些非法所得上分一杯羹的人。事實上,期望成為網際網路犯罪支援環節一員的人數及其公開性,都令人驚訝的高。他們主打“不問”、“乾淨”,託管在法律傳票無法企及的國家,提供公共公告牌、軟體特價、全天候電話支援、競價論壇、可靠的客戶參考、反惡意軟體規避技術,以及所有幫助他人成為更好線上罪犯的種種服務。一系列此類團伙每年淨賺數千萬美元。

過去幾年,很多此類團伙及其背後人員都被相繼指認並逮捕。他們的社交媒體資料顯示,這些人都是住豪宅,開豪車,全家愜意出國遊的富裕人士。但凡他們對盜取他人錢財的行為有一點點罪惡感,都不會在社交媒體上如此炫富。

想象一下社群露天燒烤餐會上,告訴鄰居和朋友自己開了個“網際網路營銷公司”的那些人——根本就是用社會工程方法盜取千百萬美元,讓無數盡全力保護使用者不落圈套的IT安全人士驚愕不已的那些。

威脅No.3:激進黑客

相比早期常見的漏洞利用自吹自擂,今天的網路犯罪追求的是潛蹤匿跡——只除了激進黑客軍團這個例外。

IT安全人士不得不面對致力於政治活動的鬆散個人黑客團體的興起,比如著名的“匿名者(Anonymous)”組織。政治動機的黑客,自黑客活動最初誕生時就已存在。發展到今日的最大改變,是其更多地公開進行,且社會也承認這是一種政治活動形式。

政治性黑客團體,往往事先會在公開論壇上公佈其目標和所用黑客工具,匿名或具名都有。他們招募更多成員,向媒體表達不滿以獲取公眾支援,一旦因違法行為被捕,往往還表現得非常驚訝。他們的目的,是儘可能羞辱受害者或給受害者帶來負面媒體關注,手段可能包含盜取客戶資訊、執行DDoS攻擊,或者單純給受害公司造成額外麻煩。

政治性激進黑客,最常傾向於給受害者造成金錢上的痛苦,試圖改變受害者的行為。這種鬥爭中,個人可能會受到連帶傷害,且無論人們是否相信激進黑客的政治原因,其意圖和方法依然是觸犯法律的。

威脅No.4:智慧財產權盜竊和商業間諜

盜取公司智慧財產權,或直接從事商業間諜活動的大量惡意黑客,是大多數IT安全人員必須面對的挑戰。此類黑客的方法,就是入侵公司IT資產,轉儲全部口令,逐漸滲漏出GB級機密資訊:專利、新產品創意、軍事祕密、財務資訊、商業計劃等等。他們儘可能長時間地駐留在被入侵公司的網路中,將有價值資訊出售給客戶。

為收穫回報,他們竊聽重要郵件,突襲資料庫,獲取儘可能多的資訊,有些甚至開始研發自己的惡意搜尋引擎和查詢工具,用以挑選更有價值的智慧財產權。

此類攻擊者被稱為高階持續性威脅(APT)或堅定人類對手(DHA)。極少有大型攻擊沒被此類威脅成功攻破過的。

威脅No.5:惡意軟體傭兵

無論網路犯罪背後的意圖或組織是什麼,總得有人制作惡意軟體。過去,程式設計師單打獨鬥建立惡意軟體自用或出售。現在,有團隊和公司專門編寫惡意軟體用於繞過特定安全防護,攻擊特定客戶,達成特定目標。這些軟體在競價論壇上公開出售。

通常,這些惡意軟體都是模組化多階段的。較小的存根程式,被賦予對受害計算機進行初始漏洞利用的任務,一旦安全植入以確保能挺過機器重啟,該程式就會聯絡“母艦”Web伺服器請求進一步指令。

初始存根程式通常會發出DNS查詢請求以找尋母艦,它自身往往是一臺臨時充當母艦的被黑計算機。這些DNS查詢請求,被髮送到同樣是無辜被感染受害電腦的DNS伺服器。DNS伺服器的角色在受害計算機間跳轉,正如母艦Web伺服器所做的那樣。

一旦建立聯絡,DNS和母艦伺服器,通常會將初始存根客戶端,重定向到其他DNS和母艦伺服器上。依此方式,存根客戶端被不斷導引(通常多達十幾次以上)到新利用的計算機上,直到存根程式最終收到其最後的指令,而長久駐留型惡意程式被安裝到受害主機上。此種設定讓IT安全人員非常難以防護自身負責的IT資產。

威脅No.6:殭屍網路即服務

殭屍網路已不僅僅為其建立者所用了。今天的殭屍網路擁有者,更有可能購買了建立殭屍主機的惡意軟體,要麼自用,要麼把殭屍網路租賃給他人。

其中方法學大家耳熟能詳。每個惡意程式都試圖利用成千上萬臺計算機,努力構建按建立者意圖行事的殭屍網路。殭屍網路中的每臺殭屍主機,最終都回連其命令與控制(C&C)伺服器來獲取最新指令。這些指令往往包含釋放勒索軟體程式的動作。殭屍網路藏身在成千上萬的受感染計算機中。

如今這種活躍殭屍網路如此之多的情況下(每天數以百萬計的受感染電腦),殭屍網路租賃就相當便宜了——IT安全人員的麻煩更多了。

惡意軟體戰士往往試圖關閉C&C伺服器,或者接過這些伺服器的控制權,指令通連的殭屍主機清理宿主電腦並自殺。

威脅No.7:多功能惡意軟體

複雜惡意軟體程式通常打包出售,提供一應俱全的功能。它們不僅僅感染終端使用者,還能入侵網站,修改網站以輔助感染更多受害者。這些多功能惡意軟體程式通常自帶管理控制檯,其擁有著和建立者可以跟蹤殭屍網路的當前行動、感染目標和成功率。

最惡意的程式是特洛伊木馬。計算機病毒和蠕蟲早已不再是最流行的惡意軟體型別。大多數情況下,終端使用者被誘騙執行特洛伊木馬,木馬往往偽裝成必備防毒掃描、磁碟碎片整理工具或其他一些看起來必要又無害的應用。使用者的常規防禦會被騙過,因為大多數時候,提供流氓可執行程式的網頁,正是他們訪問過多次的信任網站。壞人僅僅是入侵了該網站,使用許多技巧,插入幾行JavaScript程式碼,將使用者瀏覽器重定向到特洛伊木馬程式。

威脅No.8:越來越多的被黑網站

從最基本的層面上看,網站就是一臺計算機,就像普通的終端使用者工作站。相對的,網站管理員與普通終端使用者無異。於是,合法網站充斥惡意JavaScript重定向連結的情況,絲毫不令人驚訝。

這並不完全是網站管理員電腦被利用,而導致網頁伺服器被黑的問題。更經常的情況是,攻擊者在網站上找到漏洞,繞過管理員身份驗證,向網頁中寫入了惡意指令碼。

常見網站漏洞包括:弱口令、跨站指令碼漏洞、SQL隱碼攻擊、脆弱軟體和不安全許可權。開放網頁應用安全專案(OWASP)十大,就是大多數Web伺服器被黑方法的權威。

太多情況,都不是Web伺服器或其應用軟體,而是其上某些連結或廣告被黑。普通廣告公司投放的橫幅廣告,是最常被感染的。最見鬼的,是惡意軟體擁有者有時候會在流行Web伺服器上購買廣告空間。

因為很多壞人都偽裝成合法公司的生意人出現,帶有完整的公司總部資訊、商務名片和開支賬戶,我們並不總能輕易辨別出廣告來源的合法性,壞人往往從給合法產品打廣告開始,但在廣告活動過程中就將廣告中的連結替換成了流氓產品。一個有趣的漏洞利用案例,涉及黑客入侵某卡通集團,導致再版該受影響卡通的每家報紙,最終都是在推送惡意軟體。這年月,你甚至都不能再相信卡通了。

被黑網站的另一個問題在於,託管網站的計算機往往同時託管著多家站點,有時候甚至是成百上千家。一家網站被黑,有可能很快就擴散到上千家站點。

無論網站是怎麼被黑的,無辜的使用者,哪些可能之前訪問該網站數年都沒發生任何問題的使用者,某天就被提示要安裝非預期的程式。儘管感覺十分詫異,但該提示來自他們已知且信任的網站的事實,也足以讓他們選擇執行該安裝程式。然後,一切都完了。該終端使用者的計算機(或移動裝置),變身別人龐大殭屍網路中的有一個齒輪。

威脅No.9:網路戰

民族國家網路戰程式自成一派,不是大多數IT安全人員日常對付的東西。這些隱祕的行動,建立出複雜專業的網路戰程式,旨在監視對手,或致癱對手的某個功能。但正如震網和Duqu病毒所呈現的,此類方式的附帶結果,可能比預期目標更多。我們如今都已經見識到有民族國家,比如朝鮮,僅僅因為不喜歡某部電影,就黑掉一家財富500強公司了。

犯罪無處罰

有些受害者從未從漏洞利用中恢復過來。他們的信用記錄,被黑客的欺詐交易造成了永久性傷害,惡意軟體使用受害者的地址簿列表,來向其朋友和家人轉發自身,智慧財產權盜竊的受害者需要花費上千萬美元進行修復和預防。

最糟的是,使用上述惡意攻擊的人,幾乎沒有哪個被成功起訴。職業網際網路罪犯生活富足滋潤,因為網際網路不擅長產生法庭可用的證據。即便可以產生,嫌犯也生活在受害者法律體系管轄範圍之外。絕大多數黑客活動預設匿名進行,蹤跡在幾毫秒內被擦除或掩蓋。我們目前還生活在網際網路的“狂野西部”時代。隨著網際網路的成熟,罪犯的安全天堂終將乾涸。在此之前,IT安全人士還有自己的工作要做。

本文轉自d1net(轉載)


相關文章