2008年01月02日10:51 　 CNET科技资讯网


       CNET科技资讯网1月2日台北报道 告别2007年，业余黑客的时代恐也将随之结束，取而代之的，是以营利为目的、专业并组织化的恶意软件“产业”，甚至还有技术支持，安全厂商表示。

       回顾2007年，包括赛门铁克、趋势科技、IronPort、Websense、McAfee等安全厂商，不约而同指出一个共同现象：在黑市公开销售的专业黑客工具，以及出租僵尸网络(botnet)等地下经济现象，不但助长了网络犯罪，而黑客工具业者提供如合法商用软件般定制化、产品更新与技术支持等“服务”，也为黑客地下经济创造出全新的营运模式，黑客“产业”隐然成形。

       黑客行为的商业化或组织化并非自2007年才出现，以偷取资料为目的的恶意软件早就存在，在网络地下经济服务器上贩售所得的个人信息亦非新闻，以营利而非出名的网络犯罪动机也早就渐渐蔚为主流。

       但安全厂商认为，2007年黑客工具MPack、与风暴蠕虫的出现，因其技术复杂性与销售方式绝非业余个人或小组织能够达到，使得专业化、商业化与组织化的正式登上台面，而业余黑客仅为了出名而撰写的病毒爆发事件减少，也正式宣告了黑客行为真正进入了新的时代。

       台湾地区也有类似案例。以年初发生的P2P软件Foxy泄露资料事件来说，因传出部份Foxy版本会自动将使用者整个硬碟档案与P2P网路上所有使用者分享，便曾一度引发犯罪集团利用Foxy窃取个人资料的揣测。

       而近日台湾地区主要购物网站发生的疑似客户资料外泄事件，也在刑事局侦办后发现，为黑客在搜集到使用者部份资料后，以资料拼图方式，在特定网站测试用户帐号密码，一但成功，便可合法进入使用者帐号观看所有个人资料、采购记录，再将这些资料转卖给诈骗集团进行传统ATM转帐诈骗，不但显示在网络上窃取个人资料已集团化作业，不同犯罪组织甚至还会虚拟与实体犯罪的整合。

[ 本帖最后由 2046 于 2008-2-15 17:43 编辑 ]

       黑客工具也有技术支持？

       恶意软体或骇客工具的销售并不是新鲜事，事实上，通过搜索引擎或特定网络社区，都不难找到兜售黑客工具的资讯。此外，黑客社区向来也都有互相交流的文化，甚至类似开放源代码软件授权的精神----在他人的基础上继续开发，并将成果贡献出来，也使得黑客工具在过去也能够通过社区的维系，也是“产品更新”的一种型式。

       但MPack的特别之处，便是不再只隐身在社群中，而是直截了当地移植商业软件的经营模式，以营利之姿登场。

       来自俄罗斯，并在2006年12月推出第一个版本的MPack，是一个PHP-based的恶意软件工具套件，利用iFrame等漏洞入侵合法网站并植入恶意程序，让不知情的网友感染，并提供购买的黑客Web-based管理介面，可监看发动攻击后的感染状况。

       MPack可直接通过网站购得，大约以每个月一个新版本的速度更新，基本版售价约500至1000美元不等，并会提供为期一年的产品更新及支持，另外还针对最新的软件漏洞发行附加模组，售价则在30至300美元不等。

       经营手法创新，但MPack真正引起众人注意，是开始于今年中的两项大规模攻击事件。

       首先是六月底、七月初发生在欧洲的上万个网站遭黑的事件。根据McAfee、Websense与趋势科技当时发布的安全通报，都指出骇客使用了MPack工具来发动攻击。而在八月份，印度银行网站遭攻击事件也被认为与MPack有关。

       风暴蠕虫打造僵尸网络供出租

       除了黑客工具贩卖有了新商业模式，挟持大批僵尸网络的“僵尸网络牧人(bot-herders)”公然出租僵尸网络供租用者进行DDoS(分散式阻绝服务)攻击的情况也越来越常见。海外已经开始有黑客以僵尸网络发动DDoS攻击来勒索知名企业的案例。

       根据McAfee统计客户回报信息，僵尸网络在安全防护技术进步下，在2006的数目一路下滑，并在11月达到单月侦测数10万次以下的最低点，但随着2007年一月风暴蠕虫(Storm Worm)的出现，却又开始显着成长，在2007年八月则达到逼近90万次侦测数的高峰。

       IronPort台湾技术顾问总监林育民便说，风暴蠕虫变种速度快，且会将感染电脑组成一个P2P的群体，而非传统僵尸网络的中央控制架构，不但难以追踪源头，也不易估算整体僵尸网络规模，“设计精良，背後应有专业组织在设计、操控，”他说。

       根据IronPort综合多家研究机构统计，2007年风暴蠕虫从无到有，共引起100万到1000万台不等的系统感染，而估计数字差距庞大的原因，即在于风暴蠕虫产生的僵尸网路，尚缺乏能合理计算其数量的方法所致。

       除了代客攻击，黑客也已发展出僵尸网路的最新利用方式：搜集使用行为信息作行销。

       CA便在其网络威胁报告中指出，“僵尸网路牧人”除了出租旗下僵尸网路进行攻击，还可顺便搜集使用者的行为信息，成为目标式行销的最佳资料库，“甚至可与最大型的正规行销商抗衡，”CA在该报告中指出。

       MPack与风暴蠕虫不单止是2007年安全新闻的重点，更因其采用了更复杂化的技术，使传统自杀式的攻击----攻击然后消失----成为过去，IronPort指出，MPack与风暴蠕虫借由不停推陈出新，以及商业手法，将成为能够长存且可重复利用的攻击平台。

       对攻击者来说，“业余时代已经结束，”林育民说。（马培治）