引:1990年,巴内特·里昂还是一个十几岁的少年。那时,他在网上搭建了一个在线聊天服务器,这个服务器总受到别人的攻击。当时,他做梦也不会想到网络攻击有朝一日会成为某些人的获利手段。
里昂说,他很喜欢网络聊天,这种方式可快速方便的分享信息,回答问题。但是正如现实社会一样,成千上万的年轻人聚在一起,争吵闹事是不可避免的。因此,为了维护自己的服务器安全,巴内特不得不将自己训练为网络安全员。
这些年轻人“想证明他们自己”,因此,破坏服务器就成了“最基本的,最有效力的激素。”里昂说。90年代末期,这些年轻人开始编写破坏性的软件。这些软件名为“bot”,是机器人“Robot”的缩写,它不但能够破坏服务器,还能互相攻击。
Bot如何工作?
bot的一般定义是:受人类的指令控制,可半自动完成工作的程序。Bot本身并不是非法或邪恶的代名词。例如,Google的GoogleBot就是一种善意的Bot,它的作用是“巡视”互联网上的所有页面,以搜集网页信息,供搜索引擎使用。但是,非法安装在受害人电脑上的恶意Bot,一般会连接到某个站点,甚至点对点网络,以供黑客控制。当黑客下达控制指令后,隐藏在受害电脑上恶意Bot就会启动,运行恶意代码,使黑客获得完全的控制权,这时,一台新的“肉鸡”就诞生了。当Bot控制了一定数目的电脑后,所形成的巨大肉鸡网将拥有令人恐惧的力量,大到足以使服务器瘫痪。
逐渐的,这种由闲得无聊,想证明自己能力的年轻人开发的小玩意,就这样在全世界蔓延开来。根据杀毒公司McAfee公司在今年7月的报告,“受恶意代码控制,被用来在机主不知情的情况下从事活动”的电脑系统总数,较上个季度激增了303%。
拉里·约翰森是美国安全部犯罪调查部的特别警探。他直言不讳的说,使用Bot的主要目的就是为了钱。
其它方式
McAfee杀毒公司的副总裁文森特·古洛托不无忧虑的说,网络罪犯正在开发基于Bot网络的全新的攻击网络。“这又将是一场正义和邪恶之间的,新的竞赛。”他说。古洛托的团队在2005年第二季度共发现并记录了近13000起通过Bot的敲诈勒索事件。事实上,由于肉鸡数量的快速增长,CipherTrust等网络和电子邮件安全商已经不得不每小时发布一次全球肉鸡活动的消息报告。
同时,巴内特·里昂重新拾起他在上世纪九十年代学到的安全技能。2004年,里昂建立了Prolexic公司,致力于保护客户避免沦为肉鸡,继而成为DDoS攻击的炮灰。(DDoS的全称是分散式服务拒绝,黑客操纵成千上万台肉鸡电脑向目标服务器发送海量数据,使目标服务器的系统资源不得不全部用来抵御垃圾数据,而不能运行其他任务,特别是无法响应正常用户。)
有些黑客将DDoS当作敲诈勒索的手段,勒索金额最高曾达到五万美元。某些缺乏道德的公司甚至将DDoS看作打击竞争对手的武器。
但是,Bot网络的害处还不止于此。
Bot网的其它作用
慢慢,黑客发现可以使用Bot网络向受害人发送电子邮件。由于肉鸡数量巨大,受害人根本来不及将它们添加到黑名单中。因此,这是一条逃避杀毒软件,从中牟利的好方法。
ID窃取是Bot网的另一个使用方面。成群的肉鸡电脑向四面八方发送垃圾邮件,试图诱使收件人点击其中的链接,之后会弹出一个与银行或网上贸易网站极为相似的网页,要求用户输入银行帐号和密码。一旦用户上当,黑客就可控制这个帐号。
西门铁克的工程师高级主管阿尔弗雷德·休格说,Bot软件入侵后,通常会在宿主电脑系统留下一个“后门”。通过这个后门,黑客不但能获得电脑的控制权,还能在宿主电脑上随时升级Bot软件,安装病毒,广告软件和间谍软件等。休格指出:Bot软件这种随时升级的特点,已经与专业的软件相差无几了。某些病毒的变种看上去甚至“似乎开发者曾经接受过专业软件设计培训”。
肉鸡的形成
Bot网有一个普遍的特征:它们可被某个特定的电脑控制。而且,绝大多数Bot通过IRC聊天通道连接。但是,某些新的Bot设计的更加精巧,在连接方式上抛弃了容易察觉的IRC,而改用电驴或Gnutella等点对点软件通道。与IRC相比,点对点通道更加难以追溯或关闭。
一般的,黑客编写出一个Bot程序后,会将其释放到互联网上,以观察它的破坏能力。在这一过程中,Bot程序通常和木马程序捆绑在一起传播。而另一方面,某些罪犯会针对特定的目标编写程序。在2005年3月到4月的一个案例中,黑客通过欺骗公司和组织的域名服务器(DNS),将所有网址的IP都指向受黑客控制的服务器。网络安全公司IDefence恶意代码部的主管肯·邓汉姆说,至少有三千台DNS服务器遭到了破坏,其中超过8000人的大型公司不少于两家。
在DNS服务器受破坏的公司里,员工不论访问什么网站,都会打开黑客的主页。黑客通过在主页的HTML中加入一段代码,使旧版本IE的用户自动下载并安装一个80MB大小的广告软件和间谍软件包。
广告软件的安装,使用户的屏幕上开始无休止的弹出各种各样的窗口,电脑运行速度也显著降低。因此,用户立即发现自己受到了侵犯。安全公司也迅速作出了反应,帮助受害公司将恶意软件“请”出了电脑。但是分析家指出,广告软件包占用如此多的系统资源,嚣张到近乎不顾一切的地步,很可能是黑客“声东击西”的方案。在用户全力对付广告软件的同时,另一个很小的代码悄悄窃取公司内部的商业秘密。
商务预防法则
在今年6月16日,英国政府发布了名为“有目标的电子邮件木马攻击”的报告,警告说,在不久的未来,黑客有可能对政府网站和商业网站发动针对性的攻击。其目的为窃取具有商业或经济价值的信息,例如用户名,密码及敏感文档等。美国的情况也好不到哪里去。“它随时都在发生。”西门铁克的休格说。有些缺乏道德的公司不顾一切进行扩张,而有些黑客可应通过非法手段掌握很多客户资料,这就形成了一个市场。“这很简单——也很不幸。”休格说。
劫持文件
劫持文件,其目的就是赎金。病毒侵入受害者的电脑,对所有文本文件都进行加密处理,完成后删除自身,并生成一个“恐吓信”文件,要求受害人向E-Gold的某个帐户打入200美元。(E-Gold是一个在线支付网站)
丹·哈伯德是Websense安全技术公司的高级主管。在Websense的一个客户收到了类似威胁后,他就对此展开了调查。LURHQ网络安全公司的乔·斯蒂瓦特发现加密手段很简单,于是自己编了一个小程序,成功的进行了解码。
但是,“要以更复杂的方式加密,也不是什么难事。”哈伯德说。也就是说,此类劫持事件还会发生。而考虑到网络犯罪的收益越来越大,将会有越来越多的网络犯罪现象出现。“网络犯罪的数目不断增加,技术手段不断更新。”哈伯德说,“可谓道高一尺,魔高一丈。”
|
