從亞跆盟事件看駭客的活動與威脅

Posted by Mr. D-Day

最近亞跆盟事件鬧得沸沸揚揚,除了引發國人高度的關切以外,也激起了駭客們的愛國情操,在亞跆盟官網上「揶揄」了一下。還勞煩了新婚不久的抗議天王柯賜海先生,出來舉舉牌子。對於這次的入侵事件,推測應該只是一起民間駭客在不滿亞跆盟的情緒下,產生的入侵事件。但是,因為整個失格事件鬧得沸沸揚揚,連帶也讓這個入侵事件搏上了新聞版面,相信一般民眾很少有不知道的。但在,這個網路盛行的時代,各種駭客入侵的事件其實早已層出不窮,攻擊手法也不斷地更新及演進,可惜的是,整個資安的教育跟警覺性卻跟不上腳步。以下就大致列出幾種常見的駭客活動,並簡略的比較一下與其潛在的威脅。

《幾種常見的駭客活動》

竄改網站的內容

首先登場的當然就是柯賜海先生了。「網頁內容竄改」通常是針對特定對象或特定網站來進行攻擊與入侵,這些遭受攻擊單位可能與特定事件有關,特別是一些新聞或政治等。這類型的攻擊手法,宣示及炫耀的意味濃厚,攻擊者以一般民間駭客居多。由於攻擊者已經能夠進行較大規模的竄改行為,這表示駭客很有可能已經取得遭受攻擊的主機的控制權。

《亞跆盟官網被入侵的畫面》

既然駭客們有能力攻下一個網站,那麼假使他們聯合起來,一起努力打江山的話,後果會是怎樣呢?

「這些網站的流量看起來都不錯,那不如我們來掛掛馬,入侵這些瀏覽者的電腦吧!」

網頁掛馬

「網頁掛馬」指的是在受害網站中植入惡意連結或腳本(Malicious Script)的一種行為,藉由受害電腦瀏覽這些網站來達到植入惡意程式(Malware)的目的。整過植入過程是非常「安靜」的,這與一般使用者點擊下載檔案的行為是完全不相同的,因為這些惡意網址會利用瀏覽器的漏洞(Exploit)的觸發來產生下載行為(Drive-By-Download)。於是,惡意程式就這樣「靜悄悄」的散佈到沒有即時修補漏洞的受害電腦中。

《Firefox 的 Safe Browsing 警告使用者正要瀏覽的網站有可能已經被掛馬 》

有別於前述的「竄改網頁內容的攻擊行為」,網頁掛馬屬於無差別性攻擊,攻擊者無法切確掌握受攻擊的對象。並且這樣的攻擊模式,與使用者的瀏覽器版本有很高的相依性,這表示當使用者瀏覽遭受攻擊的網站時,無法 100% 成功的植入惡意程式。因此,攻擊者通常會在受害網站中同時放入一大包的「漏洞大雜燴」,藉以提高成功率。

那麼,駭客們到底想做甚麼呢?當然就是植入惡意程式,也就是擺一支後門程式在你家。從此以後,你家就是我家,但是我家卻不是你家。所以網頁掛馬就好像是「有人拿了一支有毒的 USB 隨身碟給你用」一樣,是一種被駭客所開發出來的散佈途徑。由於這中間涉及了瀏覽器漏洞的開發、網站入侵等手段,攻擊成本與所需技術相對高很多,一般以組織性駭客居多

現在,駭客們已經控制了很多台電腦了,是不是可以開始給這些電腦兵團一些指示呢?

「免費“買”到了這麼多電腦,該做些甚麼好呢?來佈署一個有價值的僵屍網路吧!」

建構殭屍網路(Botnet)

什麼是殭屍網路?是的,跟林正英道長一點關係都沒有。簡單來說,就一群有組織的機器人霸佔一大堆別人的電腦。而這群霸佔別人電腦的機器人,蠻多時候就是透過前述的「網頁掛馬」手段進入受害電腦,暗地裡開始進行活動。有了這些後門程式,攻擊者可以遠端遙控這些受害電腦,等同於擁有一支強大的自動化攻擊部隊,除了竊取受害電腦的資料以外,更能夠更進一步實行其他的攻擊行為,例如 DDoS 攻擊就是一例。

2009 年3月28日,紐約時報就曾報導一個龐大的僵屍網路,Gh0stNet(鬼網)。Gh0stNet 兩年來至少入侵了全球 103 國家及地區,操控至少 1295 台受害電腦,包含政府及私人機構的電腦,其中更包括西藏流亡領袖達賴喇嘛辦公室的電腦。事實上,GhostNet 正是竊取重要情報為目標,而且它不只能夠竊取文件,更能夠啟動電腦的攝影鏡頭和錄音,在神不知鬼不覺中全天候的進行情蒐竊密。

《Gh0stNet 全球控制的電腦數量及分布》

從殭屍網路所擁有的強大力量來看,授權發動攻擊行為的人想要進行的目的,很大的可能都是與情蒐或是大規模自動化攻擊等有關。這個力量已經足以形成一種地下經濟模式,擁有者甚至能夠「販售」這些攻擊能量給有心人士。殭屍網路的擁有者可能是政府、特定組織或是民間駭客,但是更重要的是,發動攻擊的有心人士可能只是想進行某種特定報復民間人士

駭客們已經建立起一支強獸人軍隊了,他們要派兵攻下聖盔谷了嗎?

「既然已經控制了網際網路,那我們開始滲透到這些擁有獨立網路的重要主機吧!」

滲透網際網路以外的世界

以往大家可能都會覺得電腦中毒也不會怎麼樣,很常見的,不會出人命的。有些人甚至連  USB 隨身碟中了毒也不太愛搭理,任憑惡意文件四處流竄。不過,終極警探 4.0 裡的布魯斯威利可不會這麼想,因為 2010 年 7 月發現的 Stuxnet 惡意程式,已經成功的滲透進伊朗境內核電廠的內部電腦。如果真的讓 Stuxnet 取得滲透進了關鍵主機,那問題可能就不只是重灌電腦這麼簡單了。

《終極警探 4.0 片段》

Stuxnet 最重要的特性是能夠透過 USB 隨身碟散佈及控制受害主機。一般來說,很多重要的電腦或控制設備,為了安全起見,並不會直接連上公開的網路。但是 Stuxnet 卻能突破這個限制,透過 USB 隨身碟,將兩個實質上沒有連接的網路串聯起來。Stuxnet 被發現至少入侵了近十萬台電腦主機,其中多數是沒有連上網路的工業設備或是辦公室電腦。它主要的攻擊目標是西門子的自動化生產與控制系統,SCADA(Supervisory Control and Data Acquisition)。這些 SCADA 系統多半用於工廠自動化上,據報導受害最嚴重的伊朗境內,至少有 6 萬台電腦主機遭受入侵。

由於 Stuxnet 同時利用了五種以上的弱點進行攻擊及散佈,而且幾乎都是 0day 的弱點,這種情形是相當少見的,因為弱點的開發成本是相當昂貴的。加以 Stuxnet 明顯針對 SCADA 系統,顯見其背後的製作者也必須具有一定的工業控制的相關知識。種種跡象都顯示其幕後的藏鏡人,很可能是具有國家層級的單位組織。

看樣子,這下子駭客們已經掌握了重要核心設備,也許他們需要來點重要情報,好掌握世界脈動?明年流行復古風嗎?

「沒錯,既然我們已經佔據了重要設施,也蒐集到不少的個資,不如我們開始利用這些資源,設計一些精緻化的行動吧!」

持續性威脅 (Advanced Persistent Threat, APT)

對於駭客來說,攻擊的手法會隨著時間不斷的改變與演進,但是攻擊的目標與目的卻可能是相同的。惡意程式一旦被製作出來,散佈的方式可以有很多種,網頁掛馬、電子郵件、USB 隨身碟等。以流行的趨勢來看,針對特定對象或組織的惡意郵件攻擊可以說是當前新一波的威脅。

大家要先有的觀念是惡意信件與垃圾信件(SPAM Mail)是截然不同的東西。垃圾信件很煩人,但是無害,通其量只是想賣賣產品而已。而惡意郵件則是經過精心設計的,攻擊者利用他手邊擁有的情資,設計郵件標題、寄件者、郵件內容、附件檔名,將惡意郵件偽裝成正常郵件,隱藏在其中,讓使用者在毫無心理防備的情形下點擊了附件或連結。而且為了達到滲透的目的,整個攻擊行為是長期持續的,只要你一沒注意,點擊了惡意文件,你的電腦就立刻從晉級為殭屍了。隨著手邊的情資越齊全,駭客偽裝的技巧就越高明,甚至直接拿一些被竊取的文件加工製作成惡意文件。這下子,我們可能需要推廣一個「看郵件不喝酒,喝酒不看郵件」的新口號了。

由於這類的攻擊行為是針對的特定對象的,並非廣泛性的攻擊,所以一般民眾並不太會直接遭受攻擊。比起網頁掛馬,駭客更喜歡透過這類的攻擊管道試驗新開發的弱點(0day Exploit)攻擊的效果,因此,出現的新的惡意文件及惡意程式的機率相當高。這也導致現階段這樣的威脅很難被防禦。以下是將 GhostNet 的一份惡意文件,透過 VirusTotal 掃描後的結果。

《透過 VirusTotal(http://www.virustotal.com)分析 Gh0stNet 的惡意文件》

可以看到目前有 AVG、BitDefender、F-Secure、McAfee、NOD32 等八種掃毒軟體可以偵測到這份惡意文件,比例上只有 19% 的掃毒軟體能夠有效的進行偵測與防禦。不過,19% 這個數字是有點難看了點,這也顯示出傳統防毒系統對於 APT 攻擊的防禦能力明顯偏低。其中大部分的原因是,駭客並不會希望整個 APT 攻擊行動被對方發現與監控,因此會傾向使用較新的惡意程式。以下是將同樣的 Gh0stNet 惡意文件,透過 Xecure Analyzer 進行分析後的結果。

《透過 Xecure Analyzer(http://www.xecure-lab.com)分析 Gh0stNet 的惡意文件 》

從 Xecure Analyzer 的分析報告可以看到,這份惡意文件被判定為 China-APT-Botnet,文件應該是 2010 年 6 月被製作出來,而來源很有可能是中國。惡意程式植入後,會註冊 Registry 達到開機自動啟動,並透過某個神祕中繼站來接受遠端的控制命令。這樣看來,這個檔案果然是一支邪惡的惡意文件,要小心別點擊到了 XD。

哇!這麼精密策劃的攻擊行動,駭客們真的是吃飽沒事嗎?

「當然不是!不做點事的話,我們怎麼吃得飽呢!動一動,還可以多吃幾碗哩!嗯,我看看…..明天林志玲姊姊的行程是……」

看看 WikiLeaks,這麼多份的機密文件引起的軒然大波,再讀一讀的暗地裡積極活躍的駭客活動。現在,你還是不在乎電腦中毒嗎?還是對惡意郵件沒任何警覺性嗎?

喜歡這篇文章嗎? 分享出去給作者一點鼓勵吧!