數(shù)年前，典型黑客場景，就是一名或幾個(gè)攻擊者，在咖啡因碳酸飲料的刺激下鏖戰(zhàn)深夜，找尋開放IP地址。一旦找到一個(gè)，他們便開始枚舉其上廣告服務(wù)(Web服務(wù)器、SQL服務(wù)器等等)，利用多個(gè)漏洞攻入，然后探索被黑公司，挖掘其核心內(nèi)容。他們的目的往往只是滿足自身好奇心。即便做了什么違法的事情，通常也只是一時(shí)興起的機(jī)會(huì)性犯罪。

然而，時(shí)代變了。

[[205496]]

如今，想要描述典型黑客場景，你必須得從黑客活動(dòng)甚或黑客本身之前，從攻擊背后的黑客組織開始。時(shí)至今日，黑客活動(dòng)已成為全時(shí)段全類型的犯罪，有惡意軟件競價(jià)市場、網(wǎng)絡(luò)犯罪集團(tuán)、雇傭僵尸網(wǎng)絡(luò)、國家支持黑客和狼煙四起的網(wǎng)絡(luò)戰(zhàn)。

今天的IT安全人士，面臨9大危險(xiǎn)：

威脅No.1：網(wǎng)絡(luò)犯罪集團(tuán)

盡管獨(dú)狼犯罪大師依然存在，如今的大多數(shù)惡意黑客攻擊，都是有組織犯罪團(tuán)伙的產(chǎn)物，其中一些團(tuán)伙還是職業(yè)的。慣于從事販毒、博彩、敲詐勒索等行當(dāng)?shù)膫鹘y(tǒng)有組織犯罪團(tuán)伙，已投身在線搶錢事業(yè)，但競爭非常激烈，不是由黑手黨領(lǐng)導(dǎo)，而是在幾個(gè)專注網(wǎng)絡(luò)犯罪的超大型職業(yè)犯罪團(tuán)伙操控下。

[[205497]]

大多數(shù)最成功的有組織網(wǎng)絡(luò)犯罪集團(tuán)，是統(tǒng)領(lǐng)大型下屬企業(yè)組織的公司，大多沿襲合法分布式營銷層次結(jié)構(gòu)。事實(shí)上，無論愿不愿意承認(rèn)，今天的網(wǎng)絡(luò)罪犯可能更像是雅芳或玫琳凱直銷代表。

成員略少的小型團(tuán)伙也在從事黑客活動(dòng)，但I(xiàn)T安全人士真正要面對(duì)的，更多是專注流氓行徑的大集團(tuán)。想想全職員工、人力資源部、項(xiàng)目管理團(tuán)隊(duì)、團(tuán)隊(duì)主管等等，全部都是罪犯，不再是小孩子的惡作劇，是正正經(jīng)經(jīng)的犯罪企業(yè)。大部分都公開經(jīng)營，有些甚至有自己的維基百科條目——比如俄羅斯商業(yè)網(wǎng)絡(luò)。有點(diǎn)讓你回憶過去美好時(shí)光的意味，不是嗎?

專業(yè)分工是這些企業(yè)的核心。一個(gè)主腦，或內(nèi)部核心圈子，運(yùn)營整個(gè)集團(tuán)。中層和分部專精不同領(lǐng)域，一部分人致力于創(chuàng)建惡意軟件，一部分人負(fù)責(zé)市場營銷，一部分建立并維護(hù)分發(fā)渠道，還有一部分人構(gòu)建僵尸網(wǎng)絡(luò)并出售給其他作惡的人。

通行IT安全操作無法對(duì)抗今天的惡意軟件毫不令人奇怪，畢竟網(wǎng)絡(luò)犯罪已發(fā)展成面向服務(wù)的多層次產(chǎn)業(yè)，公然劫掠公司企業(yè)和普通民眾的錢財(cái)及知識(shí)產(chǎn)權(quán)。

威脅No.2：小規(guī)模詐騙及作為支撐的錢騾和洗錢者

不是所有的網(wǎng)絡(luò)犯罪組織都是大集團(tuán)或企業(yè)，有些只是以金錢為唯一追逐目標(biāo)的小“業(yè)務(wù)”。

這些惡意夫妻店或許只是盜竊身份和口令，或者通過惡意重定向來獲得賬號(hào)口令。最終目的：錢。他們創(chuàng)建虛假信用卡或銀行交易，利用錢騾、電子現(xiàn)金分發(fā)、網(wǎng)上銀行或者其他洗錢方式，將這些非法所得轉(zhuǎn)化為當(dāng)?shù)刎泿拧?/p>

洗錢者不難找。成百上千的實(shí)體爭相成為能在這些非法所得上分一杯羹的人。事實(shí)上，期望成為互聯(lián)網(wǎng)犯罪支持環(huán)節(jié)一員的人數(shù)及其公開性，都令人驚訝的高。他們主打“不問”、“干凈”，托管在法律傳票無法企及的國家，提供公共公告牌、軟件特價(jià)、全天候電話支持、競價(jià)論壇、可靠的客戶參考、反惡意軟件規(guī)避技術(shù)，以及所有幫助他人成為更好在線罪犯的種種服務(wù)。一系列此類團(tuán)伙每年凈賺數(shù)千萬美元。

過去幾年，很多此類團(tuán)伙及其背后人員都被相繼指認(rèn)并逮捕。他們的社交媒體資料顯示，這些人都是住豪宅，開豪車，全家愜意出國游的富裕人士。但凡他們對(duì)盜取他人錢財(cái)?shù)男袨橛幸稽c(diǎn)點(diǎn)罪惡感，都不會(huì)在社交媒體上如此炫富。

想象一下社區(qū)露天燒烤餐會(huì)上，告訴鄰居和朋友自己開了個(gè)“互聯(lián)網(wǎng)營銷公司”的那些人——根本就是用社會(huì)工程方法盜取千百萬美元，讓無數(shù)盡全力保護(hù)用戶不落圈套的IT安全人士驚愕不已的那些。

威脅No.3：激進(jìn)黑客

相比早期常見的漏洞利用自吹自擂，今天的網(wǎng)絡(luò)犯罪追求的是潛蹤匿跡——只除了激進(jìn)黑客軍團(tuán)這個(gè)例外。

IT安全人士不得不面對(duì)致力于政治活動(dòng)的松散個(gè)人黑客團(tuán)體的興起，比如著名的“匿名者(Anonymous)”組織。政治動(dòng)機(jī)的黑客，自黑客活動(dòng)最初誕生時(shí)就已存在。發(fā)展到今日的最大改變，是其更多地公開進(jìn)行，且社會(huì)也承認(rèn)這是一種政治活動(dòng)形式。

政治性黑客團(tuán)體，往往事先會(huì)在公開論壇上公布其目標(biāo)和所用黑客工具，匿名或具名都有。他們招募更多成員，向媒體表達(dá)不滿以獲取公眾支持，一旦因違法行為被捕，往往還表現(xiàn)得非常驚訝。他們的目的，是盡可能羞辱受害者或給受害者帶來負(fù)面媒體關(guān)注，手段可能包含盜取客戶信息、執(zhí)行DDoS攻擊，或者單純給受害公司造成額外麻煩。

政治性激進(jìn)黑客，最常傾向于給受害者造成金錢上的痛苦，試圖改變受害者的行為。這種斗爭中，個(gè)人可能會(huì)受到連帶傷害，且無論人們是否相信激進(jìn)黑客的政治原因，其意圖和方法依然是觸犯法律的。

威脅No.4：知識(shí)產(chǎn)權(quán)盜竊和商業(yè)間諜

盜取公司知識(shí)產(chǎn)權(quán)，或直接從事商業(yè)間諜活動(dòng)的大量惡意黑客，是大多數(shù)IT安全人員必須面對(duì)的挑戰(zhàn)。此類黑客的方法，就是入侵公司IT資產(chǎn)，轉(zhuǎn)儲(chǔ)全部口令，逐漸滲漏出GB級(jí)機(jī)密信息：專利、新產(chǎn)品創(chuàng)意、軍事秘密、財(cái)務(wù)信息、商業(yè)計(jì)劃等等。他們盡可能長時(shí)間地駐留在被入侵公司的網(wǎng)絡(luò)中，將有價(jià)值信息出售給客戶。

為收獲回報(bào)，他們竊聽重要郵件，突襲數(shù)據(jù)庫，獲取盡可能多的信息，有些甚至開始研發(fā)自己的惡意搜索引擎和查詢工具，用以挑選更有價(jià)值的知識(shí)產(chǎn)權(quán)。

此類攻擊者被稱為高級(jí)持續(xù)性威脅(APT)或堅(jiān)定人類對(duì)手(DHA)。極少有大型攻擊沒被此類威脅成功攻破過的。

威脅No.5：惡意軟件傭兵

無論網(wǎng)絡(luò)犯罪背后的意圖或組織是什么，總得有人制作惡意軟件。過去，程序員單打獨(dú)斗創(chuàng)建惡意軟件自用或出售?，F(xiàn)在，有團(tuán)隊(duì)和公司專門編寫惡意軟件用于繞過特定安全防護(hù)，攻擊特定客戶，達(dá)成特定目標(biāo)。這些軟件在競價(jià)論壇上公開出售。

通常，這些惡意軟件都是模塊化多階段的。較小的存根程序，被賦予對(duì)受害計(jì)算機(jī)進(jìn)行初始漏洞利用的任務(wù)，一旦安全植入以確保能挺過機(jī)器重啟，該程序就會(huì)聯(lián)系“母艦”Web服務(wù)器請求進(jìn)一步指令。

初始存根程序通常會(huì)發(fā)出DNS查詢請求以找尋母艦，它自身往往是一臺(tái)臨時(shí)充當(dāng)母艦的被黑計(jì)算機(jī)。這些DNS查詢請求，被發(fā)送到同樣是無辜被感染受害電腦的DNS服務(wù)器。DNS服務(wù)器的角色在受害計(jì)算機(jī)間跳轉(zhuǎn)，正如母艦Web服務(wù)器所做的那樣。

一旦建立聯(lián)系，DNS和母艦服務(wù)器，通常會(huì)將初始存根客戶端，重定向到其他DNS和母艦服務(wù)器上。依此方式，存根客戶端被不斷導(dǎo)引(通常多達(dá)十幾次以上)到新利用的計(jì)算機(jī)上，直到存根程序最終收到其最后的指令，而長久駐留型惡意程序被安裝到受害主機(jī)上。此種設(shè)置讓IT安全人員非常難以防護(hù)自身負(fù)責(zé)的IT資產(chǎn)。

威脅No.6：僵尸網(wǎng)絡(luò)即服務(wù)

僵尸網(wǎng)絡(luò)已不僅僅為其創(chuàng)建者所用了。今天的僵尸網(wǎng)絡(luò)擁有者，更有可能購買了創(chuàng)建僵尸主機(jī)的惡意軟件，要么自用，要么把僵尸網(wǎng)絡(luò)租賃給他人。

其中方法學(xué)大家耳熟能詳。每個(gè)惡意程序都試圖利用成千上萬臺(tái)計(jì)算機(jī)，努力構(gòu)建按創(chuàng)建者意圖行事的僵尸網(wǎng)絡(luò)。僵尸網(wǎng)絡(luò)中的每臺(tái)僵尸主機(jī)，最終都回連其命令與控制(C&C)服務(wù)器來獲取最新指令。這些指令往往包含釋放勒索軟件程序的動(dòng)作。僵尸網(wǎng)絡(luò)藏身在成千上萬的受感染計(jì)算機(jī)中。

如今這種活躍僵尸網(wǎng)絡(luò)如此之多的情況下(每天數(shù)以百萬計(jì)的受感染電腦)，僵尸網(wǎng)絡(luò)租賃就相當(dāng)便宜了——IT安全人員的麻煩更多了。

惡意軟件戰(zhàn)士往往試圖關(guān)閉C&C服務(wù)器，或者接過這些服務(wù)器的控制權(quán)，指令通連的僵尸主機(jī)清理宿主電腦并自殺。

威脅No.7：多功能惡意軟件

復(fù)雜惡意軟件程序通常打包出售，提供一應(yīng)俱全的功能。它們不僅僅感染終端用戶，還能入侵網(wǎng)站，修改網(wǎng)站以輔助感染更多受害者。這些多功能惡意軟件程序通常自帶管理控制臺(tái)，其擁有著和創(chuàng)建者可以跟蹤僵尸網(wǎng)絡(luò)的當(dāng)前行動(dòng)、感染目標(biāo)和成功率。

最惡意的程序是特洛伊木馬。計(jì)算機(jī)病毒和蠕蟲早已不再是最流行的惡意軟件類型。大多數(shù)情況下，終端用戶被誘騙執(zhí)行特洛伊木馬，木馬往往偽裝成必備殺毒掃描、磁盤碎片整理工具或其他一些看起來必要又無害的應(yīng)用。用戶的常規(guī)防御會(huì)被騙過，因?yàn)榇蠖鄶?shù)時(shí)候，提供流氓可執(zhí)行程序的網(wǎng)頁，正是他們訪問過多次的信任網(wǎng)站。壞人僅僅是入侵了該網(wǎng)站，使用許多技巧，插入幾行JavaScript代碼，將用戶瀏覽器重定向到特洛伊木馬程序。

威脅No.8：越來越多的被黑網(wǎng)站

從最基本的層面上看，網(wǎng)站就是一臺(tái)計(jì)算機(jī)，就像普通的終端用戶工作站。相對(duì)的，網(wǎng)站管理員與普通終端用戶無異。于是，合法網(wǎng)站充斥惡意JavaScript重定向鏈接的情況，絲毫不令人驚訝。

這并不完全是網(wǎng)站管理員電腦被利用，而導(dǎo)致網(wǎng)頁服務(wù)器被黑的問題。更經(jīng)常的情況是，攻擊者在網(wǎng)站上找到漏洞，繞過管理員身份驗(yàn)證，向網(wǎng)頁中寫入了惡意腳本。

常見網(wǎng)站漏洞包括：弱口令、跨站腳本漏洞、SQL注入、脆弱軟件和不安全權(quán)限。開放網(wǎng)頁應(yīng)用安全項(xiàng)目(OWASP)十大，就是大多數(shù)Web服務(wù)器被黑方法的權(quán)威。

太多情況，都不是Web服務(wù)器或其應(yīng)用軟件，而是其上某些鏈接或廣告被黑。普通廣告公司投放的橫幅廣告，是最常被感染的。最見鬼的，是惡意軟件擁有者有時(shí)候會(huì)在流行Web服務(wù)器上購買廣告空間。

因?yàn)楹芏鄩娜硕紓窝b成合法公司的生意人出現(xiàn)，帶有完整的公司總部信息、商務(wù)名片和開支賬戶，我們并不總能輕易辨別出廣告來源的合法性，壞人往往從給合法產(chǎn)品打廣告開始，但在廣告活動(dòng)過程中就將廣告中的鏈接替換成了流氓產(chǎn)品。一個(gè)有趣的漏洞利用案例，涉及黑客入侵某卡通集團(tuán)，導(dǎo)致再版該受影響卡通的每家報(bào)紙，最終都是在推送惡意軟件。這年月，你甚至都不能再相信卡通了。

被黑網(wǎng)站的另一個(gè)問題在于，托管網(wǎng)站的計(jì)算機(jī)往往同時(shí)托管著多家站點(diǎn)，有時(shí)候甚至是成百上千家。一家網(wǎng)站被黑，有可能很快就擴(kuò)散到上千家站點(diǎn)。

無論網(wǎng)站是怎么被黑的，無辜的用戶，哪些可能之前訪問該網(wǎng)站數(shù)年都沒發(fā)生任何問題的用戶，某天就被提示要安裝非預(yù)期的程序。盡管感覺十分詫異，但該提示來自他們已知且信任的網(wǎng)站的事實(shí)，也足以讓他們選擇執(zhí)行該安裝程序。然后，一切都完了。該終端用戶的計(jì)算機(jī)(或移動(dòng)設(shè)備)，變身別人龐大僵尸網(wǎng)絡(luò)中的有一個(gè)齒輪。

威脅No.9：網(wǎng)絡(luò)戰(zhàn)

民族國家網(wǎng)絡(luò)戰(zhàn)程序自成一派，不是大多數(shù)IT安全人員日常對(duì)付的東西。這些隱秘的行動(dòng)，創(chuàng)建出復(fù)雜專業(yè)的網(wǎng)絡(luò)戰(zhàn)程序，旨在監(jiān)視對(duì)手，或致癱對(duì)手的某個(gè)功能。但正如震網(wǎng)和Duqu病毒所呈現(xiàn)的，此類方式的附帶結(jié)果，可能比預(yù)期目標(biāo)更多。我們?nèi)缃穸家呀?jīng)見識(shí)到有民族國家，比如朝鮮，僅僅因?yàn)椴幌矚g某部電影，就黑掉一家財(cái)富500強(qiáng)公司了。

犯罪無處罰

有些受害者從未從漏洞利用中恢復(fù)過來。他們的信用記錄，被黑客的欺詐交易造成了永久性傷害，惡意軟件使用受害者的地址簿列表，來向其朋友和家人轉(zhuǎn)發(fā)自身，知識(shí)產(chǎn)權(quán)盜竊的受害者需要花費(fèi)上千萬美元進(jìn)行修復(fù)和預(yù)防。

最糟的是，使用上述惡意攻擊的人，幾乎沒有哪個(gè)被成功起訴。職業(yè)互聯(lián)網(wǎng)罪犯生活富足滋潤，因?yàn)榛ヂ?lián)網(wǎng)不擅長產(chǎn)生法庭可用的證據(jù)。即便可以產(chǎn)生，嫌犯也生活在受害者法律體系管轄范圍之外。絕大多數(shù)黑客活動(dòng)默認(rèn)匿名進(jìn)行，蹤跡在幾毫秒內(nèi)被擦除或掩蓋。我們目前還生活在互聯(lián)網(wǎng)的“狂野西部”時(shí)代。隨著互聯(lián)網(wǎng)的成熟，罪犯的安全天堂終將干涸。在此之前，IT安全人士還有自己的工作要做。