2017年5月,名为WannaCry的新型 勒索软件 在150多个国家感染了超过23万台个人和商业电脑。受该勒索软件感染的组织包括:德国铁路公司Deutsche Bahn AG、苏格兰国家卫生署(苏格兰公立保健系统)、英格兰国家卫生署、沙特电信公司和联邦快递(国际物流服务公司)。这次勒索软件攻击目前被估为网络史上最大的全球安全事件之一。
WannaCry 基于美国国安局开发的安全利用程序 EternalBlue 。WannaCry的发布者是黑客组织 影子经纪人 ( The Shadow Brokers )。影子经纪人曾公布,他们向网络犯罪分子提供付费订阅服务,令 网络犯罪 分子得以获取从重要机构偷来的各种漏洞利用程序和数据。这家黑客组织宣称拥有俄罗斯、朝鲜、伊朗和中国四个国家的核武器数据,以及 SWIFT 银行网络的数据。因此,我们很快就能见证一个新兴的web服务—— 恶意软件 即服务——越来越受欢迎。本文的目的是调查恶意软件即服务的历史(第二章)、生态系统(第三章)、现状和未来(第四章)。最后,我们得出结论(第五章)。
第二章:恶意软件即服务的历史
自从万维网出现以来,黑客就一直在非法网络(所谓的 暗网 )市场上售卖恶意软件。暗网市场就是一些通过非标准协议(例如I2P和Tor)运行的网站。其主要目的是便于交易非法产品和服务,包括未经许可的药品、武器、毒品、类固醇和假币。这些市场也常常被用来购买或租赁恶意软件。例如,安全专家Jon Miller就认为,攻击索尼影业(Sony Pictures)的恶意软件并不是定制的。据他所说,人们可以轻松地在暗网市场上买到类似恶意软件。对索尼的攻击导致索尼影业的机密数据泄露,包括但不限于索尼影业雇员及其家人的个人信息。Miller指出“现在可能有4、5千人可以发动那样的攻击”,强调恶意软件很容易就可以获取。
值得提到的是,暗网市场不仅仅销售 勒索软件 ,还卖电脑僵尸网络的访问权限。 僵尸网络 是一系列连接互联网的设备,其中每台设备都运行着一个或多个僵尸程序。僵尸网络可被用来发动 拒绝服务攻击 (即通过中断服务使得机器或网络资源不可用)、发送垃圾邮件和窃取个人数据。根据Webroot(www.webroot.com)的统计,购买一个由1000台美国被感染电脑组成的僵尸网络仅需180美元。最便宜的僵尸网络仅需35美元,由全球各地的1000台被感染电脑组成。
第三部分:恶意软件即服务的生态系统
恶意软件即服务 的生态系统由三个部分组成:开发者(3.1节)、卖家(3.2节)和买家(3.3节)。下方逐一详细分析这三个组成部分。
3.1 恶意软件开发者
恶软开发者设计漏洞利用程序、编写恶意软件、进行旨在寻找漏洞的信息安全研究。需要注意的是,恶软开发者并不总是触犯法律的黑客。举个例子,恶软开发者可以是合法的自由编程人员,根据客户的要求完成开发任务。这些开发者常常不知道他们的工作成果被恶意使用。恶软开发者和传播者的动机包括财务报酬、智力挑战、对特定组织的报复、无聊和社交收益。在《网络犯罪:在线犯罪心理学》一书中,作者Kirwan和Power指出,恶软开发者可能会有类似于破坏分子的心里特点和动机(例如愉悦感、审美和利益控制)。
3.2 恶意软件卖家
恶软卖家常常在暗网市场上提供他们的产品,并积极寻找客户。卖家通常提供两种产品:客户定制恶软包,和传播恶软所必需的托管服务。客户定制恶软包不仅仅包含恶意软件,还包括一些详细说明,用于指导客户如何根据部署者的需要来量身定制恶意软件。例如,任何人都可以购买一个客户定制工具包,以便他能部署模仿CryptoLocker(一款流行的勒索木马)功能的勒索软件。这种工具包的价格仅仅为100美元。考虑到Cryptlocker也许能迫使受害者(包括警察部门)支付赎金,这个价格相当低。举例说明,美国马萨诸塞州斯旺西(Swansea)警察局决定对Crytolocker攻击做出回应,支付750美元的赎金,以换回他们的文件。
恶意软件卖家也常常提供托管服务,以便于客户进一步传播恶意软件。这些服务可能包括僵尸网络权限。后者可以一次性向大量人员传播病毒、垃圾邮件和间谍软件。僵尸网络向执法部门提出了重大挑战:被感染设备的主人常常是合法用户,不知道设备被用于非法活动。因此,即使执法部门定位到了僵尸设备,他们也无法定位恶意代码的源头,以及僵尸网络控制者所在的位置。
3.3 恶意软件买家
恶意软件买家可能包括三类人:计划将恶软用于恶意目的的犯罪分子、旨在找到和解决安全漏洞的安全研究人员、政府官员。不用说,犯罪分子购买和使用恶意软件都是为了自己的利益。比如,犯罪分子可以部署勒索软件来获取经济收益或者建立僵尸网络并卖给其他犯罪分子。另一方面,安全研究人员也可能成为恶意软件的买家。他们可能将买来的恶意软件用于多种目的,包括出版学术文章、建立防护机制免受恶软感染、以及为防恶软程序开发更新包。
有趣的是,根据路透社消息,美国政府“在黑客和安全公司售卖电脑入侵工具的新兴灰色市场上成为了最大的买家”。美国政府购买恶意软件并不仅仅是为了保护自身和美国公民免受恶软攻击。恰恰相反,美国政府似乎在利用恶意软件渗透海外的计算机网络。结果,很多安全研究人员更喜欢做发动攻击的恶意软件,而不是防御恶软的防护机制。曾在美国国家安全局工作的安全研究人员Charlie Miller指出:“只有进攻端的人们才花钱。”
第四章:恶意软件即服务的现状和未来
目前,恶意软件即服务相关的业务还处于起步阶段。少量供应商在暗网市场上出售他们的服务。市场上出售的恶意软件很少更新,而且卖家往往不提供售后服务。然而,我们可以预期,恶意软件即服务可以在短时间内获得巨大发展,赶上合法软件服务。例如,恶意软件即服务产品的开发人员可以向客户提供订阅服务,允许客户每月获取恶意软件的更新版本。每个更新版本都能反映杀软公司在上个月的工作成果。这样,订阅用户能确保他们的恶意软件一直有效。恶意软件卖家还能提供售后支持,包括如何修改、部署恶软并从中获利的综合说明。我们可以预期,暗网上的恶意软件生意将会提供实时售后服务,从而使客户能快速解决所购恶软的任何问题。
如果将来人们仅仅需要注册一个账户并输入信息(例如目标的电子邮件地址),就可从云平台获取恶意软件即服务产品,也并不值得奇怪。云平台随后会将恶意软件发送到指定的电子邮件地址,越权收集信息(例如信用卡信息),并将收集到的信息发送给部署恶意软件的人。这样的恶意软件即服务云平台可以导致恶意软件攻击的扩散。原因是,想从恶意软件中获益的犯罪分子不再需要代码编写或其他技术专长。
第五章:结论
本文指出,受近期WannarCry攻击触发,我们可以期待一种新地下经济,即恶意软件即服务的迅速发展。在这方面,TechRadar指出:
“我们是否进入了恶软地狱的新时代?如果影子经纪人——之前泄露美国国安局工具和漏洞利用程序(包括WannaCry所用漏洞)的黑客组织——与WannaCry勒索软件有关,那整个WannaCry勒索软件风波可能仅仅是事情的开始。”
虽然只有时间能证明我们是否在进入恶意软件扩散的新时代,各种组织仍可以通过执行灵活、精心设计和完整的防御措施来降低恶意软件的风险。这些网络防护措施不仅仅指漏洞扫描器、防恶意软件程序、网络嗅探器、入侵检测和防护扫描器,还包括能做到有效协作、灵活上报和聪明的系统管理的信息安全策略。最后,世上没有完美的恶意软件防御。这意味着各种组织需要开发和实施事件响应策略,以减轻感染恶意软件的后果。这类策略需要包括至少六个步骤,即:
- 准备(培训员工如何快速、正确地应对安全事件)
- 识别(识别安全事件)
- 遏制(通过切断所有受影响系统和设备来遏制问题)
- 消除(受影响的组织调查和解决事件的源头)
- 恢复(恢复丢失的信息并确保无漏洞残留)
- 学习经验教训(受影响组织从事件中学习,采取措施避免将来发生类似事件)
参考
- Allan, D., ‘Forget WannaCry: hackers promise floods of tears with fresh malware,’ TechRadar, 17 May 2017.
链接:http://www.techradar.com/news/forget-wannacry-hackers-promise-floods-of-tears-with-fresh-malware . - ‘Cybercriminals sell access to tens of thousands of malware-infected Russian hosts,’ Webroot, 13 September 2013.
链接:https://www.webroot.com/blog/2013/09/23/cybercriminals-sell-access-tens-thousands-malware-infected-russian-hosts/. - Kirwan, G., Power, A., ‘Cybercrime: The psychology of online offenders.’ Cambridge University Press, 2013.
- Knibbs, K., ‘Anyone Can Buy the Malware Used to Hack Sony’, Gizmodo, 13 April 2015.
链接:http://gizmodo.com/anyone-can-buy-the-malware-used-to-hack-sony-on-the-dar-1697448923. - ‘Malware Defense for Today and the Future,’ Tenable.
链接:http://eqinc.com/images/white-papers/malware-defense-for-today-and-the-future-whitepaper.pdf. - Mathews, L., ‘$100 malware kit lets anyone build their own CryptoLocker’, Geek, 1 July 2014.
链接:https://www.geek.com/apps/100-malware-kit-lets-anyone-build-their-own-cryptolocker-1581505/. - Mathews, L., ‘Even police departments are paying the Cryptolocker ransom,’ Geek, 20 November 2013.
链接:https://www.geek.com/apps/even-police-departments-are-paying-the-cryptolocker-ransom-1577785/. - McClure, Stuart, Joel Scambray, and George Kurtz. ‘Hacking Exposed Fifth Edition: Network Security Secrets & Solutions.’ McGraw-Hill/Osborne, 2005.
- Menn, J., ‘Special Report: U.S. cyberwar strategy stokes fear of blowback’, Reuters, 10 May 2013.
链接:http://www.reuters.com/article/us-usa-cyberweapons-specialreport-idUSBRE9490EL20130510. - Palmer, D., ‘Criminals in the cloud: How malware-as-a-service is becoming the tool of choice for crooks,’ ZDNet, 21 April 2016.
链接:http://www.zdnet.com/article/criminals-in-the-cloud-how-malware-as-a-service-is-becoming-the-tool-of-choice-for-crooks/. - ‘What is Malware-as-a-Service?’, Entrust, 7 January 2014.
链接:https://www.entrust.com/malware-service/.