2009年5月25日,CCTV2报道了“大小姐”木马案件调查,另人们吃惊的是其组织严密,分工明确,技术与商业的“完美”结合,形成了木马经济网络,它标志着“木马经济产业链”已经成熟,已经成为不可忽视的社会性问题。
木马技术来源于网络远程管理工具,黑客拿来使用,无论是僵尸网络的控制台,还是秘密信息的收集工具,都让人感到该技术的“可怕”。若推动该技术发展的只是一些技术的爱好者、热情的体验者,可能对社会的危害性还不是很大,但随着“产业链”的形成,研究木马、推广木马成为该产业链的起点,是后期经济发展的支柱,木马技术的开发就进入了“主动、快速”发展阶段;受经济与政治利益的驱使,为木马研发提供了大笔的资金支持,有了资金,就可以获得一流的工作环境、一流的技术人才、一流的售后服务,以及最新的理论支持…
下图是木马经济产业链的组成:
所谓产业链,就是商业化运用已经形成一条完整的因果链,从木马开发到传播,从信息收集到木马回家,从虚拟资产到现实货币,产业链的各个环节都出现了“职业”经理人,分工明确,配合默契,效率很高,在与安全厂商的查杀与躲避搏弈中,略占上风。目前有关木马事件的新闻报道少了,不是因为安全厂商的技术高了,更不是因为木马销声匿迹了,而是木马的目标明确了,赚钱方式流水线化了…所谓知道的人越少越好,不再张扬了。
木马产业链按照其工作的重点,分为三个环节:经营过程、传播过程、工作过程。
1)
经营过程
经营过程的核心是木马管理者,也就是木马的“主人”。其任务是组织木马开发、木马推广、虚拟资产变现等,是木马经济链的起始与终结。
首先“主人”雇佣木马设计者,定制、开发自己特用的木马,并象管理新技术产品一样,维持产品的不断技术升级、版本的不断更新,以保持自己的木马能够躲避市场上安全厂家的查杀。
其次“主人”雇佣木马代理商推广“播种”其木马,木马要发挥作用的前提是要进入被攻击者的计算机,把木马送到有各种安全防护措施保护的用户电脑内,不是一件容易的事情。因此,木马代理商职业就诞生了,代理商主要是任务是推广渠道的管理,而真正的推送者多数是职业黑客,他们负责攻击他人的电脑与公众网站,取得权限后,把木马植入用户电脑。这不仅是技术活,而且是“力气活”,“主人”的目标是木马“播种”的数量,在成本第一的 IT行业,采用层层外包的经营方式是比较常见的。
最后是“主人”最终目标的实现,木马被植入大众电脑后,会主动与自己的主人联系,汇报自己目前的地位与权限。主人可以“经营”两种业务:一是把木马控制的计算机作为自己的“僵尸部队”,在大兵团作战的DDOS攻击中,可以命令这些“部队”攻击自己要摧毁的任何目标,这种方式是大家熟悉的“网络黑社会”。二是让木马收集电脑里的“有价值”信息,如银行卡密码、游戏密码、QQ账号等,直接可以在网上出售,实现利润;当然也可以收集私人照片、企业文件、商业文件、涉密信息等,总之是一切可以买卖交易,赚钱的有价值信息,都是木马收集的对象。
经营过程是木马产业链的核心环节,是木马商业价值变现的环节,但木马的“主人”往往不是技术拥有者,而是纯粹的“商人”,木马技术含量高的环节是通过雇佣木马设计者、木马推广者来完成的。
2)
传播过程
木马代理商一般雇佣木马推广者,为其传播木马,一般来说都是职业黑客,因为是个“力气活”,通常是初级黑客,当然也不乏高手,主要看出价高低。木马传播也需要“特种”思维,在与安全公司的较量中,这的确是第一场“攻坚”战。木马是一个小软件,在你不注意的时候,安装在你的电脑中,黑客攻击是比较直接的方式,获得你计算机的控制权,就跟它自己的计算机一样方便,但这样一个一个的攻击,成本高,时间长,因此设计可以大规模、自动入侵方式是必然的。首先是通过蠕虫、病毒的自传播技术,想水一样渗透到网络的各个角落,通过移动介质,还可以进入保密的私有网络,但是病毒与蠕虫是目前计算机防范的重点,能有多大的效果还是不很确定的,同时,木马进入私有网络,不能“回家”,也起不到作用。互通、平等、开放的互联网,很快成为木马传播的最佳场地。先是黑客攻击网站,修改网页,把木马挂上去,在广大网民“网上冲浪”的时候,把木马植入你的电脑;伪装的方式可谓五花八门,通过邮件、漂亮图片、优美视频等,诱惑你点击,或执行“恶意”链接;后来通过MSN、QQ、博客、论坛等共享上传信息,把木马悄悄地送给“欢乐”的冲浪者。
传播途径中的技术发展非常惊人,目前已经从系统漏洞、到应用漏洞、社会行为方向发展,从主动攻击向诱惑、钓鱼方向发展。尤其是SQL注入、网页挂马、XSS等通过网站的传播成为主流传播渠道。
3)
工作过程
木马就是进入电脑的“间谍”,你当然会严加防范,想尽办法把它扼杀在摇篮里。所以,木马不能只躲避,总是要工作的,若木马不能“顺利工作”,整个木马经济的链条都会断裂,后期的利益不能继续,产业链就会崩溃。
木马进入电脑的工作分为四个阶段:
Ø
植入:不被发现地安装自己,这个过程是在传播过程的后期一定要完成的,否则前功尽弃。此阶段是安全厂家查杀的重点,为了不被发现,各种加密、化整为零、尾随跟进、冒充“领导”等躲避技术层出不穷。
Ø
启动:进入电脑后,一定要找合适的机会启动自己,获得“工作”的权利,简单的可以加入注册表,复杂的可以尾随在系统进程中。启动自己要躲过各种主机监控措施,给自己合法的身份证,当然,启动后,为了自己“工作”的的方便,屏蔽安全措施对自己的监视,获取一些“特殊”的权限与身份,消除有关的日志行为记录…都是必要的准备工作。
Ø
收集:信息收集是木马的实际工作阶段,躲过了安装时的检查,躲过了启动时的监控,一般来说木马已经成为电脑中的“合法公民”了,但木马要干的事情就不一定合乎常规了,如监视你的键盘、窃取你的屏幕、监听你的通讯等,做这些事情也需要躲避检测系统,否则还没有“干成坏事”就被抓,前边的努力也都付之东流了。
Ø
回家:木马与病毒、蠕虫的区别就是要回家,要找到自己的“组织”。木马的目标是听从“组织”的召唤,控制你的电脑也好,监视你的电脑也好,盗取信息也好,都要联系到“组织”。如何能在不被你发现的时候,联系上木马“主人”,这个过程是攻防博弈、生死相加的过程。回家的技术也多种多样,不仅仅是直接、间接的通讯连接、信息上载,也可能是个普通电子邮件,也可能寄生在某些系统软件的升级进程…
木马与“主人”取得联络后,就基本实现了整个木马工作过程,若是以控制为目的的话,你的电脑也就正式“加入”木马主人的僵尸部队。
木马在传播与工作过程中各个环节,都有可能因被发现而夭折,因此,防范木马的技术也多种多样,但由于木马的商业利益驱使,木马在躲避技术上发展迅猛,尤其是在启动、回家过程。木马的设计人员往往是对系统非常熟悉的高手,不仅熟悉操作系统的各个操作环节,而且熟悉安全措施的种种漏洞,熟悉各种应用的漏洞…
目前,市场上流行了很多的一些木马制作工具,使用这些工具,普通的人员也可以制造出大量的新型木马。但是,由于工具的限制,这些木马虽然在“长像体貌”上是有些不同,但其工作原理与方式基本一样,也就是他们有相同家族的DNA,通过“行为检测”技术,很多厂家在推行“主动”木马防御技术。
一个人犯罪并不可怕,可怕的是有组织、有计划的犯罪。“木马经济产业链”是黑客技术产业化的一个成功案例,希望这个案例能够引起社会有关方面的足够重视,因为这已经不仅仅是计算机安全技术能解决的问题了。
本文转自 zhaisj 51CTO博客,原文链接:http://blog.51cto.com/zhaisj/187647,如需转载请自行联系原作者
