9年5月25日tv2報道了“大小姐”木馬案件調查,另人們吃驚的是其組織嚴密,分工明確,技術與商業的“完美”結合,形成了木馬經濟網絡,它標誌著“木馬經濟產業鏈”已經成熟,已經成為不可忽視的社會性問題。
木馬技術來源於網絡安全管理工具,黑客拿來使用,無論是僵屍網絡的控製台,還是秘密信息的收集工具,都讓人感到該技術的“可怕”。若推動該技術發展的隻是一些技術的愛好者、熱情的體驗者,可能對社會的危害性還不是很大,但隨著“產業鏈”的形成,研究木馬、推廣木馬成為該產業鏈的起點,是後期經濟發展的支柱,木馬技術的開發就進入了“主動、快速”發展階段;受經濟與政治利益的驅使,為木馬研發提供了大筆的資金支持,有了資金,就可以獲得一流的工作環境、一流的技術人才、一流的售後服務,以及最新的理論支持…
所謂產業鏈,就是商業化運用已經形成一條完整的因果鏈,從木馬開發到傳播,從信息收集到木馬回家,從虛擬資產到現實貨幣,產業鏈的各個環節都出現了“職業”經理人,分工明確,配合默契,效率很高,在與安全廠商的查殺與躲避搏弈中,略占上風。目前有關木馬事件的新聞報道少了,不是因為安全廠商的技術高了,更不是因為木馬銷聲匿跡了,而是木馬的目標明確了,賺錢方式流水線化了…所謂知道的人越少越好,不再張揚了。
木馬產業鏈按照其工作的重點,分為三個環節:經營過程、傳播過程、工作過程。
1)經營過程
經營過程的核心是木馬管理者,也就是木馬的“主人”。其任務是組織木馬開發、木馬推廣、虛擬資產變現等,是木馬經濟鏈的起始與終結。
先“主人”雇傭木馬設計者,定製、開發自己特用的木馬,並象管理新技術產品一樣,維持產品的不斷技術升級、版本的不斷更新,以保持自己的木馬能夠躲避市場上安全廠家的查殺。
其次“主人”雇傭木馬代理商推廣“播種”其木馬,木馬要發揮作用的前提是要進入被攻擊者的計算機,把木馬送到有各種安全防護措施保護的用戶電腦內,不是一件容易的事情。因此,木馬代理商職業就誕生了,代理商主要是任務是推廣渠道的管理,而真正的推送者多數是職業黑客,他們負責攻擊他人的電腦與公眾網站,取得權限後,把木馬植入用戶電腦。這不僅是技術活,而且是“力氣活”,“主人”的目標是木馬“播種”的數量,在成本第一的it行業,采用層層外包的經營方式是比較常見的。
最後是“主人”最終目標的實現,木馬被植入大眾電腦後,會主動與自己的主人聯係,匯報自己目前的地位與權限。主人可以“經營”兩種業務:一是把木馬控製的計算機作為自己的“僵屍部隊”,在大兵團作戰的ddos攻擊中,可以命令這些“部隊”攻擊自己要摧毀的任何目標,這種方式是大家熟悉的“網絡黑社會”。二是讓木馬收集電腦裏的“有價值”信息,如銀行卡密碼、遊戲密碼、qq賬號等,直接可以在網上出售,實現利潤;當然也可以收集私人照片、企業文件、商業文件、涉密信息等,總之是一切可以買賣交易,賺錢的有價值信息,都是木馬收集的對象。
經營過程是木馬產業鏈的核心環節,是木馬商業價值變現的環節,但木馬的“主人”往往不是技術擁有者,而是純粹的“商人”,木馬技術含量高的環節是通過雇傭木馬設計者、木馬推廣者來完成的。[]
2)傳播過程
木馬代理商一般雇傭木馬推廣者,為其傳播木馬,一般來說都是職業黑客,因為是個“力氣活”,通常是初級黑客,當然也不乏高手,主要看出價高低。木馬傳播也需要“特種”思維,在與安全公司的較量中,這的確是第一場“攻堅”戰。木馬是一個小軟件,在你不注意的時候,安裝在你的電腦中,黑客攻擊是比較直接的方式,獲得你計算機的控製權,就跟它自己的計算機一樣方便,但這樣一個一個的攻擊,成本高,時間長,因此設計可以大規模、自動入侵方式是必然的。首先是通過蠕蟲、病毒的自傳播技術,想水一樣滲透到網絡的各個角落,通過移動介質,還可以進入保密的私有網絡,但是病毒與蠕蟲是目前計算機防範的重點,能有多大的效果還是不很確定的,同時,木馬進入私有網絡,不能“回家”,也起不到作用。互通、平等、開放的互聯網,很快成為木馬傳播的最佳場地。先是黑客攻擊網站,修改網頁,把木馬掛上去,在廣大網民“網上衝浪”的時候,把木馬植入你的電腦;偽裝的方式可謂五花八門,通過郵件、漂亮圖片、優美視頻等,誘惑你點擊,或執行“惡意”鏈接;後來通過msn、qq、博客、論壇等共享上傳信息,把木馬悄悄地送給“歡樂”的衝浪者。
傳播途徑中的技術發展非常驚人,目前已經從係統漏洞、到應用漏洞、社會行為方向發展,從主動攻擊向誘惑、釣魚方向發展。尤其是sql注入、網頁掛馬、xss等通過網站的傳播成為主流傳播渠道。
3)工作過程
木馬就是進入電腦的“間諜”,你當然會嚴加防範,想盡辦法把它扼殺在搖籃裏。所以,木馬不能隻躲避,總是要工作的,若木馬不能“順利工作”,整個木馬經濟的鏈條都會斷裂,後期的利益不能繼續,產業鏈就會崩潰。
木馬進入電腦的工作分為四個階段:
植入:不被發現地安裝自己,這個過程是在傳播過程的後期一定要完成的,否則前功盡棄。此階段是安全廠家查殺的重點,為了不被發現,各種加密、化整為零、尾隨跟進、冒充“領導”等躲避技術層出不窮。
啟動:進入電腦後,一定要找合適的機會啟動自己,獲得“工作”的權利,簡單的可以加入注冊表,複雜的可以尾隨在係統進程中。啟動自己要躲過各種主機監控措施,給自己合法的身份證,當然,啟動後,為了自己“工作”的的方便,屏蔽安全措施對自己的監視,獲取一些“特殊”的權限與身份,消除有關的日誌行為記錄…都是必要的準備工作。
收集:信息收集是木馬的實際工作階段,躲過了安裝時的檢查,躲過了啟動時的監控,一般來說木馬已經成為電腦中的“合法公民”了,但木馬要幹的事情就不一定合乎常規了,如監視你的鍵盤、竊取你的屏幕、監聽你的通訊等,做這些事情也需要躲避檢測係統,否則還沒有“幹成壞事”就被抓,前邊的努力也都付之東流了。
回家:木馬與病毒、蠕蟲的區別就是要回家,要找到自己的“組織”。木馬的目標是聽從“組織”的召喚,控製你的電腦也好,監視你的電腦也好,盜取信息也好,都要聯係到“組織”。如何能在不被你發現的時候,聯係上木馬“主人”,這個過程是攻防博弈、生死相加的過程。回家的技術也多種多樣,不僅僅是直接、間接的通訊連接、信息上載,也可能是個普通電子郵件,也可能寄生在某些係統軟件的升級進程…
木馬與“主人”取得聯絡後,就基本實現了整個木馬工作過程,若是以控製為目的的話,你的電腦也就正式“加入”木馬主人的僵屍部隊。
木馬在傳播與工作過程中各個環節,都有可能因被發現而夭折,因此,防範木馬的技術也多種多樣,但由於木馬的商業利益驅使,木馬在躲避技術上發展迅猛,尤其是在啟動、回家過程。木馬的設計人員往往是對係統非常熟悉的高手,不僅熟悉操作係統的各個操作環節,而且熟悉安全措施的種種漏洞,熟悉各種應用的漏洞…
目前,市場上流行了很多的一些木馬製作工具,使用這些工具,普通的人員也可以製造出大量的新型木馬。但是,由於工具的限製,這些木馬雖然在“長像體貌”上是有些不同,但其工作原理與方式基本一樣,也就是他們有相同家族的dna,通過“行為檢測”技術,很多廠家在推行“主動”木馬防禦技術。
一個人犯罪並不可怕,可怕的是有組織、有計劃的犯罪。“木馬經濟產業鏈”是黑客技術產業化的一個成功案例,希望這個案例能夠引起社會有關方麵的足夠重視,因為這已經不僅僅是計算機安全技術能解決的問題了。
木馬技術來源於網絡安全管理工具,黑客拿來使用,無論是僵屍網絡的控製台,還是秘密信息的收集工具,都讓人感到該技術的“可怕”。若推動該技術發展的隻是一些技術的愛好者、熱情的體驗者,可能對社會的危害性還不是很大,但隨著“產業鏈”的形成,研究木馬、推廣木馬成為該產業鏈的起點,是後期經濟發展的支柱,木馬技術的開發就進入了“主動、快速”發展階段;受經濟與政治利益的驅使,為木馬研發提供了大筆的資金支持,有了資金,就可以獲得一流的工作環境、一流的技術人才、一流的售後服務,以及最新的理論支持…
所謂產業鏈,就是商業化運用已經形成一條完整的因果鏈,從木馬開發到傳播,從信息收集到木馬回家,從虛擬資產到現實貨幣,產業鏈的各個環節都出現了“職業”經理人,分工明確,配合默契,效率很高,在與安全廠商的查殺與躲避搏弈中,略占上風。目前有關木馬事件的新聞報道少了,不是因為安全廠商的技術高了,更不是因為木馬銷聲匿跡了,而是木馬的目標明確了,賺錢方式流水線化了…所謂知道的人越少越好,不再張揚了。
木馬產業鏈按照其工作的重點,分為三個環節:經營過程、傳播過程、工作過程。
1)經營過程
經營過程的核心是木馬管理者,也就是木馬的“主人”。其任務是組織木馬開發、木馬推廣、虛擬資產變現等,是木馬經濟鏈的起始與終結。
先“主人”雇傭木馬設計者,定製、開發自己特用的木馬,並象管理新技術產品一樣,維持產品的不斷技術升級、版本的不斷更新,以保持自己的木馬能夠躲避市場上安全廠家的查殺。
其次“主人”雇傭木馬代理商推廣“播種”其木馬,木馬要發揮作用的前提是要進入被攻擊者的計算機,把木馬送到有各種安全防護措施保護的用戶電腦內,不是一件容易的事情。因此,木馬代理商職業就誕生了,代理商主要是任務是推廣渠道的管理,而真正的推送者多數是職業黑客,他們負責攻擊他人的電腦與公眾網站,取得權限後,把木馬植入用戶電腦。這不僅是技術活,而且是“力氣活”,“主人”的目標是木馬“播種”的數量,在成本第一的it行業,采用層層外包的經營方式是比較常見的。
最後是“主人”最終目標的實現,木馬被植入大眾電腦後,會主動與自己的主人聯係,匯報自己目前的地位與權限。主人可以“經營”兩種業務:一是把木馬控製的計算機作為自己的“僵屍部隊”,在大兵團作戰的ddos攻擊中,可以命令這些“部隊”攻擊自己要摧毀的任何目標,這種方式是大家熟悉的“網絡黑社會”。二是讓木馬收集電腦裏的“有價值”信息,如銀行卡密碼、遊戲密碼、qq賬號等,直接可以在網上出售,實現利潤;當然也可以收集私人照片、企業文件、商業文件、涉密信息等,總之是一切可以買賣交易,賺錢的有價值信息,都是木馬收集的對象。
經營過程是木馬產業鏈的核心環節,是木馬商業價值變現的環節,但木馬的“主人”往往不是技術擁有者,而是純粹的“商人”,木馬技術含量高的環節是通過雇傭木馬設計者、木馬推廣者來完成的。[]
2)傳播過程
木馬代理商一般雇傭木馬推廣者,為其傳播木馬,一般來說都是職業黑客,因為是個“力氣活”,通常是初級黑客,當然也不乏高手,主要看出價高低。木馬傳播也需要“特種”思維,在與安全公司的較量中,這的確是第一場“攻堅”戰。木馬是一個小軟件,在你不注意的時候,安裝在你的電腦中,黑客攻擊是比較直接的方式,獲得你計算機的控製權,就跟它自己的計算機一樣方便,但這樣一個一個的攻擊,成本高,時間長,因此設計可以大規模、自動入侵方式是必然的。首先是通過蠕蟲、病毒的自傳播技術,想水一樣滲透到網絡的各個角落,通過移動介質,還可以進入保密的私有網絡,但是病毒與蠕蟲是目前計算機防範的重點,能有多大的效果還是不很確定的,同時,木馬進入私有網絡,不能“回家”,也起不到作用。互通、平等、開放的互聯網,很快成為木馬傳播的最佳場地。先是黑客攻擊網站,修改網頁,把木馬掛上去,在廣大網民“網上衝浪”的時候,把木馬植入你的電腦;偽裝的方式可謂五花八門,通過郵件、漂亮圖片、優美視頻等,誘惑你點擊,或執行“惡意”鏈接;後來通過msn、qq、博客、論壇等共享上傳信息,把木馬悄悄地送給“歡樂”的衝浪者。
傳播途徑中的技術發展非常驚人,目前已經從係統漏洞、到應用漏洞、社會行為方向發展,從主動攻擊向誘惑、釣魚方向發展。尤其是sql注入、網頁掛馬、xss等通過網站的傳播成為主流傳播渠道。
3)工作過程
木馬就是進入電腦的“間諜”,你當然會嚴加防範,想盡辦法把它扼殺在搖籃裏。所以,木馬不能隻躲避,總是要工作的,若木馬不能“順利工作”,整個木馬經濟的鏈條都會斷裂,後期的利益不能繼續,產業鏈就會崩潰。
木馬進入電腦的工作分為四個階段:
植入:不被發現地安裝自己,這個過程是在傳播過程的後期一定要完成的,否則前功盡棄。此階段是安全廠家查殺的重點,為了不被發現,各種加密、化整為零、尾隨跟進、冒充“領導”等躲避技術層出不窮。
啟動:進入電腦後,一定要找合適的機會啟動自己,獲得“工作”的權利,簡單的可以加入注冊表,複雜的可以尾隨在係統進程中。啟動自己要躲過各種主機監控措施,給自己合法的身份證,當然,啟動後,為了自己“工作”的的方便,屏蔽安全措施對自己的監視,獲取一些“特殊”的權限與身份,消除有關的日誌行為記錄…都是必要的準備工作。
收集:信息收集是木馬的實際工作階段,躲過了安裝時的檢查,躲過了啟動時的監控,一般來說木馬已經成為電腦中的“合法公民”了,但木馬要幹的事情就不一定合乎常規了,如監視你的鍵盤、竊取你的屏幕、監聽你的通訊等,做這些事情也需要躲避檢測係統,否則還沒有“幹成壞事”就被抓,前邊的努力也都付之東流了。
回家:木馬與病毒、蠕蟲的區別就是要回家,要找到自己的“組織”。木馬的目標是聽從“組織”的召喚,控製你的電腦也好,監視你的電腦也好,盜取信息也好,都要聯係到“組織”。如何能在不被你發現的時候,聯係上木馬“主人”,這個過程是攻防博弈、生死相加的過程。回家的技術也多種多樣,不僅僅是直接、間接的通訊連接、信息上載,也可能是個普通電子郵件,也可能寄生在某些係統軟件的升級進程…
木馬與“主人”取得聯絡後,就基本實現了整個木馬工作過程,若是以控製為目的的話,你的電腦也就正式“加入”木馬主人的僵屍部隊。
木馬在傳播與工作過程中各個環節,都有可能因被發現而夭折,因此,防範木馬的技術也多種多樣,但由於木馬的商業利益驅使,木馬在躲避技術上發展迅猛,尤其是在啟動、回家過程。木馬的設計人員往往是對係統非常熟悉的高手,不僅熟悉操作係統的各個操作環節,而且熟悉安全措施的種種漏洞,熟悉各種應用的漏洞…
目前,市場上流行了很多的一些木馬製作工具,使用這些工具,普通的人員也可以製造出大量的新型木馬。但是,由於工具的限製,這些木馬雖然在“長像體貌”上是有些不同,但其工作原理與方式基本一樣,也就是他們有相同家族的dna,通過“行為檢測”技術,很多廠家在推行“主動”木馬防禦技術。
一個人犯罪並不可怕,可怕的是有組織、有計劃的犯罪。“木馬經濟產業鏈”是黑客技術產業化的一個成功案例,希望這個案例能夠引起社會有關方麵的足夠重視,因為這已經不僅僅是計算機安全技術能解決的問題了。