駭客集團犯罪模式解析，你電腦其實不值得被入侵~~

arcc

你還在依靠單一安全軟體或是防火牆保護你的重要資料嗎？其實現今駭客早已不是躲在車庫裡暗自竊喜取得大公司的機密檔案，而是有效率、有規模、有組織的犯罪行動，早已超越你我想像。

駭客行為已改變

首先，我們早已受夠那些軟體廠商的吹捧之詞，「網路購物要小心，避免信用卡資料外洩」、「臉書帳號隱私要設定好，避免被人家看光光」、「我們的安全軟體有1024bit加密系統，甚至連超級電腦都無法破解！！」。我只能說這些都是先嚇唬你再賣軟體給你的手法，事實上根本不會有人想看你跟你男朋友的親密合照（除非你是名人）。

現今駭客挑選攻擊目標比較像是逐水草而居，當瞄準特定網路、電腦想攻擊時，通常都會先試探性的研究這個網路、電腦的安全性到哪裡，如果計算下來不符時間成本，便會轉頭向下一個目標攻擊。而現今的駭客的背後大多也都有特定的組織或是國家機構贊助，為了特定目的攻擊特定的對象，你的電腦裡就算有36招，招招精彩的照片也不管你。

以近期的幾次大攻擊來說，EMC（專門致力於資料儲存、數據分析、訊息安全等資有關資料方面的服務公司）的RSA安全部門職員點了某封釣魚信，導致部分電腦受到後門程式感染，密碼以及敏感文件遭到竊取。前陣子PlayStation Network也遭駭客入侵，幾乎所有有關使用者的相關資料皆被盜取一空，雖然目前看來被竊者似乎沒有什麼損失，但就長遠來看這些資料是非常好用的，諸如不良的行銷公司或是其他犯罪機構可是虎視眈眈的想付錢購買。

駭客與怪客（Hacker V.S. Cracker）

駭客原本在英文的語意中，指的是那些對於電腦程式相當理解，喜歡寫程式或是挑出系統毛病並修補或增強的程式設計師，怪客才是那些比較惡意，未經他人與許進入系統搞破壞的人，但經社會上世俗媒體的長期錯誤引用，使得駭客＝壞人的認知深植大眾心中，本文也以大家比較熟悉的駭客一詞指稱那些惡意破壞或竊取資料的人士，但希望大家心中依然還是要記得這兩者最原始的意義並不相同。

現今駭客不再由1個人單打獨鬥，而是具有更強烈的4種特徵：更多資源、更深的技術背景、金援無缺、組織化，過去那種自行破解公司網路竊得機密資訊的方式早已不流行，而是找尋特定機密資訊，並利用此機密資訊達成另外1種目的。

駭客攻擊週期與攻擊四大階段

基本上現今的入侵方式循序漸進可分為4個階段：感染、持續、通訊、操作。感染各位讀者相當熟悉，就是釣魚郵件、注入攻擊、軟體漏洞、下載惡意程式等動作，現今的感染途徑也不見得需要送1個惡意檔案到你的電腦上，諸如1個暗藏掩碼攻擊的網址就能讓你電腦的洞戶大開，所以大家常常會觀看的社群網站或通訊軟體便是很好的攻擊機會。

持續指的就是這些遭到感染的電腦網路們能夠維持被感染的狀態，如果惡意程式只在記憶體裡存活，重開機之後不就白搭了嗎？因此rootkit或是能夠修改開機順序的bootkit惡意程式就是為此誕生，確保能夠生生不息的常駐在被感染的電腦。Android第一隻bootkit惡意程式也已經被發現（Android.Oldboot.1.origin），他能夠在開機時比作業系統更早載入，替換掉正常的libgooglekernel.so和GoogleKernel.apk，之後便會自動安裝功能更為繁瑣的執行檔，利用libgooglekernel.so所提供的函式庫向遠端的代理伺服器下載指令，之後你的資料就不斷的被洩露出去，廣告也不停的來，唯一的解決方法就是整台機器重新刷機。

惡意軟體需要遠端指令

上文文末也帶出了通訊這個概念，因為惡意軟體通常僅是戰鬥前的先行部屬，本身很少已經寫入攻擊指令，而是必須向外界的伺服器溝通，才能知道接下來需要做什麼事。當然道行高的駭客絕對不會把伺服器設為自己的電腦，會以遠端遙控的方式操縱別台已經受感染的電腦指揮。這傳遞指令的動作當然也不能被電腦使用者所發現，所以會利用加密方式傳遞，或是利用proxy代理伺服器作為跳板，更狠的就是直接取代掉你的DNS伺服器，讓你傻傻呆呆的以為去了正常的網站。

操作就已經是最後的階段了，當受感染電腦受到指令後，會去尋找電腦內特定的資訊，或是使用key logger記錄使用者操作電腦的指令，亦或是受感染的電腦再去感染其他台電腦。駭客可以直接和惡意程式溝通，或是以某個特定爆發點取代，譬如哪天網頁上出現「外星人攻擊地球了！」字樣，惡意程式就開始攻擊，類似先前賓拉登放出影片透過身體細微動作或特定關鍵字指揮。


▲駭客的攻擊4週期。

社交媒體大隱憂

網路上目前正興起一股媒體革命，由Facebook、Twitter、Line等的新興社交媒介廣泛為大家所接受。許多公司其實也無法阻擋此類的使用要求，紛紛在防火牆上開起相對應的通道。但是對於這種新型態的媒體，有幾樣需要注意的地方：第一就是port的問題，已經有許多程式不使用固定的port對外交談，而是開啟時隨機選擇1個，這對網管來說是相當頭痛的問題。另一方面就是越來越流行的加密演算法，網管也無法窺探訊息內容造成管理上的困難。

另一種則是tunneling，原本tunneling的發展是為了穿過重重 NAT限制所發展出的溝通方式，卻也是駭客們逃過網管或是防火牆的利器。此外像是proxy、編碼訊息等都是社交軟體會採用的方式，讓網管們分不清什麼是正常的通訊、什麼又是可疑的資訊。


▲這種看起來像Yahoo，其實不是的網址也就別點了吧。

特徵辨識有時間差

傳統的做法先對惡意程式進行運算，或是提取惡意程式中真正有害的部分做成特徵碼，安全軟體便可依據此特徵碼進行過濾。不過在特徵碼實際備做出來之前，惡意軟體必定先行在電腦網路中活了一陣子，對於日益快速的攻擊手法來說，特徵辨識已不是最主要的防火牆。部分惡意軟體的絕大部分程式碼甚至不做感染用途，而是將自身改成爹娘都認不出來，藉以逃過特徵碼辨識。

也因此現今安全軟體皆強調主動式防禦，對於新型態的可疑程式先行定下幾個規則，如更改其他程式的記憶體區域、開機記錄、可疑網址、按鍵紀錄等行為，一旦可疑程式使用了這幾項動作，便會啟動進一步分析，藉以防範新型態的惡意軟體。當然這部分有利也有幣，部分正常的程式有時候也會被阻擋下來，此時就看個安全軟體廠商的規則細膩度，以及黑白名單的建立完善程度。

安全軟體非萬能，自我修身才是真

有時幫親朋好友安裝完免費的防毒軟體，過一陣子卻又中毒了，有時甚至防毒軟體只防護了一半，殘留一些渣渣在電腦之中，導致開機錯誤或是程式執行不順暢。最終還是要回歸使用者的使用習慣上，安裝軟體一定要看仔細，不要一直按下一步，有時免費軟體會和不太正常的軟體合作，在安裝時預設下載，你的電腦就中招了。此外就是奇怪的網頁不要亂逛亂點，有時會發生所謂的零時攻擊（zero day attack），在某個系統的安全弱點已被揭露，但還沒有補完成時，可能上個網就會被侵入。

就資安的觀點來看可從幾個方面來強化自己電腦的安全性，第一就是所謂的應用程式控管，不明來源的程式不可安裝在電腦中；如果真的要使用，也應先進行掃描動作後再行使用。第二就是使用者控管，在實際的使用狀況中很有可能1台電腦給家中所有成員使用，此時應盡量將家中成員以不同使用者帳號分開，權限也應越低越好，最好個個使用者之間的儲存空間或是應用程式完全分開，避免交互感染。

第三就是網路管理的部分，現在多數家庭之中皆有數量不等的連網裝置，有時為了資料交換方便之故，會開啟無帳號密碼的資料分享空間，但卻大開惡意軟體之門，試想惡意軟體感染了公用資料夾中的檔案，大家存取後會發生什麼事情。同樣在此也是建議進行帳號密碼的權限控管，當出問題時可由權限方向清查來源（不要設個大家都知道的帳號密碼一起使用，這跟沒有設密碼差不多）。

絕大數民眾家中對外網路只有1條，因此也會有個簡易的路由器（IP分享器）作為路由之用，為了安全起見，不妨開啟路由器中的DNS欄位，將其改成手動輸入，像是諾頓有提供免費的DNS服務，能夠過濾已知有害的網頁，其中最高等級的199.85.126.10、199.85.127.10幾乎把所有有害的網頁全封了。其餘像是Comodo（8.26.56.26、8.20.247.20）、OpenDNS（208.67.220.123、208.67.222.123）都有提供類似的過濾服務。



▲直接將DNS伺服器換掉，是個有效又免費的安全作法。

消息來源: http://www.techbang.com/posts/17237-modern-malware-more-complicated-than-you-think

divale

即使不值得入侵，也要注意安全性，免得被拿來練功或當跳板