技術

作者：趙貴根

2010年，以百度遭到域名劫持攻擊為標誌，所有中國的大型公司和網站都遭到了嚴重的安全威脅。DDOS攻擊、病毒植入、域名劫持、機密信息丟失、管理權限外泄等成為企業最易遭受的黑客攻擊。根據瑞星的估算，僅在2010年，黑客針對涉密網絡的攻擊高達10萬次以上，其中90％的攻擊IP地址來自國外，而美國、日本、韓國是排行最前的三個攻擊來源地。

而在被攻擊對象方麵，軟件係統不再是唯一選擇，手機、u盤、移動硬盤、基礎設施等都已經成為黑客的攻擊目標或者跳板，企業急需量身定製全麵、係統的整體安全解決方案。

在所有受攻擊的企業和單位中，國家機關、涉密單位、科研院校、金融單位等涉及國家機密和資金安全的，遭到黑客攻擊的技術含量和攻擊頻率遠高於普通企業。甚至有涉密單位在一個月之內就遭到多個不同組織的近幹次攻擊窺測。

而與涉密單位相關的個人電腦、手機、u盤等私人物品，也往往會成為黑客攻擊的突破口。例如，有些承擔軍隊研究任務的院校，其研究人員的個人電腦也經常遭到攻擊，攻擊者企圖通過對u盤、移動硬盤、手機的攻擊，將其作為跳板，進而攻擊涉密網絡，一旦成功則會造成機密資料外泄的嚴重後果。

對持續攻擊的剖析

有消息透露：Acme公司已完成一項對Landmark公司的戰略性收購，關於此次收購的所有詳情倆家公司均一言不發。如果收購進行下去，對於Acme最強勁的競爭對手來說無疑是個壞消息，其由此將會失去明顯的市場優勢。

那家競爭對手決定去做當今許多家公司在需要獲得信息時都會做的事——通過電子方式去竊取信息。這家公司和一名黑帽黑客簽訂了協議，而這名受雇黑客現在有三個目標：盡可能發現更多的有關Lankmark的收購信息；盡可能竊取更多的競爭信息；以及最後一點——當然是別被抓住了。

惡毒的攻擊者首先打算找到可提供進入Acme公司IT係統入口的目標。多虧有像Twitter、Facebook、LinkedIn等這樣具有魔力的社交網絡站點，為黑客提供了前所未有的便利。於是攻擊者開始在線打窩釣魚，尋找任何可能有用的人和信息。

幸運的是（對Acme公司而言或許是不幸），在LinkedIn上沒怎麼搜索就發現了Keith，一位Acme公司安全分析師。Keith很喜歡發微博，一直喋喋不休關於他從黑帽回家後在家和孩子在一起的事情，這周末打算看什麼電影，以及他對於Landmark收購一事的興奮。

這一切為這位黑客建立起完成任務的第一個方法。一個熟悉的社交工程手法，利用Keith自己發布的關於自身的信息：“你好Keith，曾和你在黑帽共事我感到很開心。我想加你為我的LinkedIn網絡好友”短信隻需這麼寫一下一切就OK了。

那不是一封真正的LinkedIn電子郵件，而是一封特別做過手腳的電子郵件。當Keith點擊那封假的LinkedIn邀請時，一個惡意軟件已經在他的PC機上安裝了，使黑客獲得了他的工作站的全部訪問權限以及他的網絡資格。更不幸的是，Keith對此毫無察覺，而攻擊者現在正在使用他的訪問權限攻擊他本應該幫助維持安全的網絡。

因此現在攻擊者，依托新發現的立足點，就可釋放其全部槍炮火力，去挖掘任何有關Landmark收購的信息，和任何其它可能有用的競爭信息：他可對該台受入侵的工作站進行屏幕截圖，以確定惡意軟件已成功部署在他的目標內；他可從瀏覽器中檢索存儲的口令以備日後使用；他可運行一個軟件清單程序，獲悉這台遭侵入的機器上所有的應用；他可安裝鍵盤記錄器和網絡嗅探器以捕獲用戶口令和其它活動，然後對它們進行檢索。