据信息安全厂商卡巴斯基(Kaspersky)日本实验室的首席安全专家Vitaly Kamluk称,研究检测恶意软件和其他间谍软件签名的安全研究人员发现,他们自身正在逐渐成为攻击目标。目前,卡巴斯基正与一名奥地利前安全研究人员进行一场法律诉讼。这名研究人员开发了一种服务,可以跟踪反病毒厂商分析恶意软件的计算机的IP地址,并最终使恶意软件在反病毒厂商安全研究人员的系统上表现出不同的行为,从而削弱反病毒厂商的检测能力。Kamluk指出,编写反恶意软件签名的研究人员也正在受到类似的攻击。另外,灰色软件(Greyware)的泛滥也给安全业界带来了诸多问题,灰色软件是指介于正常软件和恶意软件之间“灰色地带”的软件或代码,它本身不是恶意软件,但可被不法分子用于执行攻击。在本次采访中,Kamluk介绍了他在僵尸网络生态系统方面的研究进展,揭示了僵尸网络经营者如何使用逃避法律制裁的技术销售其服务,并透露了正在进行的法律诉讼的相关信息。
您已经对僵尸网络及其运营方式进行了深入研究,您发现有中间人参与僵尸网络生态系统吗?
Vitaly Kamluk:是的,确实有中间人参与了僵尸网络生态系统。而且,中间人在其中所起的作用发人深省。在整个僵尸网络生态系统、甚至可能在任何地下市场生态系统中,中间人所起的作用都至关重要。你可以想像两个不法分子之间的一种简单交易:一个是恶意软件的编写者,另一个是僵尸网络的拥有者和恶意软件的需要者。一方面,他们想要达成交易;但另一方面,他们在从事违法活动时对任何人都不信任。在这个僵尸网络生态系统中,需要交易的双方互不信任。这就是为什么会出现“担保人”的原因所在。交易双方都信任担保人(中间人),并通过担保人完成交易。通常情况下,担保人都是一些长年活跃在黑客论坛上、具有一定声誉的人。他们一般只是主持黑客论坛,并不会消失。因此,在不法分子看来,他们基本上是可靠的。同时,担保人不从事任何非法活动。他们既不编写恶意软件,也不拥有僵尸网络。他们所做的只是核实卖方提供的产品和买方想要购买的产品。
这些担保人的所作所为是否处于法律的灰色地带,因而执法部门不能对其行为进行制裁?
Kamluk:的确如此。这些担保人的行为并未触犯现有法律。在整个僵尸网络生态系统中,中间人起着重要的作用。如果没有他们这些中间人,不法分子之间的交易可能会减少,因为这些不法分子之间很难做到相互信任。正是由于中间人的存在,僵尸网络的拥有者能够通过中间人购买恶意软件,并从恶意软件的编写者那里获得软件密钥。然后,在僵尸网络的拥有者和僵尸网络服务的使用者之间的交易中,中间人再次发挥作用。在僵尸网络服务的使用者中,有些是企图对特定资源发动分布式拒绝服务攻击(Distributed Denial-of-Service attack,DDoS)的不法分子,也有一些是对使用僵尸网络感兴趣的其他类型的用户。
美国通信服务供应商Verizon Business最新发布的数据泄漏报告认为,信用卡号码交易市场已经饱和,从而导致黑市上信用卡号码价格的下降。信用卡号码的这种价格波动是否会使这类担保人业务模式随着时间的推移而发生变化呢?
Kamluk:不,这只是正常的市场波动。从表面上看,信用卡号码交易市场的饱和导致了信用卡号码价格的下降。实际上,信用卡号码交易市场的饱和是由大量信用卡数据被窃引起的。利用互联网上免费提供的各种自动化工具,窃取信用卡号码非常容易。例如,利用开源的安全漏洞检测工具Metasploit,可以快速有效地编写恶意软件。借助这些辅助技术和框架,不法分子可以更加容易地窃取大量的信用卡号码。被窃取的信用卡号码越多,信用卡号码的价格就越低。
卡巴斯基此前的一份对2010年的预测报告曾指出,打法律擦边球的灰色市场将会由僵尸网络的拥有者主导。您的研究证实了这一预测吗?
Kamluk:在僵尸网络生态系统中,确实有一个被称作“灰色软件”的领域。灰色软件不能直接归为恶意软件,但其在开发时被故意加入了可以执行某些恶意操作的功能。同时,灰色软件不执行任何未经授权的操作。灰色软件的一个很好的例子是远程管理软件。利用远程管理软件,网络管理员可以远程控制其网络和工作站,并执行管理任务。另一方面,不法分子也可以将远程管理软件秘密安装在用户的计算机上,并利用此软件窃取远程工作站上的信息。不法分子还将灰色软件这一方法移植到其他领域,企图使其活动和服务看起来更加合法。
据说一名黑客开发了一种可以跟踪恶意软件研究人员的服务,并将其提供给卡巴斯基以获取报酬。您能透露一下该事件的情况吗?
Kamluk:目前,这一案件尚未了结,我们的法律部门正在处理。因此,请恕我不便透露过多细节,只能对其做一个简要的介绍。有一个奥地利前安全研究人员开发了一种名为“AV Tracker”的服务。该服务的基本思想是,编写一个恶意软件——一种特殊的间谍软件,并将该恶意软件安装到反病毒厂商实验室的计算机上以窃取信息。利用窃取到的反病毒厂商的信息,不法分子可以跟踪执行该恶意软件的计算机的互联网IP地址,而且可以肯定这些IP地址属于反病毒厂商。然后,不法分子提供一个任何人都可以使用的开源软件模块,以确保在反病毒厂商的计算机上运行的任何恶意软件与其在真正的家用计算机上表现的行为不同。这种服务为不法分子提供了便利,可以使恶意软件在我们的实验室中表现出不同的行为,从而削弱我们的检测能力。我们认为,这一服务从一开始就是带着恶意目的开发的。尽管现有的法律似乎并不禁止这种服务,但这样的服务将不利于安全业界和正常的家庭用户,似乎是一种恶意的服务。
【编辑推荐】