網路犯罪
駭客圈的《美國達人秀》從懸賞到攻擊:有關網路犯罪競賽的一些觀察
從徵文到舉辦黑客松比賽,網路犯罪集團正透過群眾外包 (crowdsourcing) 方式來尋找更多攻擊系統的方式。這類競賽的優勝獎金正在節節攀升, 吸引了頂尖駭客,使得整個網路犯罪圈都變成了一個強大的研發團隊。本文提出我們的觀察並摘要說明這類競賽的成果。
網路犯罪集團已開始在論壇上舉辦各種競賽作為一種非正規的研發方法。本文提出我們對這類競賽的一些重要觀察。
這類競賽非常多元,從公開徵求介紹新技術的文章,到舉辦可強化其防禦的黑客松競賽,在我們的這篇文章當中都有詳細的說明。
以下是摘要列出該文章的重點:
- 網路犯罪經常將群眾外包當成一種研發方法,這種在網路犯罪論壇上舉辦的公開競賽,就好像是網路犯罪圈的《美國偶像》或《美國達人秀》節目一樣。
- 有別於傳統的XPRIZE競賽,網路犯罪圈不需要革命性的突破就能獲勝,只要能稍微領先今日的資安防禦,就能帶來龐大的中期效果。
- 長期下來,這類競賽就有可能衍生出某種革命性的突破。隨著競賽日益頻繁,就統計學上來看,競賽的優勝者必定會越來越有創意,總有一天會幫網路犯罪產業帶來突破性的進展,這就是所謂「黑天鵝」效應。
網路犯罪集團大多不具備正規研發部門,因此就藉助群眾的腦力來探索和發掘一些新式、有創意的攻擊。這些在網路犯罪社群徵求最佳點子的競賽,同樣也會提供獎金給提出最佳解決方案的優勝者。這類競賽在地下網路已流行好一陣子,而且型態包羅萬象,從單純的創作競賽 (如圖形設計與詩詞創作) 到一些更實務相關的活動 (如招募犯罪事業經營人員或幫手)。
近期,一些較令人擔憂、且越來越普遍的競賽是徵求高明的網路攻擊手法:從針對當前技巧稍微改善 (足以在短期內穿越資安防線) 到尋找全新類型的網路犯罪商業模式。我們認為,這類競賽如果辦得好的話,終將能夠生出一種可能改變現狀的全新攻擊。而且,這種利用眾人腦力來做研究的方法,對網路犯罪集團來說顯然相當成功,而且投資報酬應該也很不錯,因為我們看到這類競賽的優勝獎金正在節節攀升。
比方說,有個競賽只是徵求一些可立即派上用場的攻擊技巧。在這個競賽中,主辦單位關心的重點在於主要的入侵階段,也就是:社交工程(social engineering )陷阱、漏洞攻擊、權限提升、資安軟體反制、常駐系統,以及一般的惡意程式技巧。而且獎金相當優渥:1 比特幣 (約 19,030.80 美元),顯示顯犯罪集團願意砸重金來挖掘新的攻擊能力。
在另一篇貼文中,主辦單位則是想要提升自己在虛擬加密貨幣領域的知識。弔詭的是,其提供的獎金竟然是美金,而不是虛擬加密貨幣。
就中期來看,這些作法對於改善駭客的攻擊能力有相當不錯的潛力。藉由群眾外包的模式,等於整個網路犯罪圈都變成了一個強大的研發團隊。儘管目前情況尚未嚴重到必須採取行動,但我們希望藉此喚醒資安界對這類網路犯罪群眾外包現象的注意。趨勢科技將持續監控相關競賽的內容以確保我們的解決方案能針對今日頂尖駭客可能發明的技巧預做準備。
掌握網路犯罪集團的手法和計畫,是確保數位世界安全的重要關鍵,如需有關各類競賽的更多資訊,以便讓資安人員預做準備,請參閱這篇文章「從懸賞到攻擊:網路犯罪集團利用群眾外包開發新攻擊」。
原文出處:From Bounty to Exploit:Observations About Cybercriminal Contests