在早期,如果有心术不正的人想给别人的电脑或网络制造麻烦的话,他必须多多少少是个电脑专家,也就是说,他必须精通编程和拥有网络技术方面的丰富经验。而到了上世纪90年代末,这一要求大为降低,如果要制作病毒或特洛伊木马,他们只需要知道到哪个黑客网站去下载病毒制作工具包就可以了。
随着时间的推移,这些病毒制作工具包变得越来越先进–增加了新的隐秘特性和集中管控功能,并整合了来自整个经典恶意软件(malware)家族的"一流"功能–能够制作"瑞士军刀"的电子版本。但是,要获得这些高级功能是要付出代价的。
尽管早前几代流行的恶件制作工具包是免费的,但今天的大多数高级版本可能需要花费几万元才能得到。可能会让许多人感到惊讶的是,这些工具包相当大的一部分是可以通过公开渠道获得的,因为有商业公司在积极地推销它们,当然通常是在合法面纱的掩盖之下,例如用于"配偶背叛侦察"或"远程网络管理"。
一般而言,商业公司对于"最好"和最危险的恶意软件制作工具包的贩卖并未明目张胆到这种程度,但如果有人愿意去淌一趟混水–亦即访问盗卡犯罪分子论坛和国外黑客站点–他们就会被淹没在恶意软件制作工具包作者所发布的形形色色的广告当中。在许多情况下,他们还会看到以往客户和评(星)级系统的评论。
问题(取决于您站在哪一边)在于较大规模的安全供应商也会购买那些同样的恶件制作工具包;这些供应商随后对这些工具包进行研究并开发新的检测技术来解决将会由这些工具包造成的威胁。
而心术不正的人会做些什么呢?如果他们没有能力亲自开发恶意软件,而且知道使用流行恶意软件制作工具包制作的任何恶件都会被一些最好的防病毒产品所检测到,那么他们还有一个选择,那就是雇用一名专业恶意软件编码人员!
过去两年间,向愿意出高价者提供其技能的专业(即全职)恶意软件作者的数量以惊人的速度增加。目前,雇用一个经验老到的恶意软件编码人员来编写定制恶意软件就像购买现成的恶意软件制作工具包一样容易。
最低只需花2000元人民币,就能雇用一个专业恶意软件作者编写一个恶意软件以满足任何特定需要。当然,此价格会随恶意软件要求的复杂程度呈比例增加,不过还附带一整套支持和担保服务。大多数恶意软件作者一般都通过电子邮件、即时信使(IM)或Web提供24×7的全天候支持,并提供在恶意软件被商业防病毒产品检测到的情况下予以替换的保证。
另外还存在其他财务模式。一些恶意软件作者提供基于人天、批发价、熟客或特定功能的结构化报价方案。例如,增加一个卸载防病毒软件要700元人民币,增加一个带加密通信功能的僵尸网络管理程序要5000元人民币–但二者捆绑起来只要5200人民币。另外,如果你手头的现金不够但是可以控制一个或两个僵尸网络的话,通过授予恶意软件作者对一个包含4000台受感染电脑的僵尸网络的一周访问权也可获得相同的恶件。
恶意软件的定制编写也不必仅由一个恶意软件作者来完成。许多比较好的定制恶意软件都来自有组织的编码人员专家团队–他们能够获得各领域专家的专业知识,包括来自隶属于某一组织的安全研究人员的针对最新安全漏洞的攻击代码。
随着对具有专门功能的个性化恶意软件的需求的增加,我们将会看到更多的专业编码人员转向黑暗一面。由于日渐丰厚的金钱报酬以及对合法编码人员来说可能会面临困难的一年,普遍的看法是我们将来还会看到大量定制恶意软件的出现。
防范这些定制恶意软件变得越来越困难。传统的基于主机的防病毒扫描技术只能检测最明显和最常见病毒样本,而无法检测所有的可疑活动。今天的最佳防病毒策略是采取前瞻防护的方案–主动阻止已知的或者怀疑有恶意软件的网站、对网络流量的深度检查以及对攻击代码的阻止、主机加固以及限制该主机上用户的权限。即便如此,也不能保证能够拦截精心编写的定制恶意软件的部分代码,所以我们一定要保持警惕,确保对相关日志的保存和研究,并对任何异常情况进行调查。
作者为IBM互联网安全系统(ISS)IT/网络安全首席架构师