IBM李明谈“黑帽”经济学

对安全漏洞进行分类是 IBM X-Force 研究团队每天的例行工作。在全行业的齐心协力之下,每年都有数千个安全漏洞经由软件供应商建议、安全研究文章、邮件列表被公布。我们将这些安全漏洞全都归类入数据库并逐一进行分析- 2008 年是7406 个安全漏洞。其中一些漏洞是我们客户从不使用的软件包中存在的小Bug,其他的则需要安全漏洞研究人员和软件开发人员立即予以注意,以便保护我们的客户免遭攻击。如果没有通用安全漏洞评分系统(Common Vulnerability Scoring System / CVSS),这一工作将无法进行。我们无时无刻不依靠它来帮助决定应该对哪些漏洞予以最高重视。

但是,在我们回顾2008 年的一些CVSS得分较高的安全漏洞时,我们注意到有大量严重威胁并未实际形成大面积的攻击。以DNS Cache Poisoning(域名服务器高速缓存污染)漏洞和Microsoft Snapshot Viewer ActiveX Control(微软快照查看器ActiveX控件)漏洞这两个重要安全漏洞为例来说,这两个安全漏洞都是2008仲夏时候发现的,美国国家标准及技术研究院(NIST)给这两个安全漏洞定的CVSS分数都是7.5。但它们在现实中的表现却大相径庭。DNS漏洞被视为2008年的最大安全问题之一,人们费了很大的劲来打补丁并对其可被广泛利用表示了极大的担忧,但是在该问题被发现近半年之后仅出现了很少的攻击事件。另一方面,Snapshot Viewer漏洞并未引起这么大的压力和行业关注,但是在其被发现后立即被广泛利用,成为互联网用户在2008 年面临的最严重的现实威胁之一。

我们自然会问为什么对ActiveX漏洞的利用发生得如此之快,而DNS攻击的出现却花了那么长的时间。用于响应安全漏洞的资源总是有限的,企业需要知道的是它们在安全漏洞被发现后的几小时内会面临什么攻击,以及什么攻击在数天或数周之后才会出现。连夜给系统打补丁和在正常工作时间内打补丁以及在计划的维护窗口期间打补丁之间的差异会导致IT组织运营支出的巨大差异。

尽管我们不可能预测狡猾的犯罪分子会在什么时候利用严重的安全漏洞来发动有针对性的攻击,但我相信我们还是能够预测针对特定安全漏洞的大规模利用的速度有多快。为了做到这一点,必须接受这样一种观点–今天的攻击发动者是受经济动机驱动的。业余爱好者、大学学生或者只是对入侵公司信息系统感到有意思的黑客为特点的时代在很大程度上已经结束了。基本上来说,今天的互联网攻击的发起者是靠窃取金融信息和身份信息为生的国际犯罪组织,而这些高级电脑犯罪分子最感兴趣的是能够提供显著投资回报的安全漏洞。

犯罪经济学 101

在基本的微观经济学层面,我们对电脑犯罪机会的理解源自对犯罪分子通过利用安全漏洞可获得的收入及其对应成本的考虑。显而易见,能够以低成本获得高收入的安全漏洞更有可能被攻击者所利用。这里的收入(机会)和成本均由一系列复杂的要素构成,其中一些要素会受到安全行业的影响。

犯罪机会

通过利用安全漏洞可以获得的实际收入由包含相应安全漏洞的主机数量以及攻击者控制每个主机的价值–通常由这些主机包含的信息以及攻击者在黑市上对这些信息的要价而定。当某一安全漏洞刚刚被披露时,包含该安全漏洞的主机的数量可能相当大,如果控制这些主机的价值同样也很大,那么从理论上讲攻击者就有很高收入的机会。这种情形会促使安全行业尽快推出补丁和减少包含相应安全漏洞的主机的数量。如果安全行业的工作富有成效,可供攻击者具体化的总实际收入机会就可能变得很小。

犯罪成本

通过利用安全漏洞获得收入的成本同样由许多要素构成。CVSS可以比较好地确定成本的两个方面是实现一次攻击的成本–取决于该攻击方法是否可通过公开渠道获得,以及发动该攻击的困难程度。CVSS还确定了攻击的后果,即攻击者在技术方面获得了什么。但是,对于由经济动机驱动的攻击者而言,必须把非法访问或者由攻击造成的性能降级转化成金钱。一些类型的访问比另一些类型的访问更难以货币化(即成本更高)。

像合法企业的情况一样,犯罪组织拥有围绕可重复业务情况和可自动化任务而建立起来的运营流程。符合其运营流程之中并可以利用自动化功能的安全漏洞更易于让犯罪分子实现谋利的目标。需要开发新流程或软件的安全漏洞很难对犯罪分子构成吸引力,特别是如果它们只是不大可能在将来重现的"一次性"情况更是如此。即使开发新攻击方法或利用一类新安全漏洞对犯罪分子具有意义,然而相比于直接包含于现有流程中的安全漏洞来说,出现大面积的攻击通常也需要较长的时间。

2008 年的炎夏

让我们来看一看这些因素是如何影响上面提到的两个安全漏洞的。Microsoft Snapshot Viewer ActiveX Control 安全漏洞是由微软公司在接到有针对性的攻击报告后于 2008 年 7 月 7 日首次公布的。不幸的是,该安全漏洞容易被可靠地利用,因为它不是一个要求应用针对具体版本的指针偏移量(offset)的缓冲区溢出漏洞,而是一个允许将二进制文件从互联网上下载下来并置于被感染电脑的文件系统的任何位置的接口,包括启动文件夹或替换掉系统文件。

 

到 7 月 10 日,针对该安全漏洞的攻击已被整合进 Web 攻击工具包,包括 NeoSploit。犯罪使用这些工具包来自动执行感染电脑的任务。当受感染的个人电脑浏览错误的网页时,它们就会被重定向至一个包含该工具集的服务器,该服务器然后自动收集受感染主机的版本信息并把一个攻击工具传输至受感染电脑的浏览器,此后该工具就会攻击受感染电脑运行的软件。到了7 月 24 日,IBM 监测到有超过 50 个主机正在有目的地利用该安全漏洞。

Snapshot Viewer 漏洞之所以受攻击者青睐不仅是因为它易于被利用,而且因为它直接包含在电脑犯罪分子所利用的现成流程及软件工具中。ActiveX 控件经常被报告存在安全漏洞,攻击者过去将攻击工具整合进 Web 攻击工具包,并使用它们来传播用于收集金融证书的恶件。因为这样,攻击成本较低,货币化成本也较低。主机数量在本质上是无限的,因为攻击者可引诱用户安装微软签名的控件然后再利用之。实质上,庞大的收入机会与较低的货币化成本相结合导致了大量攻击,而且这一势头仍然没有缓解的迹象。

另一方面,以 DNS Cache Poisoning 漏洞为例。尽管人们对此安全漏洞做了很多实际补救工作,但是 The Measurement Factory 在 去年10 月份进行的一项研究表明仍然有四分之一 DNS 服务器不能防范这一攻击。这么多的 DNS 服务器构成了一个具有吸引力的攻击目标,而且由于可以公开获得攻击方法,所以发起攻击并不困难。但是在今年 2 月份,来自 Georgia Tech 的 Manos Antonakakis、David Dagon 和 Luo Xiapu 在报告中称,在他们监测的数十万个未打补丁的 DNS 服务器中,只有约 1-2% 的服务器被检测到受了感染。而此前人们预计到将会出现大面积的攻击。

为什么这一情况没有发生?首先要问的是该攻击是否充分适应现有犯罪企业的需求。乍看之下回答应当是肯定的。过去几年间,一个被称为 DNSChanger 或 Zlob 的特洛伊木马通过伪装成视频编解码器感染了许多机器。除了其他功能以外,该特洛伊木马会用受攻击者控制的 IP 地址更新被感染机器的 DNS 服务器设置、把某些流量(包括搜索结果)重定向至该攻击者选择的其他目的地。攻击者通过向广告投放者销售这些被误导的"眼球"来谋利。DNS Cache Poisoning 攻击在性质上似乎符合这一商业模式。这一特殊操作模式已使客户排队为它掏腰包,并成为其他不法分子可以照搬的范例。

不过,DNS Cache Poisoning 要求的运营流程明显不同于目前被利用的这一流程。攻击者需要运行大规模的互联网扫描操作以搜寻易受攻击的 DNS 服务器,并系统地更新其高速缓存内容,以便将大量流量定向至愿意为之花钱的广告投放者。我们的观点是,犯罪组织需要花时间来决定采用一个像这样的全新操作流程以及对其使用建立起信心。他们必须花费心思来实现该流程和花时间来开发相应的工具。

 

尽管如此,显而易见的是感染 DNS 高速缓存是有利可图的,而且犯罪分子也知道如何来谋取这一好处。起初,该漏洞的存在对互联网是一个巨大的长期风险。今年夏天所进行的旨在提高公众认知和安装补丁的大量工作已经使得易受攻击的服务器数量大为减少。对犯罪分子来说,为什么要在目前所用的攻击技术仍然有效而且新机会迅速缩小的情况下费力去开发一种全新的攻击技术呢?据 Georgia Tech 的研究报告,一些攻击者已经开始"试水",但我们认为如果不是这些补丁被迅速采用且攻击目标迅速减少的话情况会是大不相同的。

借助 CVSS

那么,这一切对 CVSS 意味着什么呢?目前,CVSS 确定了构成犯罪组织的经济动机的一些因素,但并非全部。CVSS 基本分数几乎完全是按技术措施来判定安全威胁的轻重缓急程度,例如:

•访问有漏洞软件接口的难度

•成功的攻击对有漏洞系统的保密性、完整性和可用性的影响

•攻击代码的公共渠道可获得性和可靠性

•有无补丁或权宜之计可用

虽然 CVSS 的环境因素中包括一些经济考虑,但它们主要侧重于成功的攻击对一个组织带来的成本而非安全漏洞对攻击者的经济机会。如果安全行业能够学会识别那些和犯罪组织的现有业务模式相适应的安全漏洞,就能够更好地确定什么时候需要紧急给系统打补丁,什么时候犯罪分子对安全漏洞的利用需要较长时间才会出现,以及什么时候不大可能会出现。该分析在某种程度上与当前进行的技术分析是互不相关的,我们的观点是它会导致时间和资源的更高效使用。