駭客是如何入侵的

網路病毒或蠕蟲動輒擴散全球的威力雖然驚人，但有備而來的駭客入侵，更是讓企業膽顫心驚。

不管攻擊的目的純粹只是為了炫耀入侵功力，還是意圖竊取機密，或者是毀滅性的資料破壞，都存在著損及企業經營命脈的危機，更甚是國家系統內的全民資訊。面對無所不在的駭客，究竟有無方法進行攻防？

這個企業心中的疑問，在資訊安全廠商Foundstone與精誠公司聯手舉辦的第二屆「駭客實戰研習營」中獲得正面的解答。Foundstone亞太區總監陳彥銘(左圖)，同時也是「駭客現形」一書的共同作者，已經是第二次在4天活動中教導學員學會40項駭客任務，以及上百種駭客入侵技巧。他認為，如果事先了解駭客慣常攻擊行徑，就有辦法防堵各種可能入侵的路線。

8秒鐘入侵電腦？

陳彥銘表示，網路上不少流通的駭客程式，號稱數秒鐘之內可以成功侵入網路，不管攻擊威力如何，駭客慣常使用的入侵手法與過程如下：

1.選定目標：有心的駭客將會先行鎖定目標，同時進行長時間的「footprint」蒐集。多數駭客是利用搜尋引擎與股市公開資料，或是以攻擊目標的子公司當作跳板，旁敲側擊以進行入侵行動。

2.掃描網路：入侵的機會點在於系統存在的瑕疵或是設定不當所遺留的通道。大部份的駭客會使用網路上流通的掃描工具，直接掃描目標有無存在系統或網路架構的漏洞。

3.蒐集帳號：有些帳號會被強大的搜尋引擎所紀錄下來；或者是帳號與密碼設定太過於容易，而遭到破解。此外，在某些系統上設有的「密碼提示」服務，因為使用者直接將密碼設定為提示內容，而可能遭到利用，因而變成掩飾入侵行為成為合法存取的跳板。

4.滲透：接下來，駭客會同樣會利用自動化的入侵工具，自動嚐試攻擊目標公司內不同的機器設備、作業系統與弱點，企圖滲透企業網路。

5.提昇權限：駭客多半可以利用一些容易猜出系統管理員密碼的小竅門，進而提昇個人對於系統的操作權限，一直到可以管理整個系統的程度。

6.掩飾行蹤：為進行長時間的資料竊取或破壞行動，駭客會暫時在某次攻擊之後，企圖掩飾掠奪的行徑，同時消除紀錄檔（Logfiles）。

7.互動式操控：駭客可能安裝後門程式，遠端遙控電腦或者癱瘓整個營運系統與網路。

8.增強破壞力：在提昇權限與進行互動式操控之後，駭客可能還會企圖增加影響力；包括竊取機密、癱瘓網路或是以入侵成功的目標當作其他攻擊的跳板。

9.毀屍滅跡：執行上述駭客慣常使用的攻擊步驟之後，當駭客任務已經完成，為逍遙法外，駭客通常會開始「收尾」，清除所有在系統中，與個人資訊相關的蛛絲馬跡。

這樣的攻擊行徑，大概會在多少時間內完成？根據陳彥銘判斷，因為現成的駭客攻擊程式很多，有些甚至標榜可以在8秒之內自動完成上述第2步驟到最後一個步驟的整個攻擊流程。不過，每次的攻擊行動都不一定，因為在時間之外還有許多因素的考量，包括入侵程式的優劣、攻擊目標旗下網路架構的複雜狀況，以及安全控管的嚴密程度等。

如年初「SQL Slammer」病毒，之所以相當快速得在全球網路內擴散，原因在於這個惡意程式所瞄準的系統瑕疵十分單純，因而得以在10分鐘之內，感染全球7萬餘台的電腦。

他進一步指出，當駭客攻擊展開，而企業終於有所反應時，通常已經太晚。阻擋駭客入侵的防線只能建築在事先預防與補救的角度。如果事先了解駭客慣常攻擊行徑，就有辦法防堵各種可能入侵的路線。

換言之，如果企業能先了解不同作業系統、伺服器、防火牆與網路設備的安全漏洞與設定問題，另外快速熟悉各種入侵防護技術，如了解駭客如何鍵入幾個簡單的命令，輕而易舉繞過防火牆，直接進入企業電腦；或者得知駭客如何猜出管理員密碼的小竅門，就能掌握了矛與盾之間的想法落差，就有機會抵擋各種惡意攻擊。

*駭客任務攻擊手法大解碼

*侵入系統、竄改個人資料、破壞資料庫、癱瘓網路運作，每當有資訊安全事件發生，並將「矛頭」指向不肖的駭客時，駭客似乎很「神」，但駭客是人，採用的手法是有步驟、有程序的，而且還要加上大量的耐心，等待時機，才能一舉突破最後的防線，遂其所願。

首先，駭客須先「資料蒐集」，找出目標網路與主機的位址與名稱，會無所不用其極盡可能蒐集最多的目標資料，而且直接利用網路上的資源，如搜尋引擎、Whois主機位址對應資料庫等。

接著進行「弱點掃瞄」，辨識目標主機與網路所開放與提供的網路服務，以及所使用的作業系統版本，這些資料可做為後續攻擊的途徑；再來就是「弱點刺探」，更進一步找出目標主機的使用者帳號或未受保護的網路分享資料，同時列舉出使用者帳號、分享資料、所執行的應用程式、空白密碼等。

當這些準備工作一一就緒後，接下來進入入侵階段了，駭客會「取得初步權限」，利用前述所收集來的資料，嘗試登入目標主機，來取得系統使用者帳號密碼與存取權，而一些密碼猜測工具、網路監聽器、與緩衝區溢位攻擊等，此時即派上用場。

如果駭客從前一步驟所得到的，僅是一般使用者帳號密碼，那麼駭客會更進一步破解，好取得管理者帳號密碼，「提昇權限」來完全控制被入侵主機；取得權限後，隨即「進行破壞」，或利用被入侵主機，更進一步入侵目標網路上的其他系統，如更換網頁或竊取資料，主要是利用作業系統或伺服程式現存的弱點與漏洞，並搜尋目標網路上其他目標，以跳板方式，繼續攻擊其他主機。

然後是「建立後門」，在目標主機上植入後門，以方便下次繼續登入或控制該主機，並利用該受駭主機為跳板，攻擊其他目標，隱藏自己的位址，駭客所應用的技巧大多是新增帳號、建立定時執行程式、安裝監聽側錄程式、或將原系統程式替換為後門程式。

入侵成功後，為避免被發現或追蹤，駭客當然要試圖掩蓋任何蛛絲馬跡，好「消滅證據」，駭客就會從系統上刪除記錄檔、隱藏植入的攻擊程式、或更換檔案名稱。

不過值得注意的是，駭客如果無法成功入侵目標主機或網路，很可能會訴諸阻斷服務，來癱瘓目標的系統與網路服務，總之，得不到就用蠻力破壞。