黑客揭秘：你的数据如何不翼而飞(2)

　　大多数人都认为应该防止黑客的入侵，但是一旦黑客进入了你们内部，他们又是如何将数据弄到外面的？Trustwave公司SpiderLabs的研究向我们揭示的答案往往非常简单。

　　网络犯罪分子在攻击的方法上变得越来越复杂。我们也往往将此等同于数据潜回的方法。尽管移动设备或物理盗贼也可以利用，但是数据的潜回或输出通常都是在网络渠道的系统上复制数据过程中发生的。

　　前文我们已经讲了黑客会利用恶意软件盗取数据，下面我们来看一些常用的应用如何被黑客用来盗窃数据，最后专家还给出了应对措施。

　　平均来说，网络犯罪分子获取目标系统或数据访问权限的时间是156天。在这段时间内，攻击者进入环境，设置他们的工具来移动数据，并在IT人员或部门对他们的行动采取行动之前获取数据。2009年的一些调查显示，一些网络犯罪分子经常在三年内频繁活动。2009年比较典型的长期的检测，似乎还运用了一些知识，网络犯罪分子的活动不是隐形的。

　　在38个案例中，网络犯罪分子使用远程访问程序方便第一次进入提取数据。其他的现有服务，如本地FTP和HTTP客户端功能，也经常被用来进行数据渗漏。尤其是当恶意软件被用来数据渗漏的时候，FTP、SMTP和IRC功能就会被定期观察。在对特制恶意软件进行逆向分析的过程中，二进制会泄露FTP功能的存在，包括硬编码IP地址和证书。有了现成的恶意软件，如按键记录器，攻击者往往用内置的FTP和邮件功能渗漏数据。当邮件服务被用来提取数据的时候，攻击者往往会直接安装恶意的SMTP服务器到遭受违规的系统中，以确保数据可以正常地传送。

　　只有个别情况的数据渗漏使用了加密渠道，进一步表明犯罪分子不关注警报是否存在。由于本地可用网络服务的存在，以及缺乏适当的出口过滤并且使用了不适当的系统检测做法，犯罪分子往往使用可用的网络服务或安装他们自己的基础服务。

　　很显然，在所有的案例中，敏感数据被输送到了目标环境之外。在这一过程中，IT安全团队根本不会监测到数据泄漏的发生。

　　在寻找攻击迹象的时候，IT安全团队似乎期望情况时复杂的。而攻击者往往非常简单，甚至可能在例行的日志审查中表现为“良性”。数据没有离开目标环境之前，不会有迹象表明遭到了违规。密切关注“标准”系统的“正常”活动行为是避免亡羊补牢的重要措施。应该用怀疑的视角审视每一个不正常的行为并通过内部调查的做法解决问题，如果必要的话还应该请外部专家进行再审。