Tag: 黑客

就像组织严密的现代黑帮一样，网络黑产到如今已经商业化得非常成熟了，黑客们同样拥有复杂精巧的产业链，每天在全球黑产网络中流转的交易额数以亿计，整体规模更难以估测。 但其中每个黑客的具体收入如何？黑客是如何进行攻击准备的？他们是如何进行内部交易的，并遵循某些规则不相互越界呢？ 一些安全研究者长期潜伏在地下黑产网络中，近距离观察其运作模式—— 尽管本文所披露的只是”地下世界的一瞬，不足以描述其万分之一”，但还是为我们真实揭示了黑客世界不择手段窃取金钱的产业链条。 首先，对于互联网我们应该知道，可公开访问的网站只占数据信息的一部分，如同海面之下的冰山，还存在一个更庞大的、采取非公开机制访问的平行网络世界——暗网。这里才是一切法律严加打击但暴利的交易活跃之地——如盗版、色情、买凶、军火、恐怖分子，当然也包括黑客。 进入黑客聚集的地下交易场 匿名访问的隐私黑客论坛是散落暗网中的黑客交易场，一旦你被黑客圈子或组织认可，能够进入暗网中的黑客论坛上就可以找到各种非法服务，可以让一个普通黑客都能快速发起一次网络攻击。 这些论坛无法搜索定位，需要很多的验证程序及其他黑客会员担保。上图为一个俄罗斯黑客论坛的截图，可以看到，这里黑客正在推销多款恶意软件，包括特洛伊木马、僵尸网络等。 黑客基础装备之攻击工具包（ExploitKits） ExploitKits像瑞士军刀一样整合了网络攻击所需的众多组件，使大规模网络攻击装备化，因为大大提升了攻击的成功率受到黑客的日益青睐，未使用之前，黑客的成功率一般为10%，使用之后就可能提升到40%。 那么ExploitKits里面究竟有哪些构成呢？ 上图为一个典型ExploitKits的”解剖切片”，可以看到有恶名昭彰的网银木马Zeus、Vawtrak、勒索软件nymaim、比特币敲诈病毒CTB-Locker等。 这是一个真实的由黑客打造的攻击工具包叫做RIG，正在论坛上租售，这个帖子描述（文为俄语）了该工具包的应用环境是X86/X64下的Window系统，可绕过微软用户账户控制系统；支持大流量攻击；拥有两种不同的勒索付费通道；支持自动加载网页链接；可应用到的多个漏洞列表；平均攻击成功率达到10%~15%；保证不被杀毒软件发现等特性。 更重要的是该工具包的租用费用：30美元24小时；150美元一周；500美元一个月。这个费用并不高。 攻击工具包（ExploitKits）的商业模式 RIG工具包的商用模式有些类似零售，有中央仓储和多级经销商，RIG可以直接向终端黑客销售，同时也支持多级销售，其他黑客可以将这个工具以更高的价格转售出去，按照一周获取600个客户，每家支付150美元的话，RIG的周盈利高达9万美元。 在”零售”模式之外，目前还时兴一种”直销分成”的商用模式，RIG制造者将工具免费提供给黑客，最终从攻击成果中分成。 例如当黑客使用了该工具包侵入了一个网站，其中5~20%的流量归”巨头”控制，具体如何从中获利也由”巨头”自己把握。这种模式更加高明，购买者无需支付任何费用就有机会获取可观回报，肯定使用者众多，同时也不影响RIG另外并行的”零售”交易。 在黑客产业链上，像RIG这样的工具和其他服务（后续将一一介绍）的制造者才是产业中坚，他们隐身在实际执行攻击的普通黑客之后，为其提供材料、装备、服务，也获得利润中最丰厚的一层，被称为”黑执事”（英文为Magnitude）。 为方便后续描述，先做提前说明，下文中的黑执事是黑客服务的提供者，黑客产业链的上游。黑客就是网络攻击执行者，是产业链终端。受害者就是被攻击的普通网络用户。 网络绑票：勒索软件正在流行 通过RIG工具包，黑客还可以分发恶名昭著的勒索软件Cryptowall，勒索软件采取一个简单粗暴的吸金逻辑，当受害者的电脑被感染，电脑中的文件就会被加密，受害者无法再访问自己的文件，如果想要回控制权，就要按照黑客要求缴纳赎金，一般是比特币。 最近网络勒索事件层出不穷，很多用户或企业都深受其害，据观察，一个勒索账户一周就可以收到6万美元。 勒索软件善于抓住人们的心理弱点，黑客也喜欢入侵色情网站并注入恶意链接，当用户点击了这些恶意链接进入非法网站时，黑客就有无数种办法勒索用户。 这是一个真实的用户收到的勒索软件恐吓信息： 首先恐吓用户做了坏事被发现，所以才有这一劫，告知文件已被加密，利用用户下意识的花钱免灾的心理，要求其缴纳赎金获得解密密码，如果12个小时后还没有缴纳，电脑将永远不可使用。 这是另一个设计更加精妙的勒索软件信息，黑客伪造了网址，让受害者以为是来自政府机构FBI的通告，甚至虚构了一个法律罪名叫做”个人电脑管理不妥善使用罪”，基于这个完全胡扯的法律名目，受害者被指控三项罪名： 非法下载传播有版权的电子资产。 浏览和传播色情资料。 电脑在受害者不知情的情况下，被定位为恶意软件的传播源。所以电脑文件被加密锁定，受害者需缴纳赎金来解锁。 尽管这些消息看起来毫无依据，但结果是勒索软件正源源不断收到赎金。 更绝的是为了让受害者相信交钱后文件可以恢复，勒索软件还提供一个”免费测试机会”，点击后，受害者的文件可以解锁一到五个，但无法指定，这个功能出现在顶级勒索软件CoinVault和CTBLocker中。 黑色产业链中的专业外包服务：帮助恶意软件逃脱检测 除了出售工具包，一些黑执事还出售其他附加服务提升攻击成功率，这些服务可以称之为黑客产业链上的”专业外包服务”，其中之一为”检测逃脱”服务。当该服务加载到恶意软件时，就可以逃脱杀毒软件的扫描。要知道，目前安全公司最主要的工作就是分析病毒特征并更新到自己的病毒库。 这项服务在黑客论坛公然出售，广告上一般会列出效果对比，如上图看到的，使用了服务，全球35个杀毒软件中27个可检测到，而使用后则全部免疫。 黑执事很懂生意，他们有时会提供特殊折扣吸引顾客，上图写着，下个月每周一前三个顾客可享受一单免费的优惠。 一些甚至提供定制服务，例如客户购买一个3000美元的黑客攻击软件，附送一个月的免费支持，额外服务支持一个月需加300美元。 普通黑客发起一项攻击需要投入多少？ 正如你所见，黑客发起一项攻击需要做好准备工作以及物资采购，那么大概需要花费多少钱呢？ 一般来说，你需要购买或者租用工具包，并附加一些服务增加成功率，特别是付费通道来收取费用，还需要购买一些流量，让我们计算一下： 付费通道购买：3000美元一个月 检测逃脱服务：20美元*30天=600美元 攻击工具包：500美元一个月 流量：300美元*6=1800美元 共计：5900美元/月 投入总计大约5900美元一个月，看起来很多对吗？那让我们看看黑客可以赚到多少？ 一个月黑客可以赚到多少钱？ 在支出6万美元之后，黑客一定是预期回报远大于投入的，事实也是这样的。 在观测到的数据上再做保守估算，平均每天有2万人点击恶意链接，一般大概有10%的几率被感染，如果用了勒索软件，大概又有0.5%的受害者付费。这意味着，黑客日收入大概是3,000美元，除去前期支出，月收入高达8,4000美元。 日平均点击恶意链接用户数：20，000 通常工具攻击包的成功率：10% 受害者付费比：0.5% 日收入：20,000美元*10%*0.5%*300美元=3000美元 月收入：90,000美元 净收入：90,000-5,900=84,100美元…