想要每年撈到90萬美元的巨款，該如何做呢?

學(xué)點(diǎn)兒代碼，會(huì)點(diǎn)兒俄語，然后下定決心成為一名罪犯且無所畏懼。即使是一個(gè)菜鳥，也可以成為一名網(wǎng)絡(luò)罪犯。對(duì)，就這么簡(jiǎn)單。

 

[[142127]]

 

黑客賺錢是個(gè)眾所周知的事實(shí)。但是，這個(gè)行業(yè)有多賺錢?黑客們又是怎樣進(jìn)行內(nèi)部交易以避免互相傾軋?就像與其業(yè)務(wù)類似的黑手黨和地下幫派的精密體系，黑客們也創(chuàng)立了他們自己的極其精密復(fù)雜的系統(tǒng)，而且其經(jīng)營(yíng)規(guī)模也是令人震驚的。

最近信息安全公司Trustwave向公眾披露了一份關(guān)于互聯(lián)網(wǎng)犯罪弱點(diǎn)的研究報(bào)告。研究顯示，只要黑客知道怎樣操作和向哪里下手，就能迅速斂取大量錢財(cái)。據(jù)保守估計(jì)，哪怕是最初級(jí)的黑客也能每月入賬8萬美元。

做到這一點(diǎn)并不難，入侵和漏洞利用程序售賣的世界中充斥著叫賣程序編碼的小販。黑客生態(tài)系統(tǒng)包含租售已做好的漏洞利用途徑。這種服務(wù)在“克雷格列表”(Craigslist)之類的網(wǎng)站有售，但只有黑客才能看到。

使用這類網(wǎng)站的大多是俄羅斯人或東歐人，進(jìn)入這些隱匿網(wǎng)絡(luò)非常困難，因?yàn)橹挥蝎@得其他網(wǎng)絡(luò)罪犯的信任才可以加入。但一旦擠進(jìn)這個(gè)圈子，即使是黑客新手也可以隨意享用的大量惡意服務(wù)。

舉個(gè)例子，想向網(wǎng)站注入惡意鏈接的黑客需要兩個(gè)步驟：第一，找到登錄流行網(wǎng)站的方法以植入惡意鏈接;第二，借用漏洞將惡意代碼注入受害者主機(jī)。然后，黑客也許還想讓惡意軟件不被發(fā)現(xiàn)。不管什么樣的需求，所有這些服務(wù)都是可用的、現(xiàn)成的、在線的，只要你出起得價(jià)錢。

地下黑客的運(yùn)作方式與商業(yè)非常相似。想生意開張，你需要有物資和辦公場(chǎng)地。這些都是要花錢的。一名黑客在起步之初可能的投資數(shù)額，總計(jì)大約有5900美元。

 

 

支出綱要

但別著急，有回報(bào)。采用非常保守的估算，一個(gè)黑客每月可以成功虜獲多少個(gè)受害者呢?如果漏洞植入到流量不錯(cuò)的頁(yè)面，那每天可能會(huì)有2萬名用戶看到，其中估計(jì)只有10%會(huì)中招。而這10%中，如果漏洞是勒索軟件，也就是綁架了受害者的文件直到支付贖金才解鎖的那種，那么實(shí)際支付率又只有0.5%。這么算下來，每天能入賬3000美元。

扣掉各項(xiàng)支出，每月能得8.4萬美元。

 

 

實(shí)際上這些估算都很保守，但它們都是根據(jù)Trustwave查到的第一手交易數(shù)據(jù)得出的。其證明了地下黑客或其團(tuán)伙使用不太難的網(wǎng)絡(luò)犯罪手法大量掘取金錢。而這些網(wǎng)絡(luò)犯罪技巧之所以卓有成效，是黑客行為已像上好油的機(jī)器般運(yùn)轉(zhuǎn)良好。它不再是黑客個(gè)人的行為，而是由某幾個(gè)程序員提供他們的專業(yè)技能(當(dāng)然，要付錢的)。當(dāng)你將黑客活動(dòng)的所有部分拼接起來，你會(huì)發(fā)現(xiàn)一個(gè)真正復(fù)雜的黑客生態(tài)系統(tǒng)，與延續(xù)百年的工業(yè)生態(tài)體系有的一拼。

想要了解更多黑客產(chǎn)業(yè)的收入與支出，請(qǐng)接著往下看：

為了摸清這些地方到底在發(fā)生著什么。安全研究人員自己潛入到地下黑市中，以盡早的知道黑客們正在研制的惡意軟件，并了解整個(gè)系統(tǒng)的運(yùn)作方式。Trustwave的研究已經(jīng)進(jìn)行了幾年之久。如今已有很多內(nèi)容可供展示，包括黑客團(tuán)伙的斂金數(shù)額以及網(wǎng)絡(luò)犯罪生態(tài)系統(tǒng)確切的運(yùn)作方式。

Trustwave的安全研究副總裁齊夫·馬多爾將研究結(jié)果整理進(jìn)他給客戶的一份演示文檔中，披露了一個(gè)隱秘黑客世界的交易和運(yùn)作方式。

論壇--網(wǎng)絡(luò)罪犯?jìng)兂鍪圬浳锏木€上集市

 

 

論壇就是‘克雷格列表的地下論壇形式’，在上面可以看到這些犯罪分子是怎樣為自己想出售的惡意軟件做廣告的。這是一個(gè)黑客和黑客團(tuán)伙兜售貨物的集市，木馬、僵尸網(wǎng)絡(luò)和其他惡意軟件都能在這兒找到。不過，要進(jìn)入到這些論壇非常困難，需要經(jīng)過重重審查，以及其他罪犯的信任。

漏洞利用工具包

 

 

漏洞利用工具包是網(wǎng)絡(luò)罪犯得以成功實(shí)施大規(guī)模黑客活動(dòng)的基本生活資料，它們有著各種方法分發(fā)惡意軟件，包括使用漏洞利用代碼“雞尾酒”的隱身網(wǎng)頁(yè)應(yīng)用。

漏洞利用工具包為網(wǎng)絡(luò)罪犯所鐘愛是因?yàn)樗鼈兡芴岣叻缸锍晒β?。以前，平均只?0%的用戶成功中招，而如果采用新的更好的漏洞利用工具包則可以將成功率提升至40%之多。

漏洞利用工具包里有什么?

 

 

這是一張漏洞利用工具包成分列表。這些東西就是網(wǎng)絡(luò)罪犯付款購(gòu)買的各種惡意軟件，之后便會(huì)被他們進(jìn)一步投放到毫無防備的受害者電腦中。

實(shí)探在線黑客團(tuán)伙

 

 

這是一個(gè)真實(shí)世界的案例，讓我們看看一個(gè)名為RIG的俄羅斯黑客團(tuán)伙，是怎樣推廣他們的漏洞利用工具包及其效果的。廣告詞是用俄語寫就，但Trustwave翻譯了其中重要部分。比如，RIG自夸其漏洞利用代碼“擁有利用大量網(wǎng)絡(luò)流量的能力”。

這類漏洞利用工具包的要價(jià)基于租金。因此，一名黑客可以在世界上任何地方租用該工具包一天、一周或一個(gè)月，租金從30美元到500美元不等。500美元聽起來似乎很多，但對(duì)于豐富的利潤(rùn)來說，這真心不算貴。

商業(yè)模式

 

 

RIG的商業(yè)運(yùn)作模式與零售業(yè)頗為相似，有倉(cāng)庫(kù)，也有經(jīng)銷商。一名RIG經(jīng)理可以以不同的價(jià)格直接出售漏洞利用工具，或賣給其他的經(jīng)銷商。

經(jīng)銷商再以更高的價(jià)格出售給其他黑客。RIG在一周內(nèi)能從這一個(gè)經(jīng)理手中總共斂入9萬多美元。

其他商業(yè)模式

 

 

最普遍的商業(yè)模式就是RIG類型的——一級(jí)一級(jí)分銷漏洞利用工具。但黑客團(tuán)伙直接銷售給顧客的新模式正在崛起。

不過，采用這種新模式，黑客團(tuán)伙(本案例中是Magnitude)是免費(fèi)供給顧客他們的漏洞利用工具包。他們得到的，是客戶分享給他們的一定比例的惡意軟件訪問量。分享比例基于惡意軟件累積的訪問量。而黑客團(tuán)伙在得到支付過來的訪問量時(shí)，就可以用任何想采用的惡意軟件感染受害者了。

因此，如果買家想使用漏洞利用工具包，他們得將之注入到一個(gè)網(wǎng)站，但5%～20%不等的訪問流量就直接送回到可對(duì)受害者為所欲為的原始賣家手中了。

這種商業(yè)模式非常聰明，購(gòu)買者不需要投入任何金錢，黑客團(tuán)伙則可以從抓到的訪問流量中獲取大量金錢。

這種形式的租賃系統(tǒng)在目前依然較為普遍。

勒索軟件

 

 

通過漏洞利用流量感染受害者主機(jī)的惡意軟件Magnitude被稱為‘勒索軟件’。它遵循一個(gè)簡(jiǎn)單的概念：如果受害者被成功感染，其電腦上的文件就會(huì)被加密，意味著受害者無法訪問所有這些數(shù)據(jù)。

很明顯，受害者想要尋回對(duì)這些數(shù)據(jù)的控制權(quán)，不過，這需要付出代價(jià)。Magnitude會(huì)要求受害者用比特幣支付。贖金數(shù)額則決定于使用的是哪款勒索軟件。

這種網(wǎng)絡(luò)勒索的形式是相當(dāng)有利可圖的。Trustwave跟蹤了流向勒索軟件賬戶的比特幣流，僅僅一周就有6萬美元之多。

可怕的消息

 

 

這是感染了勒索軟件的受害者電腦上可能出現(xiàn)的一條通知消息。該消息特定于色情網(wǎng)站。

黑客能將勒索軟件的鏈接注入到色情網(wǎng)站中，然后恐嚇受害者，令其相信自己因?yàn)闉g覽了非法網(wǎng)站而被敲詐了。然而，這不過是黑客迫使受害者付款的花招而已。

另一條勒索消息

 

 

這一勒索消息出現(xiàn)在美國(guó)，它是經(jīng)過精心構(gòu)思的。

它引用了一條完全虛構(gòu)的法律條文：‘個(gè)人電腦使用疏忽’，宣稱用戶若放任自己的電腦感染惡意軟件將面臨9年監(jiān)禁。

這條消息就是采用這一瘋狂且完全難以理解的術(shù)語讓受害者付款的。而他們也確實(shí)掏錢包了。盡管這些消息十分之假大空，但網(wǎng)絡(luò)罪犯依然能獲得大量的收益。

還有免費(fèi)增值

 

 

黑客在分發(fā)勒索軟件時(shí)取信于用戶的另一種方法，是證明自己可以真正恢復(fù)他們的文件。

為做到這一點(diǎn)，他們會(huì)提供一種‘增值服務(wù)’，也就是讓用戶取回一兩個(gè)之前還不能訪問的文件。

網(wǎng)絡(luò)犯罪生態(tài)系統(tǒng)的另一面

 

 

除了售賣漏洞利用工具，有些黑客還出售能使這些工具更加有用的服務(wù)。馬多爾稱之為‘外包服務(wù)’。例子之一就是‘代碼混淆服務(wù)’。

代碼混淆服務(wù)的工作方式是將惡意軟件的一段代碼抽出，做一些變形處理，讓反病毒掃描器無法檢測(cè)。安全公司每天辛勤工作就為了知道黑客在做的惡意軟件是哪種，代碼混淆讓他們的樣本庫(kù)不斷增長(zhǎng)。

為保持領(lǐng)先一步，黑客采用混淆戰(zhàn)術(shù)以求偽裝惡意軟件來讓它更加有效。

代碼混淆是怎樣被推銷的

 

 

黑客想要證明自己的服務(wù)是成功的。我們就來看看他們是怎么推銷的吧。

首先，在廣告里解釋一番混淆是干什么的，然后出示一張‘之前’檢測(cè)出該惡意軟件的反病毒程序列表，再附上一張享受了‘混淆’服務(wù)‘之后’該惡意軟件能繞過的反病毒程序列表。(安全公司的名字是做過處理的。)

甚至還有折扣

 

 

有些黑客為招徠更多顧客而提供折扣。

另一種服務(wù)

 

 

有些黑客還提供更個(gè)性化的服務(wù)。只需3000美元，顧客便能得到一款定制黑客軟件。

一個(gè)證書簽名

 

 

使惡意軟件保持不被偵測(cè)到的另一種方法是出售盜取的數(shù)字證書。通過網(wǎng)絡(luò)傳輸?shù)奈募ǔ６加凶C書來保證可信度。一份簽過名的證書就是知曉文件是否可信的途徑?；蛘撸鼞?yīng)該達(dá)到這種效果。

某些黑客服務(wù)就能讓惡意軟件也經(jīng)過簽署，將被檢測(cè)率大幅降低80%。

繞開檢測(cè)的另一種方法

 

 

還有另一種方法：IP信譽(yù)服務(wù)。這個(gè)更難理解一點(diǎn)。

馬多爾解釋說，這基本上就是收集權(quán)威機(jī)構(gòu)和安全廠商的IP地址形成一張列表。利用這張列表，IP信譽(yù)服務(wù)可以掃描試圖訪問惡意軟件的IP地址，如果該IP地址屬于這些官方地址之一，惡意軟件就會(huì)裝死。

所以，IP信譽(yù)服務(wù)就是一種保持低調(diào)以避過機(jī)構(gòu)注意的方法。此類服務(wù)的制作者總是對(duì)他們獲得此類情報(bào)的特殊渠道津津樂道，比如說，通過FBI內(nèi)部人士……馬多爾認(rèn)為這些自爆不足為信;‘這群人彼此互騙毫無障礙。’

虛假安全服務(wù)

 

 

另一種被稱為“虛假反病毒(FakeAV)”(或者“流氓反病毒(RogueAV)”)的惡意軟件采用極其簡(jiǎn)單的策略：看起來像是真正的反病毒產(chǎn)品。

此類服務(wù)提供與市場(chǎng)上其他服務(wù)非常相似的界面，要求用戶掃描惡意軟件，然后列出長(zhǎng)長(zhǎng)的感染列表。當(dāng)然，其中沒一條是真的。受害者只是被一個(gè)除了恐嚇啥都沒干的服務(wù)給嚇到認(rèn)為自己感染了更多惡意軟件而應(yīng)該支付更多錢財(cái)而已。

這類服務(wù)也是令人難以置信地賺錢啊。馬多爾說，使用FakeAV模式的三個(gè)黑客團(tuán)伙在一年之內(nèi)就收獲了將近1億美元。

俘獲網(wǎng)站的一種方法

 

 

還有一種黑客戰(zhàn)術(shù)被稱為web shell，實(shí)際上就是一種網(wǎng)頁(yè)后門。

由于網(wǎng)站通常都維護(hù)得很爛，總的來說，黑客總能輕易找出攻入網(wǎng)站服務(wù)器的辦法。而掌握了服務(wù)器，也就對(duì)網(wǎng)站有了全權(quán)控制。然后，黑客就能干些諸如編輯文件之類邪惡的事情了，甚至取到網(wǎng)站的信用卡信息也是有可能的。

出售Web Shell

 

 

售賣網(wǎng)頁(yè)后門的黑客需要證明被感染的服務(wù)器確實(shí)值得付錢享用?？梢钥匆幌滤麄冋故镜腁lexa排名和每日訪客數(shù)統(tǒng)計(jì)。

電子商務(wù)Web Shell

 

 

更具破壞性的網(wǎng)頁(yè)后門是能夠攻擊處理客戶信用卡數(shù)據(jù)的網(wǎng)站的。這里貼出的是連接進(jìn)一家電子商務(wù)網(wǎng)站的網(wǎng)頁(yè)后門。

鑒于黑客已經(jīng)擁有服務(wù)器的訪問權(quán)，每當(dāng)客戶刷卡購(gòu)物，信用卡數(shù)據(jù)便會(huì)被黑客獲悉。從這兒我們能看到黑客是怎樣修改處理信用卡交易的代碼的。這段代碼捕捉輸入的信用卡數(shù)據(jù)，將之存儲(chǔ)到某個(gè)本地文件中供黑客取用。

據(jù)馬多爾所言，他‘每個(gè)月都能看到成千上萬被攻占的網(wǎng)站。’

信用卡數(shù)據(jù)生意

 

 

坐擁信用卡數(shù)據(jù)的黑客，賺錢方式簡(jiǎn)直不要太多。這是論壇上貼出來的一個(gè)被盜銀行賬戶的帖子。售賣價(jià)格隨賬戶余額而增長(zhǎng)。當(dāng)然，售價(jià)不會(huì)有那么高。有10萬余額的賬戶只賣10美元。

完全只為信用卡賬戶而存在的網(wǎng)站

 

 

這是售賣這一金融數(shù)據(jù)的又一種方式：整個(gè)網(wǎng)站都只為售賣信用卡賬戶數(shù)據(jù)而存在?？梢员灰暈?lsquo;已核準(zhǔn)信用卡商店’。

信用卡商店內(nèi)幕

 

 

這里列出的是在售的賬戶類型。馬多爾稱，每隔幾天就有新批次卡片入駐。當(dāng)他看到這個(gè)網(wǎng)站的時(shí)候，在售的信用卡列表有將近800頁(yè)之長(zhǎng)。

更多的信用卡

 

 

界面看起來與其他電子商務(wù)網(wǎng)站無異。用戶選擇想要購(gòu)買的信用卡，然后結(jié)帳離開，可以用比特幣進(jìn)行支付。

到這兒，本文的介紹可以結(jié)束了。這只是對(duì)網(wǎng)絡(luò)黑市和惡意黑客所提供服務(wù)的匆匆一瞥，沒看到的還有很多。犯罪者總能找到方法在網(wǎng)絡(luò)上騙人，獲利，賺錢……

 

[[142128]]