我們正處在這樣一個(gè)時(shí)刻：包括勒索軟件團(tuán)伙在內(nèi)的網(wǎng)絡(luò)犯罪分子，已經(jīng)建立起組織化的機(jī)構(gòu)，進(jìn)行非法的業(yè)務(wù)活動(dòng)，而不是一個(gè)人單打獨(dú)斗。

勒索軟件團(tuán)伙、敲詐勒索組織和DDoS攻擊者的日益成功絕非偶然。在一個(gè)個(gè)奇幻的名字背后，是組織化的機(jī)構(gòu)，由不同層次的參與者組成，他們同步工作，瓜分利益，以實(shí)現(xiàn)最終目標(biāo)。

以下是幾種典型的網(wǎng)絡(luò)犯罪角色：

1. 入口訪問經(jīng)紀(jì)人(IAB)

IAB(Initial access brokers)是指將企業(yè)的網(wǎng)絡(luò)訪問權(quán)限出售給買家的人，主要通過地下數(shù)據(jù)交易市場(chǎng)、論壇或是即時(shí)通信工具、聊天組來完成交易。然后購買訪問權(quán)限的人，得以進(jìn)入受害者的網(wǎng)絡(luò)，再安裝間諜軟件、竊取商業(yè)秘密，或者安裝勒索軟件、拖走數(shù)據(jù)等。IAB本身一般不會(huì)去做這些事情。

在以往，網(wǎng)絡(luò)犯罪對(duì)IAB的需求并不很高，大部分是商業(yè)競(jìng)爭(zhēng)對(duì)手雇傭從事間諜活動(dòng)和盜竊的需求。但勒索軟件時(shí)代導(dǎo)致了對(duì)IAB的需求“指數(shù)級(jí)增長(zhǎng)”，成為網(wǎng)絡(luò)犯罪產(chǎn)業(yè)鏈的“入口”角色。

2. 一切即服務(wù)(XaaS)

在網(wǎng)絡(luò)犯罪的語境下，一切即服務(wù)(XaaS)通常是指勒索軟件即服務(wù)(RaaS)或惡意軟件即服務(wù)(MaaS)，甚至是犯罪即服務(wù)(CaaS)，這些平臺(tái)構(gòu)成了網(wǎng)絡(luò)犯罪的新商業(yè)模式。與軟件即服務(wù)(SaaS)的提供模式非常類似，這些aaS是一種專門為具體實(shí)施攻擊的網(wǎng)絡(luò)犯罪分子，提供勒索軟件工具、網(wǎng)絡(luò)釣魚工具的平臺(tái)，使用這些工具即可實(shí)施網(wǎng)絡(luò)犯罪，而不用掌握高深的技術(shù)。當(dāng)然，這是收費(fèi)的。

作為這種服務(wù)提供商，無論他的客戶攻擊是否成功，都會(huì)獲得一定的收益。不僅如此，在這種XaaS的模式下，意味著可能在法律上還是安全的。他們只負(fù)責(zé)提供工具，拿工具干什么用是客戶的事情。

在勒索軟件時(shí)代之前，網(wǎng)絡(luò)罪犯一般都會(huì)是技術(shù)熟練的黑客，獨(dú)自進(jìn)行尋找目標(biāo)、入侵網(wǎng)絡(luò)、竊取數(shù)據(jù)、自行交易。但XaaS模式則降低了黑客攻擊并獲益的技術(shù)門檻，包括IAB、RaaS、MaaS等服務(wù)，網(wǎng)絡(luò)罪犯只需精通一個(gè)領(lǐng)域，甚至無需精通任何領(lǐng)域，就能夠?qū)嵤┚W(wǎng)絡(luò)攻擊。因此，勒索軟件事件才得以愈演愈烈。

3. 勒索軟件附屬

勒索軟件附屬可以被視為勒索軟件組織雇來執(zhí)行操作任務(wù)的綜合“承包商”，從IAB購買網(wǎng)絡(luò)的初始訪問權(quán)，到獲取可能有助于攻擊的憑證、數(shù)據(jù)等，再到發(fā)起攻擊。

在執(zhí)行成功的攻擊和勒索后，勒索軟件附屬從受害者支付的勒索金額中提取傭金。為了加快攻擊速度，勒索軟件附屬可能會(huì)租用RaaS平臺(tái)，用“租用的勒索軟件”加密文件，或是使用任何現(xiàn)有的工具、服務(wù)和漏洞，以實(shí)現(xiàn)攻擊并獲利的目的。正是因?yàn)檫@些XaaS的出現(xiàn)，降低了攻擊的技術(shù)門檻，無需自行開發(fā)工具，只需專注于攻擊活動(dòng)的組織運(yùn)營(yíng)。

4. 惡意軟件開發(fā)者

惡意軟件最為核心的組成是針對(duì)零日漏洞或已知漏洞的EXP(漏洞利用)，可攻擊存在相應(yīng)漏洞的各種網(wǎng)絡(luò)設(shè)備、應(yīng)用程序，甚至是嵌入應(yīng)用程序中的某個(gè)組件，如Log4j。

在早期，惡意軟件和漏洞利用的開發(fā)者各種各樣，從最普通的“腳本小子”到黑客高手，但隨著黑色產(chǎn)業(yè)的形成，網(wǎng)絡(luò)犯罪分子的分工合作，許多復(fù)雜的惡意軟件開發(fā)團(tuán)隊(duì)已經(jīng)成為“正規(guī)部隊(duì)”，甚至有著軟件開發(fā)生命周期和編程文檔，與合法的軟件開發(fā)流程一樣。

去年發(fā)生的一起勒索軟件團(tuán)伙(Conti)的泄密事件，對(duì)其不滿的合作者(勒索軟件附屬)泄露了該團(tuán)伙的數(shù)據(jù)，包括滲透測(cè)試工具、手冊(cè)、培訓(xùn)材料，以及提供給該附屬的文件。另外一起類似的事件中，一名自稱Babuk勒索軟件管理員的人，則放出了該組織的Visual Studio項(xiàng)目文檔和源代碼。從這些文檔和代碼可以看出，Babuk的開發(fā)流程與合法軟件公司無異，遵循同樣的規(guī)范和結(jié)構(gòu)。

另一方面，加密貨幣的流行，令其交易平臺(tái)成為網(wǎng)絡(luò)攻擊的重災(zāi)區(qū)。精通密碼學(xué)并對(duì)區(qū)塊鏈協(xié)議有深入了解的惡意軟件開發(fā)者，利用這些平臺(tái)中的零日漏洞或未修補(bǔ)的漏洞，盜取巨大價(jià)值的加密貨幣。

今年2月，Wormhole價(jià)值3.26億美元的加密貨幣被盜，源于GitHub平臺(tái)上公開的一個(gè)未修補(bǔ)漏洞。去年P(guān)oly Network遭受了“史上最大的DeFi黑客攻擊”，一名白帽黑客通過平臺(tái)的漏洞轉(zhuǎn)移了價(jià)值6.11億美元的加密貨幣，但事后幾乎全部退回。

5. APT組織

APT(高級(jí)持續(xù)威脅)之前大多是指有著國家資源支持的網(wǎng)絡(luò)犯罪集團(tuán)采取的攻擊策略，目標(biāo)是進(jìn)行破壞、間諜活動(dòng)，或者攫取經(jīng)濟(jì)利益。但現(xiàn)在，APT所使用的戰(zhàn)術(shù)也被一些非國家支持的網(wǎng)絡(luò)攻擊者采用。

史上最著名的APT攻擊事件是震網(wǎng)(Stuxnet)事件，該事件利用多個(gè)Windows零日漏洞感染計(jì)算機(jī)并進(jìn)行傳播，最終對(duì)核電站的離心機(jī)造成損壞。這種“極其復(fù)雜的電腦蠕蟲”據(jù)傳是美國和以色列情報(bào)機(jī)構(gòu)合作開發(fā)的。

另一起針對(duì)工業(yè)控制系統(tǒng)的例子是TRITON。該惡意軟件于2017年入侵了沙特的一家石化廠，并試圖引發(fā)爆炸。幸運(yùn)的是，TRITON代碼中自身存在的一個(gè)漏洞觸發(fā)了關(guān)鍵系統(tǒng)的攔截，攻擊未能得逞。

APT最主流的手法是通過魚叉式網(wǎng)絡(luò)釣魚進(jìn)入網(wǎng)絡(luò)，悄悄傳播有效負(fù)載，拖走數(shù)據(jù)，并植入持久后門，對(duì)受害者進(jìn)行秘密監(jiān)視。

與之前相比，現(xiàn)在的APT更加隱蔽、更具戰(zhàn)略性。如將后門植入上游軟件或源代碼，或入侵第三方供應(yīng)商。SolarWinds就是一起典型的供應(yīng)鏈攻擊事件。

6. 數(shù)據(jù)或信息掮客

“數(shù)據(jù)經(jīng)紀(jì)人”或“信息經(jīng)紀(jì)人”(IB)即可以指合法的服務(wù)商也可以是非法的攻擊者。

前者從公共來源獲取數(shù)據(jù)，如法庭記錄、社交媒體檔案、聯(lián)系方式、企業(yè)注冊(cè)記錄，并進(jìn)行數(shù)據(jù)聚合。然后，這些信息可以合法地與營(yíng)銷人員、研究人員和企業(yè)共享，并收取一定費(fèi)用。后者則是非法的數(shù)據(jù)經(jīng)濟(jì)人。例如，在暗網(wǎng)和數(shù)據(jù)泄露市場(chǎng)上出售黑客盜取的資料或機(jī)密數(shù)據(jù)。這些數(shù)據(jù)包括但不限于賬戶憑證、信用卡信息、購物歷史、企業(yè)通訊錄，以及個(gè)人信息等。

結(jié)語

從開發(fā)者到XaaS，再到IAB、IB，這些分工都是黑產(chǎn)鏈各個(gè)環(huán)節(jié)的貨幣化，各自出售攻擊鏈的一部分或向更廣泛的買家出售相同的惡意軟件(配置不同)來成倍地增加利潤(rùn)。通過這種模式，能夠賺更多的錢，同時(shí)做更少的工作。

黑色產(chǎn)業(yè)鏈儼然已經(jīng)是一個(gè)“自然競(jìng)爭(zhēng)的商業(yè)環(huán)境”，形成了競(jìng)爭(zhēng)群體和一個(gè)真正的市場(chǎng)。這些市場(chǎng)隨之帶來的，則是網(wǎng)絡(luò)攻擊門檻的降低，攻擊者無需精通各個(gè)方面的技術(shù)，就能夠有效開展網(wǎng)絡(luò)犯罪活動(dòng)。