你不一定懂編程，甚至都看不懂幾行代碼，但依然能成為殺傷力十足的黑客，這就是現(xiàn)階段不少網(wǎng)絡(luò)攻擊的特點：不需要掌握嫻熟的技術(shù)或代碼，僅僅利用成熟的武器化工具，就能通過簡單的“一鍵操作”，對目標(biāo)輸出成噸傷害。

顯而易見，這其中暗藏了巨大的商業(yè)市場，吸引了無數(shù)黑客組織團體前來分一杯羹。為了能夠做到可持續(xù)化運作，他們開始借助SaaS（軟件即服務(wù)）平臺的優(yōu)勢：價格便宜、靈活性強、易于拓展，進(jìn)而衍生出網(wǎng)絡(luò)釣魚即服務(wù)（PhaaS）、勒索軟件即服務(wù)（RaaS）等模式。

在這些模式下，由黑客組織負(fù)責(zé)勒索軟件出售、訂閱給用戶，并獲得一定比例的攻擊收益分成，自己則主要負(fù)責(zé)最新變種的開發(fā)?？梢哉f，通過以業(yè)務(wù)為驅(qū)動，結(jié)合技術(shù)研發(fā)+出售+運營的模式，成為其運作的標(biāo)準(zhǔn)方式。

隨著新冠疫情帶來的持續(xù)性影響，全球產(chǎn)業(yè)更加高度依賴網(wǎng)絡(luò)，基于SaaS的網(wǎng)絡(luò)攻擊已經(jīng)能夠積極順應(yīng)這一變化趨勢，快速商業(yè)化、武器化，成為了一種較為成熟的軟件商業(yè)模式。

人人解釋黑客的時代似乎將在未來出現(xiàn)。當(dāng)黑產(chǎn)走向SaaS化之后，技術(shù)門檻將不再是擋在眾人面前的障礙，“黑客”這一名詞將失去它的光環(huán)。亦或者說，這群人將不配被稱為“黑客”，只能稱之為“黑產(chǎn)”，以追逐現(xiàn)金收益為最終目的。

這對于全球企業(yè)來說無異于當(dāng)頭一棒，未來面臨的網(wǎng)絡(luò)攻擊威脅將成倍增加。如同熱武器降低了破壞的門檻，各種惡意SaaS化平臺的出現(xiàn)降低了作惡的門檻，畢竟，從普通人手中射出的子彈同樣無比致命，網(wǎng)絡(luò)空間也是如此。

一、網(wǎng)絡(luò)釣魚即服務(wù)（PhaaS）

網(wǎng)絡(luò)釣魚即服務(wù)是一種較新的服務(wù)類型，PhaaS 組織可提供從模板創(chuàng)建、托管和整體編排的全流程釣魚攻擊業(yè)務(wù)模塊，能讓攻擊者不必具備構(gòu)建或接管基礎(chǔ)設(shè)施以托管網(wǎng)絡(luò)釣魚工具包（模擬各種登錄頁面）的技術(shù)知識，從而顯著降低了攻擊門檻。根據(jù)Palo Alto Networks Unit 42的一份調(diào)查研究報告，從 2021 年 6 月到 2022 年 6 月，SaaS的濫用攻擊行為暴增了11倍。

2021年6 月到 2022 年 6 月，網(wǎng)絡(luò)釣魚活動中基于SaaS 的濫用行為迎來暴增

為了更加商業(yè)、規(guī)范化，同時最大程度吸納客戶，一些PhaaS已經(jīng)由過去只在暗網(wǎng)推廣逐漸走向前臺，擁有自己公開的門戶網(wǎng)站。

不同于一些勒索軟件即服務(wù)（RaaS）需要參與到具體的攻擊行動中，比如其運營團隊參與贖金談判，PhaaS往往更加純粹于釣魚服務(wù)的出售，因此在一些國家，如果要起訴PhaaS平臺將較為困難，因為他們本身不會進(jìn)行任何攻擊，即使具體購買服務(wù)的攻擊者被警方捕獲，PhaaS也可以不受影響繼續(xù)銷售其服務(wù)或產(chǎn)品。

1、BulletProofLink——規(guī)模龐大的PhaaS平臺

2021年，微軟曾曝光過一個大規(guī)模的PhaaS平臺——BulletProofLink，該組織自2018年以來就一直活躍，擁有 100 多個模仿已知品牌和服務(wù)的可用網(wǎng)絡(luò)釣魚模板，并以每月800 美元的價格在自家門戶網(wǎng)站上銷售。為了推廣，他們利用YouTube和Vimeo等平臺提供教學(xué)視頻，在黑客論壇或其它網(wǎng)站進(jìn)行營銷，目前被多個客戶團體以一次性或按月付費的模式使用。

當(dāng)客戶花費800美元購買服務(wù)后，BulletProofLink的功能將十分強大，包括設(shè)置一個網(wǎng)頁來托管釣魚網(wǎng)站、安裝釣魚模板、為釣魚網(wǎng)站配置域名、向目標(biāo)受害者發(fā)送實際的釣魚郵件、從攻擊中收集憑證等。如果要變更某項服務(wù)或模板，還可在BulletProofLink經(jīng)營的在線商店后買，價格從80美元道100美元不等。

BulletProofLink經(jīng)營的在線商店

微軟表示，BulletProofLink經(jīng)常使用被黑網(wǎng)站來托管網(wǎng)絡(luò)釣魚頁面，在某些情況下還觀察到其團伙破壞了被黑網(wǎng)站的DNS記錄，以便在受信任的網(wǎng)站上生成子域來承載釣魚網(wǎng)頁。在一次活動中，BulletProofLink使用了大量新創(chuàng)建和獨特的子域，單次運行數(shù)量超過300000個，可見該服務(wù)的規(guī)模十分巨大。

2、Caffeine——針對中國用戶

與大多數(shù)針對西方國家不同，近期，被稱為“Caffeine”（咖啡因）的PhaaS平臺被專門用來針對中國和俄羅斯。Mandiant 的安全分析師發(fā)現(xiàn)，Caffeine入門門檻很低，但功能卻很豐富，僅需創(chuàng)建賬戶后，就可訪問后臺面板，其中包含創(chuàng)建網(wǎng)絡(luò)釣魚活動所需的工具和數(shù)據(jù)面板。

Caffeine提供的服務(wù)套餐根據(jù)功能不同分為每月 250 美元、三個月 450 美元或六個月 850 美元三檔，雖然價格是一般PhaaS 訂閱的 3-5 倍，但Caffeine試圖通過提供反檢測和反分析系統(tǒng)以及客戶支持服務(wù)來讓客戶覺得“物有所值“。

在網(wǎng)絡(luò)釣魚選項方面，該平臺提供的一些高級功能包括：自定義動態(tài) URL 模式機制，以協(xié)助動態(tài)生成預(yù)填充受害者特定信息的頁面；第一階段的活動重定向頁面和最終誘餌頁面；用于地理封鎖、基于 CIDR 范圍的封鎖等的 IP 封鎖列表選項。Caffeine 提供了多種網(wǎng)絡(luò)釣魚模板選項，包括 Microsoft 365 以及針對中文和俄語平臺的各種模板。

針對中國用戶的釣魚郵件

3、EvilProxy——一鍵反向代理

Resecurity 研究人員在今年5月首次發(fā)現(xiàn)了一個新型PhaaS平臺 EvilProxy，能夠使用反向代理與 Cookie 注入來繞過雙因素認(rèn)證。反向代理是指位于受害者和合法身份驗證窗口之間的服務(wù)器，當(dāng)受害者連接到網(wǎng)絡(luò)釣魚頁面時，反向代理會顯示合法的登錄頁面，并轉(zhuǎn)發(fā)、返回合法頁面的請求或相應(yīng)。但當(dāng)受害者將其憑證和雙因素驗證輸入到釣魚頁面后，會被轉(zhuǎn)發(fā)到受害者實際登錄平臺的服務(wù)器并返回會話Cookie。由于反向代理位于中間，因此可以竊取含有身份驗證令牌的會話cookie，并使用該身份驗證cookie以用戶身份登錄網(wǎng)站，從而繞過已配置好的雙因素身份驗證保護(hù)。

反向代理工作原理

EvilProxy為客戶提供了一個簡潔易用的后臺管理面板，可以在其中設(shè)置和管理網(wǎng)絡(luò)釣魚活動。EvilProxy給出了10天150美元、20天250美元、30天400美元的訂閱方式而針對一些高價值，例如谷歌賬戶的的竊取，費用會有所上浮。在EvilProxy自身的宣傳資料中，宣稱可竊取多家知名企業(yè)或平臺的用戶賬號，包括Apple、Google、Facebook、Microsoft、Twitter、GitHub、GoDaddy等。

很明顯，PhaaS平臺的出現(xiàn)助長了釣魚攻擊的氣焰。

這些PhaaS平臺的出現(xiàn)極大地降低了釣魚攻擊的門檻，其中包括規(guī)避電子郵件安全系統(tǒng)的檢測、享受高可用性以及無需學(xué)習(xí)編寫代碼來創(chuàng)建看似合法的網(wǎng)站。此外，由于 SaaS 平臺簡化了創(chuàng)建新站點的過程，攻擊者可以輕松切換到不同的主題、擴大或多樣化其運營。

更糟糕的是，安全專家們普遍認(rèn)為，阻止這些PhaaS平臺的濫用非常困難，這也是 SaaS如此適合網(wǎng)絡(luò)釣魚活動的原因所在。

例如上文介紹的EvilProxy平臺，使用了反向代理繞過 MFA控制，從通過惡意代理網(wǎng)絡(luò)釣魚站點連接的用戶那里獲取有效Cookie。這樣，攻擊者就可以繞過使用用戶名/密碼或MFA令牌進(jìn)行身份驗證的需要。

二、勒索軟件即服務(wù)（RaaS）

“簡單！低成本！一夜暴富！不需要花多年時間浸淫代碼編寫或軟件開發(fā)技藝。只需要下載我們簡單的勒索軟件工具包，就能讓您錢財源源而來——享受在家辦公的舒適與彈指坐聽比特幣落袋聲的雙重快樂。”這是來自某基于RaaS的勒索軟件平臺頗具吸引力的推廣介紹。

與PhaaS類似，RaaS構(gòu)建的在線平臺幾乎涵蓋了勒索軟件攻擊所需的所有功能，客戶支付一定費用后即可訪問平臺后端并開展勒索攻擊，平臺方則坐收受害者的贖金分成。安全公司Unit 42已經(jīng)發(fā)現(xiàn)至少56 個活躍的RaaS 組織，其中一些從2020 年新冠疫情爆發(fā)以來便一直在運作。

而隨著RaaS模式的發(fā)展，其運作方式也開始出現(xiàn)一些新的特征。過去勒索方式需要犯罪者“親力親為”，即勒索團伙需要自己發(fā)送釣魚郵件或者自己尋找目標(biāo)系統(tǒng)漏洞來植入勒索軟件，這樣大大消耗了時間和精力，RaaS組織需要更加直接的“大門”或者中間人去做入侵，于是Initial Access Brokers (IAB)業(yè)務(wù)就變得活躍起來。

IAB（Initial Access Brokers-初始訪問代理業(yè)務(wù)）是指攻擊者通過多種方式獲得的受害者網(wǎng)絡(luò)資產(chǎn)初始化訪問權(quán)限，而后將其出售給犯罪組織實施犯罪的中間人行為，犯罪組織通常為勒索軟件團伙或其附屬機構(gòu)。

這些組織的存在以及RaaS 模式的發(fā)展大大降低了實施網(wǎng)絡(luò)勒索的門檻，擴大了網(wǎng)絡(luò)勒索軟件的傳播范圍和負(fù)面影響。

1、REvil——曾經(jīng)最普遍且活躍的RaaS組織之一

REvil不僅是市場上最普遍的勒索軟件之一，也是較早采用RaaS模式盈利的組織，首次攻擊實施于2019年4月17日，利用OracleWebLogic服務(wù)器中的漏洞CVE-2019-2725實施了攻擊活動。兩個月后，XSS論壇上開始出現(xiàn)該組織售賣勒索軟件服務(wù)的廣告。

REvil的運作模式為：購買其服務(wù)的攻擊者負(fù)責(zé)訪問受害目標(biāo)網(wǎng)絡(luò)，下載有價值的文件并部署勒索軟件，而REvil組織本身則負(fù)責(zé)與受害者談判、勒索及分發(fā)贖金。這種模式帶來了豐厚的利潤，根據(jù)REvil的說法，一個會員的收入甚至可達(dá)到3萬美元，而另一家RaaS勒索組織在與REvil聯(lián)手后僅六個月內(nèi)就達(dá)到了每個目標(biāo)約700萬美元至800萬美元的贖金收益。

在針對某計算機巨頭的攻擊中，REvil開出5000萬巨額勒索贖金

在去年10月的多國聯(lián)合執(zhí)法行動中，REvil的服務(wù)器被查，今年1月初，俄羅斯聯(lián)邦安全局 (FSB) 在該國多地進(jìn)行突襲后，逮捕了多名組織核心成員。就在大家以為REvil會因此徹底絕跡時，今年5月，疑似新版本的REvil被安全人員捕獲，并顯示其正在積極開發(fā)過程中。這為REvil的再次復(fù)出提供了可能性。

2、Conti——擅用跨平臺編程語言

該勒索軟件被發(fā)現(xiàn)于2019年，主要是在地下論壇以RaaS形式運營，并廣泛招收附屬組織，某些附屬組織能夠訪問Conti勒索軟件的Linux變體，這些變體支持各種不同的命令行參數(shù)，附屬組織可以利用這些參數(shù)進(jìn)行更加定制化、更具有針對性的攻擊。

Conti一大特點是善于利用Rust 或 Golang等跨平臺編程語言編寫勒索軟件，使之能夠方便地將勒索軟件移植到其他平臺。相比于由普通C語言編寫，安全分析人員若要破解由跨平臺二進(jìn)制文件編寫的惡意軟件將會更加困難。

Conti主要通過釣魚郵件、利用其他惡意軟件、漏洞利用和遠(yuǎn)程桌面協(xié)議（RDP）暴力破解進(jìn)行傳播，組合利用多種工具實現(xiàn)內(nèi)網(wǎng)橫向移動，并利用匿名化Tor建立贖金支付與數(shù)據(jù)泄露平臺，采用“威脅曝光企業(yè)數(shù)據(jù)+加密數(shù)據(jù)勒索”雙重勒索策略發(fā)動攻擊。自2020年7月29日公布第一個受害者信息以來，截至2021年12月15日，Conti共計公布了631個受害者信息，其中，僅在2021年就影響了全球范圍內(nèi)超過470個組織機構(gòu)。

3、Lockbit——加密速度最快的RaaS

LockBit是近期風(fēng)頭正盛的勒索軟件組織，自2019 年 9 月作為RaaS首次出現(xiàn)以來，便一直活躍，目前已迭代至LockBit3.0版本。LockBit號稱是世界上加密速度最快的勒索軟件，采用自己設(shè)計的AES+ECC算法和多線程加密，每次僅加密每個文件的前4KB。根據(jù)其洋蔥網(wǎng)絡(luò)上的博客數(shù)據(jù)顯示，Lockbit以每秒373M的速度位列所有勒索軟件榜首，加密100GB的文件僅需要4分半鐘。

Lockbit背后的運營組織十分重視對自身勒索軟件的開發(fā)，為此也同時開發(fā)了支持它的所有必要工具和基礎(chǔ)設(shè)施，例如泄露站點和贖金支付門戶。他們將這些解決方案提供給其他使用該勒索軟件的分支機構(gòu)，甚至包括額外的服務(wù)，例如贖金談判。在執(zhí)行實際攻擊中，LockBit分支機構(gòu)會將勒索軟件感染并部署到目標(biāo)中，作為回報，他們會獲得受害者支付的20%的贖金。

Lockbit數(shù)據(jù)泄露站點

以PhaaS和RaaS為代表的惡意黑產(chǎn)組織利用SaaS化部署迅速打開局面，大幅降低攻擊門檻及成本，這也讓很多低水平的釣魚攻擊和勒索軟件組織有了用武之地。

依附它們而運作的各大釣魚及勒索軟件組織迅速壯大，能夠?qū)⒉粩喑霈F(xiàn)的新型惡意軟件變種迅速武器化，近年來已對全球諸多企業(yè)、個人帶來了難以估量的損失。但正所謂魔高一尺道高一丈，安全的重要性因此越發(fā)得到體現(xiàn)，新的防御手段也會在彼此的對抗中不斷推陳出新。

三、勒索軟件保護(hù)即服務(wù)（RPaaS）將成為新的需求？

無論是釣魚還是勒索，作為“最薄弱環(huán)節(jié)”，人們?nèi)詫⒉豢杀苊獾卦卩]件、網(wǎng)站、各種文件中闖蕩，因而迫切需要更強大且全面的預(yù)防及保護(hù)措施。

因此，既然有以SaaS為基礎(chǔ)的PhaaS、RaaS，相對應(yīng)的，勒索軟件保護(hù)即服務(wù)（RPaaS）應(yīng)運而生。在RPaaS模式中，既有獨立的預(yù)防和災(zāi)難恢復(fù)服務(wù)，也有連接這兩個領(lǐng)域的檢測解決方案，可以提供防勒索及釣魚等事件前后的全面性服務(wù)。

RPaaS要求具有災(zāi)難恢復(fù)專業(yè)知識和網(wǎng)絡(luò)安全專業(yè)知識的人分為兩大團體，以一個單一的目標(biāo)進(jìn)行合作。為了實現(xiàn)這一點，RPaaS拆分為三個子類別來解決業(yè)務(wù)的預(yù)防、檢測和恢復(fù)問題：

RPaaS 流程

1.安全運營中心即服務(wù)(SOCaaS)

安全運營中心(SOC)團隊會監(jiān)控威脅活動并發(fā)出警告，以在攻擊發(fā)生之前及時阻止。該團隊專注于通過利用防火墻、零容忍安全、端點、EDR、MDR、SIEM和其他檢測及預(yù)防工具，來快速識別和遏制惡意活動。

2.勒索軟件響應(yīng)即服務(wù)(RRaaS)

這些恢復(fù)措施包括失效備援、取證、數(shù)據(jù)清理、不可變備份以及其他必要舉措，其流程專注于測試和文檔化，全過程配備了復(fù)制、備份、云恢復(fù)和數(shù)據(jù)加密技術(shù)，將災(zāi)難恢復(fù)即服務(wù)(DRaaS)和備份即服務(wù)(BaaS)結(jié)合在一起，以便在勒索軟件事件發(fā)生時建立可靠的策略。

3.虛擬首席信息安全官(vCISO)

vCISO專門為RPaaS中的組織提供幫助，隨時幫助其制定戰(zhàn)略并協(xié)調(diào)恢復(fù)執(zhí)行、質(zhì)量保證和取證調(diào)查等方面的工作。這種持續(xù)的咨詢援助可以推動安全流程走向成熟并緩解業(yè)務(wù)風(fēng)險。vCISO將幫助IT團隊分析、建議和制定重要的業(yè)務(wù)治理政策和流程。

當(dāng)然，在現(xiàn)階段，對于我們身處在互聯(lián)網(wǎng)中的個體而言，做好自我防御，不斷筑高安全防御的底線依然十分必要，可以從以下常規(guī)安全防御操作“五件套入手：

1.數(shù)據(jù)：做好定期備份

將重要數(shù)據(jù)進(jìn)行多重備份，并保證這些數(shù)據(jù)不被暴露于公用網(wǎng)絡(luò)內(nèi)，嚴(yán)格限制對備份設(shè)備和備份數(shù)據(jù)的訪問權(quán)限，防止勒索軟件橫移對備份數(shù)據(jù)進(jìn)行加密，必要時甚至采取脫網(wǎng)本地備份。

2.文件：未知來源勿點擊

對于未知來源的文件不要直接打開，包括那些外接設(shè)備（U盤、硬盤）中未經(jīng)過安全掃描的文件。此外，不瀏覽色情、賭博等不良信息網(wǎng)站，此類網(wǎng)站經(jīng)常被攻擊者發(fā)起掛馬、釣魚等攻擊，也不要從不明網(wǎng)站下載安裝軟件，以防勒索軟件偽裝為正常軟件的更新升級。

3.郵件：警惕釣魚

釣魚郵件被認(rèn)為是釣魚或勒索攻擊中最為常見的突破口，其中可疑的鏈接及附件內(nèi)容常常暗藏“兇器”。為此要警惕來路不明的郵件，不要輕易點擊其中的鏈接或附件，對郵件或其中包含的URL要仔細(xì)審查，判斷是否采用合規(guī)、正常的域名，避免被定向至經(jīng)過偽裝的釣魚站點。

4.防御：勤殺毒、把關(guān)口

安裝和并及時更新防病毒軟件、防火墻和電子郵件過濾器，對系統(tǒng)進(jìn)行定期的漏洞掃描；關(guān)閉不必要的服務(wù)和端口，包括不必要的遠(yuǎn)程訪問服務(wù)（3389端口、22端口），以及不必要的135、139、445等局域網(wǎng)共享端口等。

5.預(yù)案：提前制定應(yīng)急響應(yīng)

針對重要信息系統(tǒng)，制定勒索軟件應(yīng)急響應(yīng)預(yù)案，明確應(yīng)急人員與職責(zé)，制定信息系統(tǒng)應(yīng)急和恢復(fù)方案，并定期開展演練；制定事件響應(yīng)流程，必要時請專業(yè)安全公司協(xié)助，分析清楚攻擊入侵途徑，并及時加固堵塞漏洞。