地下網絡黑產鏈:為何普通黑客也能月入80000美元?
黑客
【編者按】本文為青藤安全雷達小組原創編譯,原文:《Some hackers make more than $80,000 a month — here's how》,青藤今後將為雷鋒網讀者獨家講述那些少為人知的黑客及安全攻防故事。
就像組織嚴密的現代黑幫一樣,網絡黑產到如今已經商業化得非常成熟了,黑客們同樣擁有複雜精巧的產業鏈,每天在全球黑產網絡中流轉的交易額數以億計,整體規模更難以估測。
但其中每個黑客的具體收入如何?黑客是如何進行攻擊准備的?他們是如何進行內部交易的,並遵循某些規則不相互越界呢?
一些安全研究者長期潛伏在地下黑產網絡中,近距離觀察其運作模式——
盡管本文所披露的只是“地下世界的一瞬,不足以描述其萬分之一”,但還是為我們真實揭示了黑客世界不擇手段竊取金錢的產業鏈條。
首先,對於互聯網我們應該知道,可公開訪問的網站只占數據信息的一部分,如同海面之下的冰山,還存在一個更龐大的、采取非公開機制訪問的平行網絡世界——暗網。這裏才是一切法律嚴加打擊但暴利的交易活躍之地——如盜版、色情、買凶、軍火、恐怖分子,當然也包括黑客。
進入黑客聚集的地下交易場
匿名訪問的隱私黑客論壇是散落暗網中的黑客交易場,一旦你被黑客圈子或組織認可,能夠進入暗網中的黑客論壇上就可以找到各種非法服務,可以讓一個普通黑客都能快速發起一次網絡攻擊。
這些論壇無法搜索定位,需要很多的驗證程序及其他黑客會員擔保。上圖為一個俄羅斯黑客論壇的截圖,可以看到,這裏黑客正在推銷多款惡意軟件,包括特洛伊木馬、僵屍網絡等。
黑客基礎裝備之攻擊工具包(Exploit Kits)
Exploit Kits像瑞士軍刀一樣整合了網絡攻擊所需的眾多組件,使大規模網絡攻擊裝備化,因為大大提升了攻擊的成功率受到黑客的日益青睞,未使用之前,黑客的成功率一般為10%,使用之後就可能提升到40%。
那麼Exploit Kits裏面究竟有哪些構成呢?
上圖為一個典型Exploit Kits的“解剖切片”,可以看到有惡名昭彰的網銀木馬Zeus、Vawtrak、勒索軟件nymaim、比特幣敲詐病毒CTB-Locker等。
這是一個真實的由黑客打造的攻擊工具包叫做RIG,正在論壇上租售,這個帖子描述(文為俄語)了該工具包的應用環境是X86/X64下的Window系統,可繞過微軟用戶賬戶控制系統;支持大流量攻擊;擁有兩種不同的勒索付費通道;支持自動加載網頁鏈接;可應用到的多個漏洞列表;平均攻擊成功率達到10%~15%;保證不被殺毒軟件發現等特性。
更重要的是該工具包的租用費用:30美元24小時;150美元一周;500美元一個月。這個費用並不高。
攻擊工具包(Exploit Kits)的商業模式
RIG工具包的商用模式有些類似零售,有中央倉儲和多級經銷商,RIG可以直接向終端黑客銷售,同時也支持多級銷售,其他黑客可以將這個工具以更高的價格轉售出去,按照一周獲取600個客戶,每家支付150美元的話,RIG的周盈利高達9萬美元。
在“零售”模式之外,目前還時興一種“直銷分成”的商用模式,RIG制造者將工具免費提供給黑客,最終從攻擊成果中分成。
例如當黑客使用了該工具包侵入了一個網站,其中5~20%的流量歸“巨頭”控制,具體如何從中獲利也由“巨頭”自己把握。這種模式更加高明,購買者無需支付任何費用就有機會獲取可觀回報,肯定使用者眾多,同時也不影響RIG另外並行的“零售”交易。
在黑客產業鏈上,像RIG這樣的工具和其他服務(後續將一一介紹)的制造者才是產業中堅,他們隱身在實際執行攻擊的普通黑客之後,為其提供材料、裝備、服務,也獲得利潤中最豐厚的一層,被稱為“黑執事”(英文為Magnitude)。
為方便後續描述,先做提前說明,下文中的黑執事是黑客服務的提供者,黑客產業鏈的上遊。黑客就是網絡攻擊執行者,是產業鏈終端。受害者就是被攻擊的普通網絡用戶。
網絡綁票:勒索軟件正在流行
通過RIG工具包,黑客還可以分發惡名昭著的勒索軟件Cryptowall,勒索軟件采取一個簡單粗暴的吸金邏輯,當受害者的電腦被感染,電腦中的文件就會被加密,受害者無法再訪問自己的文件,如果想要回控制權,就要按照黑客要求繳納贖金,一般是比特幣。
最近網絡勒索事件層出不窮,很多用戶或企業都深受其害,據觀察,一個勒索賬戶一周就可以收到6萬美元。
勒索軟件善於抓住人們的心理弱點,黑客也喜歡入侵色情網站並注入惡意鏈接,當用戶點擊了這些惡意鏈接進入非法網站時,黑客就有無數種辦法勒索用戶。
這是一個真實的用戶收到的勒索軟件恐嚇信息:
首先恐嚇用戶做了壞事被發現,所以才有這一劫,告知文件已被加密,利用用戶下意識的花錢免災的心理,要求其繳納贖金獲得解密密碼,如果12個小時後還沒有繳納,電腦將永遠不可使用。
這是另一個設計更加精妙的勒索軟件信息,黑客偽造了網址,讓受害者以為是來自政府機構FBI的通告,甚至虛構了一個法律罪名叫做“個人電腦管理不妥善使用罪”,基於這個完全胡扯的法律名目,受害者被指控三項罪名:
非法下載傳播有版權的電子資產。
瀏覽和傳播色情資料。
電腦在受害者不知情的情況下,被定位為惡意軟件的傳播源。所以電腦文件被加密鎖定,受害者需繳納贖金來解鎖。
盡管這些消息看起來毫無依據,但結果是勒索軟件正源源不斷收到贖金。
更絕的是為了讓受害者相信交錢後文件可以恢複,勒索軟件還提供一個“免費測試機會”,點擊後,受害者的文件可以解鎖一到五個,但無法指定,這個功能出現在頂級勒索軟件CoinVault和CTB Locker中。
黑色產業鏈中的專業外包服務:幫助惡意軟件逃脫檢測
除了出售工具包,一些黑執事還出售其他附加服務提升攻擊成功率,這些服務可以稱之為黑客產業鏈上的“專業外包服務”,其中之一為“檢測逃脫”服務。當該服務加載到惡意軟件時,就可以逃脫殺毒軟件的掃描。要知道,目前安全公司最主要的工作就是分析病毒特征並更新到自己的病毒庫。
這項服務在黑客論壇公然出售,廣告上一般會列出效果對比,如上圖看到的,使用了服務,全球35個殺毒軟件中27個可檢測到,而使用後則全部免疫。
黑執事很懂生意,他們有時會提供特殊折扣吸引顧客,上圖寫著,下個月每周一前三個顧客可享受一單免費的優惠。
一些甚至提供定制服務,例如客戶購買一個3000美元的黑客攻擊軟件,附送一個月的免費支持,額外服務支持一個月需加300美元。
普通黑客發起一項攻擊需要投入多少?
正如你所見,黑客發起一項攻擊需要做好准備工作以及物資采購,那麼大概需要花費多少錢呢?
一般來說,你需要購買或者租用工具包,並附加一些服務增加成功率,特別是付費通道來收取費用,還需要購買一些流量,讓我們計算一下:
付費通道購買:3000美元一個月
檢測逃脫服務:20美元*30天=600美元
攻擊工具包:500美元一個月
流量:300美元*6=1800美元
共計:5900美元/月
投入總計大約5900美元一個月,看起來很多對嗎?那讓我們看看黑客可以賺到多少?
一個月黑客可以賺到多少錢?
在支出6萬美元之後,黑客一定是預期回報遠大於投入的,事實也是這樣的。
在觀測到的數據上再做保守估算,平均每天有2萬人點擊惡意鏈接,一般大概有10%的幾率被感染,如果用了勒索軟件,大概又有0.5%的受害者付費。這意味著,黑客日收入大概是3,000美元,除去前期支出,月收入高達8,4000美元。
日平均點擊惡意鏈接用戶數:20,000
通常工具攻擊包的成功率:10%
受害者付費比:0.5%
日收入:20,000美元*10%*0.5%*300美元=3000美元
月收入:90,000美元
淨收入:90,000 -5,900 =84,100美元
在黑客產業鏈的支持下,一個不需要有多高技術能力的黑客也可以輕易通過攻擊活動賺得盆滿缽盈,這也是當前網絡安全事件異常猖獗的主要原因。
黑客服務之數字證書簽名服務
數字證書就是互聯網通訊中標志通訊各方身份信息的一串數字,提供了一種在Internet上驗證通信實體身份的方式。它是由權威機構——CA機構,又稱為證書授權(Certificate Authority)中心發行的,人們可以在網上用它來識別對方的身份。
通常情況下,已簽名的證書就代表著值得信任。
但一些黑客服務已開始出售惡意軟件的簽名服務,可以將檢測幾率降低80%。如圖所示,這個簽名服務聲稱可提供來自Thawte和Comodo證書授證(Certificate Authority)中心的簽名服務,可用於任何可執行文件,費用為$600。
黑客服務之IP信譽庫
這項服務解釋起來有些困難,IP就是網絡地址。正常情況下,IP信譽庫一般被安全機構用於辨識、過濾、阻斷那些垃圾郵件發布機構,或者不受信任的惡意網站,但由於官方機構和安全廠商自己也會有官方IP地址以及用於誘捕惡意軟件的“蜜罐”IP地址,所以黑客如果提前知道這些IP地址,就可以避過或者欺騙來這些目標的訪問。
上圖中的服務廣告宣傳定期更新來自FBI、各大安全服務商的“蜜罐”IP,降低了黑客被捕捉的幾率。
虛假殺毒軟件
有沒有想過,最恐怖的罪犯是什麼樣的?如果有些罪犯披著警服呢?
有一種惡意軟件叫做虛假殺毒軟件(或者流氓殺毒軟件),其理念非常簡單——看起來像反病毒產品,靠效果欺詐賺錢。
這種軟件在名稱、界面、功能上全盤模仿正規殺軟,當你點擊掃描時,會出現很長的感染警告,但沒一個是真的。但由於效果驚人,受害者反而需要付一大筆錢給這個虛假軟件,一般是$50~$70一個license,用戶量往往數以萬計。據了解,某個國際虛假殺毒軟件由三個黑客維護,年收入近百萬美元。
黑客工具之Web Shells:非法控制網站服務的鑰匙
還有一種黑客主要針對網站,由於很多網站的運維管理很差,黑客可以很輕易攻入網站服務並取得全部權限,從而也獲得網站上很多機密數據如用戶信用卡信息等。使用Web Shells是攻擊網站服務的主要方式之一。基於Web Shells,黑客可以上傳文件,在網站內自動添加惡意鏈接,操作本地文件等。
Web Shells的價值主要取決於它可以攻破的網站價值,所以從上圖看到,當售賣Web Shells時,也會列出目標網站Alexa排名和獨立訪客量等指標。
更嚴重的Web Shell可用於滲透那些掌握了客戶信用卡等重要信息的網站,例如電子商務、金融等。盜取這些用戶信息還可用於其他黑客活動。據安全專家估計,每個月都有數千網站被滲透。
黑產之用戶數據交易
用戶個人信息在黑客看來是很有價值的,特別是那些涉及到支付的信用卡信息,上圖是一個黑客發布在論壇上售賣信用卡賬戶數據的帖子,價格取決於客戶餘額,一般來說,如果一條賬戶餘額為$100,000的用戶信息價格為$10。
甚至產生了專門售賣信用卡信息的網站,用戶記錄數以萬計,如上圖這個活躍的網站,有供出售的信用卡記錄近800頁,很多記錄都是最近添加的。
購買這些數據非常簡單,就像其他電子商務網站一樣,可以自由選擇購買,支持比特幣支付。
一路看下來的你一定對網絡犯罪有了全新認識,而且這裏所揭示的也不過是冰山一角,網絡安全和黑客攻擊一直在持續鬥爭,所謂道高一尺,魔高一丈,但用戶特別是企業的安全意識是其中決定性砝碼,認真研究攻防,築起防護門檻,保持警惕狀態,做好響應預案,都可以讓黑客攻擊的成本提升,減少受害幾率。