黑客赚钱是个众所周知的事实,但是,这个行业有多赚钱?黑客们又是怎样进行内部交易以避免互相倾轧?就像与其业务类似的黑手党和地下帮派的精密体系,黑客们也创立了他们自己的极其精密复杂的系统,而且其经营规模也是令人震惊的。
最近信息安全公司 Trustwave 向公众披露了一份关于互联网犯罪弱点的研究报告,研究显示,只要黑客知道怎样操作和向哪里下手,就能迅速敛取大量钱财。据保守估计,哪怕是最初级的黑客也能每月入账数万美元。
做到这一点并不难,入侵和漏洞利用程序售卖的世界中充斥着叫卖程序编码的小贩,黑客生态系统包含租售已做好的漏洞利用途径。这种服务在'克雷格列表'(Craigslist) 之类的网站有售,但只有黑客才能看到。使用这类网站的大多是俄罗斯人或东欧人,进入这些隐匿网络非常困难,因为只有获得其他网络罪犯的信任才可以加入,但一旦挤进这个圈子,即使是黑客新手也可以随意享用的大量恶意服务。
在此举个例子,想向网站注入恶意链接的黑客需要两个步骤:第一,找到登录流行网站的方法以植入恶意链接;第二,借用漏洞将恶意代码注入受害者主机。然后,黑客也许还想让恶意软件不被发现,不管什么样的需求,所有这些服务都是可用的、现成的、在线的,只要你出得起价钱。
地下黑客的运作方式与商业非常相似,想生意开张,你需要有物资和办公场地,这些都是要花钱的。一名黑客在起步之初可能的投资数额,总计大约有 5900 美元。
采用非常保守的估算,一个黑客每月可以成功虏获多少个受害者呢?如果漏洞植入到流量不错的页面,那每天可能会有 2 万名用户看到,其中估计只有 10% 会中招。而这 10% 中,如果漏洞是勒索软件,也就是绑架了受害者的文件直到支付赎金才解锁的那种,那么实际支付率又只有 0.5%,这么算下来,每天能入账 3000 美元,扣掉各项支出,每月能得 8.4 万美元。
实际上这些估算都很保守,但它们都是根据 Trustwave 查到的第一手交易数据得出的,其证明了地下黑客或其团伙使用不太难的网络犯罪手法大量掘取金钱。而这些网络犯罪技巧之所以卓有成效,是黑客行为已像上好油的机器般运转良好,它不再是黑客个人的行为,而是由某几个程序员提供他们的专业技能 (当然,要付钱的)。当你将黑客活动的所有部分拼接起来,你会发现一个真正复杂的黑客生态系统,与延续百年的工业生态体系有的一拼。
为了摸清这些地方到底在发生着什么,安全研究人员自己潜入到地下黑市中,以尽早地知道黑客们正在研制的恶意软件,并了解整个系统的运作方式。Trustwave 的研究已经进行了几年之久,如今已有很多内容可供展示,包括黑客团伙的敛金数额以及网络犯罪生态系统确切的运作方式。
1. 论坛:网络罪犯们出售货物的线上集市
论坛就是'克雷格列表的地下论坛形式',在上面可以看到这些犯罪分子是怎样为自己想出售的恶意软件做广告的。这是一个黑客和黑客团伙兜售货物的集市,木马、僵尸网络和其他恶意软件都能在这儿找到。不过,要进入到这些论坛非常困难,需要经过重重审查,以及其他罪犯的信任。
2. 漏洞利用工具包
漏洞利用工具包是网络罪犯得以成功实施大规模黑客活动的基本生活资料,它们有着各种方法分发恶意软件,包括使用漏洞利用代码'鸡尾酒'的隐身网页应用。
漏洞利用工具包为网络罪犯所钟爱是因为它们能提高犯罪成功率。以前,平均只有 10% 的用户成功中招,而如果采用新的更好的漏洞利用工具包则可以将成功率提升至 40% 之多。
漏洞利用工具包里有什么呢?这是一张漏洞利用工具包成分列表,这些东西就是网络罪犯付款购买的各种恶意软件,之后便会被他们进一步投放到毫无防备的受害者电脑中。
3. 在线黑客团伙
这是一个真实世界的案例,让我们看看一个名为 RIG 的俄罗斯黑客团伙,是怎样推广他们的漏洞利用工具包及其效果的。广告词是用俄语写就,但 Trustwave 翻译了其中重要部分,比如,RIG 自夸其漏洞利用代码'拥有利用大量网络流量的能力'。
这类漏洞利用工具包的要价基于租金,因此,一名黑客可以在世界上任何地方租用该工具包一天、一周或一个月,租金从 30 美元到 500 美元不等。500 美元听起来似乎很多,但对于丰富的利润来说,这真心不算贵。
4. 商业模式
RIG 的商业运作模式与零售业颇为相似,有仓库,也有经销商。一名 RIG 经理可以以不同的价格直接出售漏洞利用工具,或卖给其他的经销商。经销商再以更高的价格出售给其他黑客,RIG 在一周内能从这一个经理手中总共敛入 9 万多美元。
5. 其他商业模式
最普遍的商业模式就是 RIG 类型的,一级一级分销漏洞利用工具,但黑客团伙直接销售给顾客的新模式正在崛起。
不过,采用这种新模式,黑客团伙 (本案例中是 Magnitude) 是免费供给顾客他们的漏洞利用工具包,他们得到的,是客户分享给他们的一定比例的恶意软件访问量。分享比例基于恶意软件累积的访问量,而黑客团伙在得到支付过来的访问量时,就可以用任何想采用的恶意软件感染受害者了。
因此,如果买家想使用漏洞利用工具包,他们得将之注入到一个网站,但 5%~20% 不等的访问流量就直接送回到可对受害者为所欲为的原始卖家手中了。这种商业模式非常聪明,购买者不需要投入任何金钱,黑客团伙则可以从抓到的访问流量中获取大量金钱。这种形式的租赁系统在目前依然较为普遍。
6. 勒索软件
通过漏洞利用流量感染受害者主机的恶意软件 Magnitude 被称为'勒索软件',它遵循一个简单的概念:如果受害者被成功感染,其电脑上的文件就会被加密,意味着受害者无法访问所有这些数据。
很明显,受害者想要寻回对这些数据的控制权,不过,这需要付出代价。Magnitude 会要求受害者用比特币支付,赎金数额则决定于使用的是哪款勒索软件。这种网络勒索的形式是相当有利可图的,Trustwave 跟踪了流向勒索软件账户的比特币流,仅仅一周就有 6 万美元之多。
这是感染了勒索软件的受害者电脑上可能出现的一条通知消息,该消息特定于色情网站。黑客能将勒索软件的链接注入到色情网站中,然后恐吓受害者,令其相信自己因为浏览了非法网站而被敲诈了,然而,这不过是黑客迫使受害者付款的花招而已。
另一条勒索消息出现在美国,它是经过精心构思的,它引用了一条完全虚构的法律条文:'个人电脑使用疏忽',宣称用户若放任自己的电脑感染恶意软件将面临 9 年监禁。这条消息就是采用这一疯狂且完全难以理解的术语让受害者付款的,而他们也确实掏钱包了。尽管这些消息十分之假大空,但网络罪犯依然能获得大量的收益。
黑客在分发勒索软件时取信于用户的另一种方法,是证明自己可以真正恢复他们的文件。为做到这一点,他们会提供一种'增值服务',也就是让用户取回一两个之前还不能访问的文件。
7. 网络犯罪生态系统的另一面
除了售卖漏洞利用工具,有些黑客还出售能使这些工具更加有用的服务,马多尔称之为'外包服务',例子之一就是'代码混淆服务'。
代码混淆服务的工作方式是将恶意软件的一段代码抽出,做一些变形处理,让反病毒扫描器无法检测。安全公司每天辛勤工作就为了知道黑客在做的恶意软件是哪种,代码混淆让他们的样本库不断增长。为保持领先一步,黑客采用混淆战术以求伪装恶意软件来让它更加有效。
那么,代码混淆是怎样被推销的呢?首先,在广告里解释一番混淆是干什么的,然后出示一张'之前'检测出该恶意软件的反病毒程序列表,再附上一张享受了'混淆'服务'之后'该恶意软件能绕过的反病毒程序列表。(安全公司的名字是做过处理的)。
甚至还有折扣,有些黑客为招徕更多顾客而提供折扣。
8. 出售盗取的数字证书
使恶意软件保持不被侦测到的另一种方法是出售盗取的数字证书。通过网络传输的文件通常都有证书来保证可信度,一份签过名的证书就是知晓文件是否可信的途径,或者,它应该达到这种效果。某些黑客服务就能让恶意软件也经过签署,将被检测率大幅降低 80%。
有些黑客还提供更个性化的服务,只需 3000 美元,顾客便能得到一款定制黑客软件。
9. 技术防御与缓解措施
面对如此成熟的黑色产业链,企业和个人的防御策略至关重要。以下是针对上述威胁的技术缓解建议:
- 补丁管理:及时更新操作系统和应用程序,特别是浏览器和插件,以修复已知的漏洞利用入口。许多勒索软件和漏洞利用工具包依赖未修补的 CVE 漏洞。
- 邮件过滤:部署高级垃圾邮件过滤器,识别并拦截包含恶意附件或钓鱼链接的电子邮件,这是初始入侵的主要途径之一。
- 端点保护:使用具备行为分析能力的 EDR(端点检测与响应)解决方案,能够识别异常进程行为和加密活动,从而阻断勒索软件的执行。
- 备份策略:实施 3-2-1 备份原则(3 份副本,2 种介质,1 个异地),确保在遭受加密攻击后能快速恢复数据,减少支付赎金的压力。
- 用户意识培训:定期对员工进行网络安全意识培训,使其能够识别社会工程学攻击和可疑链接,减少人为失误导致的入侵。
10. 结语
到这儿,本文的介绍可以结束了,这只是对网络黑市和恶意黑客所提供服务的匆匆一瞥,没看到的还有很多。犯罪者总能找到方法在网络上骗人,获利,赚钱……,所以,网民们在上网的同时,也要多注意网络安全。随着技术的进步,防御手段也在不断演进,这是一场持续的攻防博弈。
