如同组织严密的现代黑手党,网络犯罪如今已商业化得十分成熟,黑客也有着复杂精细的产业链,全球黑产网络每天流经数十亿笔交易,整体规模更是难以估算。
但每个黑客能赚多少钱?黑客如何准备攻击?他们如何进行内部交易并遵循某些规则以避免越界?
一些安全研究人员长期潜伏在地下黑市网络中,近距离观察其运作模式。
虽然本文所披露的只是“地下世界的一瞬间,不足以描述其中的万分之一”,但它还是向我们揭示了黑客世界不择手段盗取金钱的产业链。
首先我们要知道,可以公开访问的网站只是互联网数据信息的一部分。就像海底的冰山一样,还有一个更大的平行网络世界,通过非公开的机制来访问——暗网。这里活跃着所有受到法律严厉打击但利润极高的交易——盗版、色情、雇佣杀手、军火、恐怖分子,当然还有黑客。
进入黑客聚集的地下交易场所
匿名隐私黑客论坛是散布在暗网中的黑客交易场所,一旦得到黑客圈子或组织的认可,可以进入暗网中的黑客论坛,就能发现各种非法服务,这让普通黑客可以快速发动网络攻击。
这些论坛无法被搜索和定位,需要经过很多验证程序和其他黑客成员的担保。上图是俄罗斯黑客论坛的截图,黑客们正在论坛上推广各种恶意软件,包括木马、僵尸网络等。
黑客基本装备攻击工具包()
它就像一把瑞士军刀,集成了网络攻击所需的多种组件,使大规模网络攻击成为一种装备。它越来越受到黑客的青睐,因为它大大提高了攻击的成功率。在使用之前,黑客的成功率一般是10%,但使用之后,可能会提高到40%。
那么里面到底有些什么呢?
上图是典型的“解剖切片”,其中可以看到臭名昭著的网银木马Zeus、勒索病毒CTB-、比特币勒索病毒等等。
这是由名为RIG的黑客制作的真实攻击工具包,正在论坛上出租出售。该帖子用俄语介绍说,该工具包的应用环境是X86/X64下的系统,可以绕过微软用户账户控制系统;支持大容量攻击;拥有两种不同的赎金支付渠道;支持自动加载网页链接;可应用于多个漏洞列表;平均攻击成功率达到10%~15%;保证不会被杀毒软件发现等。
更重要的是,该工具包的租赁费用为24小时30美元,一周150美元,一个月500美元,这个费用并不算高。
漏洞工具包的商业模式
RIG 工具包的商业模式有点类似零售,有中央仓库和多级分销商。RIG 可以直接向终端黑客销售,也支持多级销售。其他黑客可以以更高的价格转售这款工具。如果 RIG 每周获得 600 名客户,每人支付 150 美元,其每周利润可高达 9 万美元。
除了“零售”模式外,目前还流行一种“直销、分成”的商业模式,即RIG制造商免费向黑客提供工具,并最终分享攻击成果。
比如当黑客使用工具包攻破一个网站后,5-20%的流量会被“巨头”控制,如何从中获利也由“巨头”自己决定。这种模式比较高明,买家有机会在不支付任何费用的情况下获得可观的回报。肯定会有不少用户,而且不会影响RIG的其他平行“零售”交易。
在黑客产业链中,RIG等工具和服务(后面会逐一介绍)的制造者是产业的中坚力量,他们隐藏在真正实施攻击的普通黑客背后,为其提供材料、设备和服务,自己也获取最丰厚的利润层,他们被称为“黑管家”(英文:Black )。
为了方便后面的描述,我先提前说明一下,下文中的黑管家是黑客服务的提供者,是黑客产业链的上游;黑客是网络攻击的执行者,是产业链的终端;受害者是被攻击的普通网络用户。
网络绑架:勒索软件正在崛起
通过RIG工具包,黑客还能传播臭名昭著的勒索病毒,该病毒采用简单粗暴的赚钱逻辑。当受害者的电脑被感染后,电脑中的文件将被加密,受害者将无法再访问自己的文件。如果受害者想重新获得控制权,就必须支付黑客要求的赎金,通常是以比特币支付。
近期网络勒索事件频发,不少用户或企业因此遭受重创,有观察显示一个勒索账户一周就能收到6万美元。
勒索病毒善于利用人们的心理弱点,黑客也喜欢入侵色情网站,注入恶意链接,当用户点击这些恶意链接进入非法网站时,黑客有无数种勒索用户的方法。
这是真实用户收到的勒索威胁信息:
首先威胁用户,说他做了坏事被发现了,所以才会遭遇这场灾难。然后告知用户文件已被加密。利用用户想花钱避免灾难的潜意识,勒索用户支付赎金以获取解密密码。如果 12 小时后仍未支付赎金,计算机将永远无法使用。
这又是一条更为精妙的勒索信息,黑客伪造了网址,让受害者以为这是来自政府机构 FBI 的通知,甚至编造了“不当使用个人电脑管理”的法律罪名。根据这个完全胡说八道的法律名称,受害者被指控三项罪名:
虽然这些信息似乎毫无根据,但结果是勒索软件正在收到源源不断的赎金。
更离谱的是,为了让受害者相信付钱后文件就能恢复,该勒索病毒还提供了“免费试用机会”,点击后受害者的文件可解锁一至五次,但无法指定次数,该功能出现在顶级勒索病毒中。
黑色产业链专业外包服务:帮助恶意软件逃避检测
除了售卖工具包,一些黑管家还会售卖其他附加服务,以增加攻击成功率。这些服务在黑客产业链中可以称为“专业外包服务”。其中一项就是“检测逃逸”服务,当这项服务被加载到恶意软件中时,可以逃避杀毒软件的扫描。要知道,安全公司目前的主要工作就是分析病毒特征,并更新到自己的病毒库中。
这项服务在黑客论坛上公开出售,广告中一般会列出效果对比,如上图所示,使用该服务时,全球35款杀毒软件中有27款可以检测到,使用后全部免疫。
黑执事很有商业头脑,他们有时会推出特别折扣来吸引顾客。上图是说下个月每周一前三位顾客可以享受一次免费订单。
有些甚至提供定制服务,例如客户购买 3,000 美元的黑客软件,附带一个月的免费支持,并且每月额外支付 300 美元可获得额外的服务支持。
一般黑客发动一次攻击需要花费多少钱?
可以看到,发动一次攻击需要做好准备,也需要采购物资,那么需要花费多少钱呢?
一般来说,你需要购买或者租用工具包,并且增加一些服务来提高成功率,特别是付费渠道要收费,还需要购买一些流量。我们来算一下:
付费频道购买:每月 3,000 美元
逃逸检测服务:20 美元*30 天 = 600 美元
漏洞工具包:每月 500 美元
流量:300 美元*6=1800 美元
总计:$5900/月
总计每月约 5,900 美元,这看起来很多吧?那么让我们看看黑客能赚多少钱。
一名黑客一个月能赚多少钱?
在花费了6万美元之后,黑客肯定期望获得的回报将远远大于投资,事实也确实如此。
根据观察到的数据,保守估计每天平均有2万人点击恶意链接,被感染的概率为10%。如果使用勒索病毒,大约有0.5%的受害者会付费。这意味着黑客每天的收入约为3000美元,扣除前期开支后,每月收入高达8.4万美元。
平均每天点击恶意链接的用户数量:20,000
常见攻击套件成功率:10%
受害者赔偿率:0.5%
每日收入:20000美元*10%*0.5%*300=3000美元
月收入:9万美元
净收入:90,000 美元 - 5,900 美元 = 84,100 美元
有了黑客产业链的支持,一个不需要很高技术水平的黑客就可以通过攻击活动轻松发财,这也是当前网络安全事件极其猖獗的主要原因。
黑客服务 数字证书签名服务
数字证书是互联网通讯中标记通讯双方身份信息的一串数字,提供一种在线验证通讯主体身份的手段,它由权威机构CA颁发,又称证书颁发机构(CA),人们可以通过它在网上相互识别对方。
一般来说,签名的证书意味着它是值得信赖的。
但一些黑客服务已经开始出售可以将检测几率降低 80% 的恶意软件签名服务。如图所示,该签名服务声称提供来自认证机构 (CSA) 的签名服务,可用于任何可执行文件,费用为 600 美元。
黑客服务 IP 信誉数据库
这个服务有点难解释。IP 是网络地址。正常情况下,IP 信誉数据库一般被安全机构用来识别、过滤和封锁垃圾邮件发布机构或不受信任的恶意网站。但由于官方机构和安全厂商也有官方 IP 地址和用于诱捕恶意软件的“蜜罐”IP 地址,如果黑客事先知道这些 IP 地址,就可以避开或欺骗访问这些目标。
上图中的服务广告会定期更新来自FBI和各大安全服务提供商的“蜜罐”IP,降低黑客被抓住的几率。
假冒防病毒软件
有没有想过最可怕的罪犯长什么样?如果他们中有人穿着警服会怎么样?
有一种恶意软件被称为假防病毒软件(或流氓防病毒软件),其理念非常简单 - 它看起来像一个防病毒产品,并通过其有效性欺骗人们来赚钱。
这类软件在名称、界面、功能上完全模仿正规杀毒软件,点击扫描后会出现长长的感染警告,但一点都不是真的。但由于效果惊人,受害者不得不向这种假冒软件支付一大笔钱,通常每件 50~70 美元,使用人数往往数以万计。据了解,某国际假冒杀毒软件由三名黑客维护,年收入近百万美元。
黑客工具:非法控制网站服务的关键
还有一类黑客主要针对网站。由于很多网站运维管理不善,黑客可以轻易侵入网站服务,获得全部权限,从而获取网站上大量机密数据,如用户信用卡信息等。利用恶意软件是攻击网站服务的主要方式之一。基于恶意软件,黑客可以上传文件、自动添加网站恶意链接、操作本地文件等。
一个目标的价值主要看它能攻占的网站的价值,所以从上图可以看到,在出售的时候,也会列出目标网站的Alexa排名,独立访客数量等指标。
更严重的情况下,还可以入侵持有客户信用卡等重要信息的网站,如电子商务、金融等,窃取的用户信息还可用于其他黑客活动,据安全专家介绍,每月有数千个网站被入侵。
黑市:用户数据交易
用户个人信息对黑客来说非常有价值,尤其是与支付相关的信用卡信息。上图是黑客在论坛上发布的出售信用卡账户数据的帖子,价格取决于客户的余额。一般来说,如果用户的账户余额为10万美元,价格为10美元。
甚至有专门出售信用卡信息的网站,拥有数以万计的用户记录。例如,上图所示的活跃网站有近 800 页信用卡记录待售,其中许多都是最近添加的。
购买这些数据非常简单,就像其他电子商务网站一样,您可以选择自由购买,并支持比特币支付。
一路看完,你一定对网络犯罪有了全新的认识,而这里所揭露的只是冰山一角。网络安全与黑客攻击一直在持续斗争。俗话说,魔鬼总是比圣人领先一步,但用户尤其是企业的安全意识才是决定性因素。认真研究攻防、构建防护门槛、保持警惕、做好应对预案,可以提高黑客攻击的成本,降低受害几率。