揭秘盗号黑金：黑客集团的产业链

◎文/苗得雨
   陕西的林华是武林外传在普通不过的一个玩家了，在虚拟的时空中他有着和现实生活一样的需求——金币和荣耀，但如果你追问他一掷千金购买那些梦幻装备来自何方，最终你会顺着一条复杂的黑金链条到达远在广东江门的一台服务器。
   这是最普通不过的一台托管服务器，但支撑这台服务器的却是一个成规模的挂马集团，通过这些集团的黑手，形成了一个分工有序的庞大盗号产业链。在这个产业链中滚滚流动的黑金，黑客，账号，木马等罪恶的利益。他们搅动着虚拟世界中的风云变幻，神秘而隐蔽，在云遮雾绕中很少有媒体能够查访到真相，但今天，我们完成这一“不可能完成的叙述”，一些不为人知的内幕得以揭开……
  
盗号集团赚取的第一桶金
   2009年3月6日，住在海口的李飞像往常一样打开电脑进入武林外传，然而系统提示他密码不正确，连续输入了几次之后，他意识到最坏的事情发生了，他的游戏账号被盗了。而更令他吃惊一幕发生在银行大厅，当他翻开自己的银行对账单时，他发现对账单中多了一项电子汇款，这是一笔只有200元的汇款，账单中没有显示任何其它的信息，没有接收汇款人的姓名，也没有其它注释。
   李飞在过去的几个月内，都没有办理过任何汇款业务，在他记忆力也没有支出过任何200元整的消费。而面对李飞的质问，银行工作人员也只能够无奈的告诉他，钱是在他自己的账户中汇走的，他们并没有能力帮助李飞查询到这笔“小钱”究竟是做什么的。
   李飞的愤怒情绪几乎延续到了今天，而现在他唯一能够确认的是，这笔钱是被某个在网页中挂马的黑客偷走了，被盗之前他也听说过挂马及黑客，但是没有想到自己会成为其中的一名受害者，更让超出李飞想象的是，他并不是唯一的受害者，他只是上百万个挂马受害者中的一个。
   金山副总裁王欣认为，木马病毒背后早已形成了一条巨大的黑色产业链。目前在这条产业链中，不论是制造木马、传播木马、盗窃账户信息，还是第三方平台销赃、洗钱，已经形成了一个非常完善的流水线作业程序。
   另一位锐甲反挂马专家告诉我们，这些千千万万个受害者电脑中的各种账号最终会被洗白变成真金白银，而这些通过盗号获取来的黑金最终会被多个复杂而庞大的集团瓜分掉。激活这个庞大产业链的首先是盗号集团。
   与以往黑客单打独斗不同，盗号集团分工明晰，网游和网银账号并不互相交叉。锐甲的反病毒专拣认为，李飞的网游账号被盗后很快会有集团内的小弟将账号中的装备转移走，然后经过洗钱一样的程序洗白，洗白的装备被批发转手倒卖给各类装备交易商，换成最终流向盗号集团的黑金。
  
挂马集团撬开你电脑的大门
   然而，盗号集团并不是这笔黑金最终的归属，这笔黑金最大的一部分要分给盗号集团的上游——挂马集团。挂马集团是整个产业链的核心，也掌握着盗号集团的命运。他们在整个产业链中负责难度最高的挂马工作。
   根据锐甲反挂马团队追踪发现，挂马集团通过制作黄色网站或入侵具有一定人气的网站，将木马病毒挂到网站中，无数的受害者都会感染挂马集团特制的一种下载器木马，这种木马程序并不会直接盗取用户各种账号信息。和其它病毒不一样，这种“无毒”的程序叫下载器，它只是在用户的电脑中打开了一扇门，一扇黑客可以任意出入的门。
   而盗号集团正是利用这些可以随时出入的后门，将各种盗号病毒二次植入受害者的电脑中。为了能够达到植入尽量多电脑的目的，盗号集团会选择那些流量最大的挂马集团。根据金山毒霸云安全中心报告显示，虽有数以万计的网站被挂马，但实际却被指向到6家挂马集团，他们的攻击次数超过总攻击量的90%。
   之所以会出现这种大型的挂马集团，主要是挂马所利用的漏洞非常集中，数量很少。但新的高危漏洞被利用越来越快，甚至出现0day漏洞被大量利用。此外，网马、下载器、盗号木马都拥有庞大的受害者群体，也就是黑客口中的肉鸡。为应对杀毒软件的剿杀，这些恶意程序要不断更新，需要投入更多的网络带宽，财力不济的挂马集团在竞争中被踢出局，使得挂马集团走向垄断。
   由于集团化更加庞大，盗号集团盗取来的黑金大半会流入挂马集团，他们首先首先会支付给挂马集团相当可观的入门费用，以及病毒下载器的推广费用，这些费用利用挂马集团下载器植入自己的盗号程序，而根据行业价格，平均植入一个盗号木马的价格在3000元左右。
   金山的安全专家表示，一个名为螃蟹集团的组织目前是最为活跃的盗号集团，他们利用名为猫癣的下载病毒，疯狂的帮助盗号集团捆绑木马，而猫癣病毒每次可以28个盗号木马，如果仅仅计算这笔费用，那么作为挂马幕后黑手的螃蟹集团一个月的交易额就在84万元，而一年的总收入就会高达1000万人民币。这些黑金是激活挂马集团拼命释放病毒获取肉鸡的源动力。
   然而这个庞大帝国的黑金到此时并没有停止，由挂马集团这里开始逐渐分流。
  
黑金流向的最后一站
   在从盗号集团手中收取的佣金中，挂马集团会拿出相当一部分用来购买自己的“武器装备”，这种装备就是他们所用的病毒下载器。开发这种程序的是专门的木马工作室，他们通常会推出带有自己品牌的木马，例如“猫癣下载器”就是一种。
   制造这些下载器的病毒团伙收入丰厚超出了一般程序员的想象，以时下最为流行的猫癣下载器为例，目前售价在20万左右人民币。而在通常的情况下，这种特制的木马下载器每年至少能够出售两套，因此仅单买下载器一项，病毒工作室就从挂马集团那里能够分的至少40万元的黑金。
   而除了这一项之外，挂马集团还会给有实力的病毒工作室提供售后服务佣金，这部分佣金主要作为下载器被查杀后再次进行免杀的费用。根据某木马工作室的内部报价，每次下载器变种免杀的服务费用是5万元，而根据反病毒专家提供的数字显示，每个下载器病毒通常每年会至少出现变种20次变种计算，这些病毒工作室在变种免杀一项中的收入就可高达200万。
　　网络中一般的病毒作者工作室都是一到两人组成，分别扮演项目经理和实施人员角色。而通常情况下，项目经理是‘带头大哥’，会分得三分之二的收入上百万元左右薪金，而即使是‘二线小弟’也能获得上几十万年薪。
   锐甲反挂马团队认为，另一条分支来自于挂马集团服务器维护费用，他们通过频繁更换服务器达到隐藏自己的目的，但是对于现金流量近千万的挂马集团来讲，服务器只是这笔黑金中的小开销，这些开销都由李飞这样的受害者创造，再由林华这样的购买者消费，形成一个无限循环的黑金市场。