揭秘网络黑产链:为何普通黑客能月入 8 万美元?

就像组织严密的现代黑帮一样,网络黑产到如今已经商业化得非常成熟了,黑客们同样拥有复杂精巧的产业链,每天在全球黑产网络中流转的交易额数以亿计,整体规模更难以估测。

但其中每个黑客的具体收入如何?黑客是如何进行攻击准备的?他们是如何进行内部交易的,并遵循某些规则不相互越界呢?

一些安全研究者长期潜伏在地下黑产网络中,近距离观察其运作模式——

尽管本文所披露的只是“地下世界的一瞬,不足以描述其万分之一”,但还是为我们真实揭示了黑客世界不择手段窃取金钱的产业链条。

首先,对于互联网我们应该知道,可公开访问的网站只占数据信息的一部分,如同海面之下的冰山,还存在一个更庞大的、采取非公开机制访问的平行网络世界——暗网。这里才是一切法律严加打击但暴利的交易活跃之地——如盗版、色情、买凶、军火、恐怖分子,当然也包括黑客。

进入黑客聚集的地下交易场

匿名访问的隐私黑客论坛是散落暗网中的黑客交易场,一旦你被黑客圈子或组织认可,能够进入暗网中的黑客论坛上就可以找到各种非法服务,可以让一个普通黑客都能快速发起一次网络攻击。

这些论坛无法搜索定位,需要很多的验证程序及其他黑客会员担保。上图为一个俄罗斯黑客论坛的截图,可以看到,这里黑客正在推销多款恶意软件,包括特洛伊木马、僵尸网络等。

黑客基础装备之攻击工具包(Exploit Kits)

Exploit Kits像瑞士军刀一样整合了网络攻击所需的众多组件,使大规模网络攻击装备化,因为大大提升了攻击的成功率受到黑客的日益青睐,未使用之前,黑客的成功率一般为10%,使用之后就可能提升到40%。

那么Exploit Kits里面究竟有哪些构成呢?

上图为一个典型Exploit Kits的 “解剖切片”,可以看到有恶名昭彰的网银木马Zeus、Vawtrak、勒索软件nymaim、比特币敲诈病毒CTB-Locker等。

这是一个真实的由黑客打造的攻击工具包叫做RIG,正在论坛上租售,这个帖子描述(文为俄语)了该工具包的应用环境是X86/X64下的Window系统, 可绕过微软用户账户控制系统;支持大流量攻击;拥有两种不同的勒索付费通道;支持自动加载网页链接;可应用到的多个漏洞列表;平均攻击成功率达到 10%~15%;保证不被杀毒软件发现等特性。

更重要的是该工具包的租用费用:30美元24小时;150美元一周;500美元一个月。这个费用并不高。

攻击工具包(Exploit Kits)的商业模式

RIG工具包的商用模式有些类似零售,有中央仓储和多级经销商,RIG可以直接向终端黑客销售,同时也支持多级销售,其他黑客可以将这个工具以更高的价格转售出去,按照一周获取600个客户,每家支付150美元的话,RIG的周盈利高达9万美元。

在“零售”模式之外,目前还时兴一种“直销分成”的商用模式,RIG制造者将工具免费提供给黑客,最终从攻击成果中分成。

  例如当黑客使用了该工具包侵入了一个网站,其中5~20%的流量归“巨头”控制,具体如何从中获利也由“巨头”自己把握。这种模式更加高明,购买者无需支付任何费用就有机会获取可观回报,肯定使用者众多,同时也不影响RIG另外并行的“零售”交易。

在黑客产业链上,像RIG这样的工具和其他服务(后续将一一介绍)的制造者才是产业中坚,他们隐身在实际执行攻击的普通黑客之后,为其提供材料、装备、服务,也获得利润中最丰厚的一层,被称为“黑执事”(英文为Magnitude)。

为方便后续描述,先做提前说明,下文中的黑执事是黑客服务的提供者,黑客产业链的上游。黑客就是网络攻击执行者,是产业链终端。受害者就是被攻击的普通网络用户。

网络绑票:勒索软件正在流行

通过RIG工具包,黑客还可以分发恶名昭著的勒索软件Cryptowall,勒索软件采取一个简单粗暴的吸金逻辑,当受害者的电脑被感染,电脑中的文件就会被加密,受害者无法再访问自己的文件,如果想要回控制权,就要按照黑客要求缴纳赎金,一般是比特币。

最近网络勒索事件层出不穷,很多用户或企业都深受其害,据观察,一个勒索账户一周就可以收到6万美元。

勒索软件善于抓住人们的心理弱点,黑客也喜欢入侵色情网站并注入恶意链接,当用户点击了这些恶意链接进入非法网站时,黑客就有无数种办法勒索用户。

这是一个真实的用户收到的勒索软件恐吓信息:

首先恐吓用户做了坏事被发现,所以才有这一劫,告知文件已被加密,利用用户下意识的花钱免灾的心理,要求其缴纳赎金获得解密密码,如果12个小时后还没有缴纳,电脑将永远不可使用。

这是另一个设计更加精妙的勒索软件信息,黑客伪造了网址,让受害者以为是来自政府机构FBI的通告,甚至虚构了一个法律罪名叫做“个人电脑管理不妥善使用罪”,基于这个完全胡扯的法律名目,受害者被指控三项罪名:

    非法下载传播有版权的电子资产。

    浏览和传播色情资料。

    电脑在受害者不知情的情况下,被定位为恶意软件的传播源。所以电脑文件被加密锁定,受害者需缴纳赎金来解锁。

尽管这些消息看起来毫无依据,但结果是勒索软件正源源不断收到赎金。

更绝的是为了让受害者相信交钱后文件可以恢复,勒索软件还提供一个“免费测试机会”,点击后,受害者的文件可以解锁一到五个,但无法指定,这个功能出现在顶级勒索软件CoinVault和CTB Locker中。

黑色产业链中的专业外包服务:帮助恶意软件逃脱检测

除了出售工具包,一些黑执事还出售其他附加服务提升攻击成功率,这些服务可以称之为黑客产业链上的“专业外包服务”,其中之一为“检测逃脱”服务。 当该服务加载到恶意软件时,就可以逃脱杀毒软件的扫描。要知道,目前安全公司最主要的工作就是分析病毒特征并更新到自己的病毒库。

这项服务在黑客论坛公然出售,广告上一般会列出效果对比,如上图看到的,使用了服务,全球35个杀毒软件中27个可检测到,而使用后则全部免疫。

黑执事很懂生意,他们有时会提供特殊折扣吸引顾客,上图写着,下个月每周一前三个顾客可享受一单免费的优惠。

一些甚至提供定制服务,例如客户购买一个3000美元的黑客攻击软件,附送一个月的免费支持,额外服务支持一个月需加300美元。

普通黑客发起一项攻击需要投入多少?

正如你所见,黑客发起一项攻击需要做好准备工作以及物资采购,那么大概需要花费多少钱呢?

一般来说,你需要购买或者租用工具包,并附加一些服务增加成功率,特别是付费通道来收取费用,还需要购买一些流量,让我们计算一下:

付费通道购买:3000美元一个月

检测逃脱服务:20美元*30天=600美元

攻击工具包:500美元一个月

流量:300美元*6=1800美元

共计:5900美元/月

投入总计大约5900美元一个月,看起来很多对吗?那让我们看看黑客可以赚到多少?

一个月黑客可以赚到多少钱?

在支出6万美元之后,黑客一定是预期回报远大于投入的,事实也是这样的。

在观测到的数据上再做保守估算,平均每天有2万人点击恶意链接,一般大概有10%的几率被感染,如果用了勒索软件,大概又有0.5%的受害者付费。这意味着,黑客日收入大概是3,000美元,除去前期支出,月收入高达8,4000美元。

日平均点击恶意链接用户数:20,000

通常工具攻击包的成功率:10%

受害者付费比:0.5%

日收入:20,000美元10%0.5%*300美元=3000美元

月收入:90,000美元

净收入:90,000 -5,900 =84,100美元

在黑客产业链的支持下,一个不需要有多高技术能力的黑客也可以轻易通过攻击活动赚得盆满钵盈,这也是当前网络安全事件异常猖獗的主要原因。

黑客服务之数字证书签名服务

数字证书就是互联网通讯中标志通讯各方身份信息的一串数字,提供了一种在Internet上验证通信实体身份的方式。它是由权威机构——CA机构,又称为证书授权(Certificate Authority)中心发行的,人们可以在网上用它来识别对方的身份。

通常情况下,已签名的证书就代表着值得信任。

但一些黑客服务已开始出售恶意软件的签名服务,可以将检测几率降低80%。如图所示,这个签名服务声称可提供来自Thawte和Comodo证书授证(Certificate Authority)中心的签名服务,可用于任何可执行文件,费用为$600。

黑客服务之IP信誉库

这项服务解释起来有些困难,IP就是网络地址。正常情况下,IP信誉库一般被安全机构用于辨识、过滤、阻断那些垃圾邮件发布机构,或者不受信任 的恶意网站,但由于官方机构和安全厂商自己也会有官方IP地址以及用于诱捕恶意软件的“蜜罐”IP地址,所以黑客如果提前知道这些IP地址,就可以避过或 者欺骗来这些目标的访问。

上图中的服务广告宣传定期更新来自FBI、各大安全服务商的“蜜罐”IP,降低了黑客被捕捉的几率。

  虚假杀毒软件

有没有想过,最恐怖的罪犯是什么样的?如果有些罪犯披着警服呢?

有一种恶意软件叫做虚假杀毒软件(或者流氓杀毒软件),其理念非常简单——看起来像反病毒产品,靠效果欺诈赚钱。

这种软件在名称、界面、功能上全盘模仿正规杀软,当你点击扫描时,会出现很长的感染警告,但没一个是真的。但由于效果惊人,受害者反而需要付一 大笔钱给这个 虚假软件,一般是$50~$70一个license,用户量往往数以万计。据了解,某个国际虚假杀毒软件由三个黑客维护,年收入近百万美元。

黑客工具之Web Shells:非法控制网站服务的钥匙

还有一种黑客主要针对网站,由于很多网站的运维管理很差,黑客可以很轻易攻入网站服务并取得全部权限,从而也获得网站上很多机密数据如用户信用卡信息等。使 用Web Shells是攻击网站服务的主要方式之一。基于Web Shells,黑客可以上传文件,在网站内自动添加恶意链接,操作本地文件等。

Web Shells的价值主要取决于它可以攻破的网站价值,所以从上图看到,当售卖Web Shells时,也会列出目标网站Alexa排名和独立访客量等指标。

更严重的Web Shell可用于渗透那些掌握了客户信用卡等重要信息的网站,例如电子商务、金融等。盗取这些用户信息还可用于其他黑客活动。据安全专家估计,每个月都有数千网站被渗透。

黑产之用户数据交易

用户个人信息在黑客看来是很有价值的,特别是那些涉及到支付的信用卡信息,上图是一个黑客发布在论坛上售卖信用卡账户数据的帖子,价格取决于客户余额,一般来说,如果一条账户余额为$100,000的用户信息价格为$10。

甚至产生了专门售卖信用卡信息的网站,用户记录数以万计,如上图这个活跃的网站,有供出售的信用卡记录近800页,很多记录都是最近添加的。

购买这些数据非常简单,就像其他电子商务网站一样,可以自由选择购买,支持比特币支付。

一路看下来的你一定对网络犯罪有了全新认识,而且这里所揭示的也不过是冰山一角,网络安全和黑客攻击一直在持续斗争,所谓道高一尺,魔高一丈, 但用户特别是 企业的安全意识是其中决定性砝码,认真研究攻防,筑起防护门槛,保持警惕状态,做好响应预案,都可以让黑客攻击的成本提升,减少受害几率。

文章转载自 开源中国社区[https://www.oschina.net]

时间: 2024-12-27 11:37:13

揭秘网络黑产链:为何普通黑客能月入 8 万美元?的相关文章

《网络黑产年度报告》揭露网络欺诈三大趋势

人民网北京1月20日电 (记者 陈键)腾讯公司首次向外发布<雷霆行动网络黑色产业链年度报告>总结了当前网络黑产的主要犯罪手法和趋势,同时联合公安部网络安全保卫局公布2014年度腾讯雷霆行动联合警方打击网络黑产的10大案例,并向网民做出"四不"安全提醒. 腾讯雷霆行动是专项打击网络诈骗.色情.恶意信息的专项行动.自2014年上线110.qq.com反诈骗举报平台以来,共收到举报信息250万条,并通过这些举报信息为警方提供线索,同时联手全国各地警方打击黑产团伙200余个,累计向

这位研究网络黑产的清华教授总结了一本《黑产黑话宝典》

  你听过黑话吗? 有! 天龙盖地虎 宝塔镇河妖 不不不,这句黑话已经OUT很久了. ----以下是一组分割线,上下没有关联---- 今天(7月26日),蓝莲花(Blue-Lotus)战队组建人之一的清华教授段海新介绍了一些网络黑产的黑话更让人大开眼界(蓝莲花有多牛,你可以搜索一下). 下面进入自我测试时间,如果这些黑话你都能看懂,也许你是黑产研究学八级,要么就是经历很丰富: 菠菜 平马二中一 丁香五月天 咕噜咕噜出肉 段海新腼腆地介绍了一下第一个词,"菠菜"就是"博彩&qu

“网络黑产”团伙勒索日入百万 专家建议企业加入网络安全“经适房”

中新网5月23日成都电(杨珺)"勒索病毒我同事几个月前就遇到过,他的iPhone账户被窃取,对方发来邮件要求支付3000元,否则账号无法恢复.当然这个团队最后被我们抓获了,才发现他们单依靠窃取iPhone账号信息勒索客户,每天收入高达100万元(人民币)."23日,阿里云安全事业群资深总监肖力在2017云栖大会·成都峰会上讲述网络安全时举例说. 从互联网出现早期的QQ盗号到个人信息窃取,再到对企业的攻击,黑客已经从技术炫耀发展成为产业链,业内成为"网络黑产". 不只

网络黑产规模达千亿 专家详解如何保障我们的安全

如今的互联设备保存了我们大量的重要信息,从银行账户,个人信息到行业机密,持续增长的互联设备让网络入侵者看到了新的机会,并利用这些潜在安全漏洞牟利,中国互联网协会发布的<2016中国网民权益保护调查报告>显示,从2015年下半年到今年上半年的一年间,我国网民因垃圾信息.诈骗信息.个人信息泄露等遭受的经济损失高达915亿元. 我们通常遭到的电信诈骗.网络欺诈.个人信息泄露,背后往往都有一个黑色的影子,在一条地下黑色产业链条上,有人负责窃取数据,有人专门从事分销,寻找目标买家或帮买家寻找黑客.有业内

大数据与网络黑产

随着互联网不断深度介入人们的生活,网络上也在源源不断积累起大量数据.这些数据就像散落在互联网生态中的粒粒珍珠,诱惑着网络黑产分子瞪大贪婪的双眼,伺机而动-- 记者调查发现,基于这些存在的产业链,上游,是以技术含量最高的职业黑客为主,他们通过挖掘漏洞.编写木马实施入侵,获取数据:中游,是购买这些数据进行欺诈的犯罪团伙,他们应用社会工程学的理论和知识来对用户实施欺诈:产业链的下游,则是支撑整个黑色产业链各种周边的组织,如取钱.洗钱.收卡.贩卖身份证等团伙. 这条近乎完善的黑色产业链,正在挑战很多网络

150万网络黑产从业者盯着你的个人隐私,你知道吗?

从近几年连续不断的明星艳照门,到近几天的大麦数据泄露致使用户被骗近10万元,个人隐私问题在网络空间上并没有获得有效的安全保护.这些事情背后有一个令人毛孔悚然的名词,叫"网络黑产",也称为"地下互联网". 早在10年前,新华社<瞭望>周刊就专门以专题形势介绍"网络黑产",认为已经组织化.规模化.公开化.中国互联网协会发布的<2016中国网民权益保护调查报告>显示,从2015年下半年到今年上半年的一年间,我国网民因垃圾信息.诈

执法机构洋气了:网络黑产市场遭警告

专家表示,现在全球执法机构正联手逮捕和调查涉嫌销售非法商品的人,网络黑产市场用户的活动不再匿名化. 美国联邦执法机构正联手澳大利亚.加拿大.新西兰.英国和欧洲刑警组织成员开展Hyperion行动,而打击黑暗网络是Hyperion行动的一部分.根据美国移民和海关执法局的声明,该工作于10月22日至28日进行,主要针对主流黑暗网络市场中非法药物.商品和服务的供应商和买家. 该声明指出:"Hyperion行动发现一些执法线索,涉及在darknet购买和销售非法药物及其他物品.通过发现新的走私网络和趋势

17岁黑客致使6省断网 自称月入5万属一般水平

中介交易 SEO诊断 淘宝客 云主机 技术大厅 黑客一词最早源自英文hacker,原指水平高超的电脑专家,尤其是程序设计人员,现在泛指专门入侵他人系统进行不法行为的计算机高手.5月19日,受黑客攻击,我国6省份互联网瘫痪.此次事件中,重庆十余网站受害.昨天,重庆的人人斑竹网委托武汉律师,拟向4名黑客索赔. 昨天,重庆一黑客向本报自曝,黑客每接一份"业务"起价3000元,高则一单三四万元,平均月收入5万元.记者多方查证,该黑客所言非虚. 黑客是怎样炼成的? 前天下午,记者辗转联系上市内新

月入两万?网络水军的噱头

自打有了网络,"网络水军"似乎也就顺理成章站出来了.2012年11月底,陆川执导的影片<王的盛宴>上映,自电影开播以后,就出现了口碑两极分化的趋势.事后证实,这是一起多数由"水军"导演的游戏.随后,连陆川导演也承认,<王的盛宴>在宣传过程中,曾花5万元雇佣"水军"为自己"刷好评". 一时间,"网络水军"成为无数宅男.宅女的理想工作,甚至连一些抑郁不得志的程序员也梦想着加入网络水军的庞