揭秘地下工作者-黑客的幾種賺錢黑幕
黑客賺錢是個眾所周知的事實。但是,這個行業有多賺錢?黑客們又是怎樣進行內部交易以避免互相傾軋?就像與其業務類似的黑手黨和地下幫派的精密體系,黑客們也創立了他們自己的極其精密複雜的系統,而且其經營規模也是令人震驚的。
目前,只要黑客知道怎樣操作和向哪裡下手,就能迅速斂取大量錢財。據保守估計,哪怕是最初級的黑客也能每月入賬8萬美元。
一些安全研究者長期潛伏在地下黑產網路中,近距離觀察其運作模式——
首先,對於互聯網我們應該知道,可公開訪問的網站只佔數據信息的一部分,如同海面之下的冰山,還存在一個更龐大的、採取非公開機制訪問的平行網路世界——暗網。這裡才是一切法律嚴加打擊但暴利的交易活躍之地——如盜版、色情、買兇、軍火、恐怖分子,當然也包括黑客。
進入黑客聚集的地下交易場
匿名訪問的隱私黑客論壇是散落暗網中的黑客交易場,一旦你被黑客圈子或組織認可,能夠進入暗網中的黑客論壇上就可以找到各種非法服務,可以讓一個普通黑客都能快速發起一次網路攻擊。
這些論壇無法搜索定位,需要很多的驗證程序及其他黑客會員擔保。上圖為一個俄羅斯黑客論壇的截圖,可以看到,這裡黑客正在推銷多款惡意軟體,包括特洛伊木馬、殭屍網路等。
黑客基礎裝備之攻擊工具包(ExploitKits)
ExploitKits像瑞士軍刀一樣整合了網路攻擊所需的眾多組件,使大規模網路攻擊裝備化,因為大大提升了攻擊的成功率受到黑客的日益青睞,未使用之前,黑客的成功率一般為10%,使用之後就可能提升到40%。
那麼ExploitKits裡面究竟有哪些構成呢?
上圖為一個典型ExploitKits的「解剖切片」,可以看到有惡名昭彰的網銀木馬Zeus、Vawtrak、勒索軟體nymaim、比特幣敲詐病毒CTB-Locker等。
這是一個真實的由黑客打造的攻擊工具包叫做RIG,正在論壇上租售,這個帖子描述了該工具包的應用環境是X86/X84下的Window系統,可繞過微軟用戶賬戶控制系統;支持大流量攻擊;擁有兩種不同的勒索付費通道;支持自動載入網頁鏈接;可應用到的多個漏洞列表;平均攻擊成功率達到10%~15%;保證不被殺毒軟體發現等特性。
更重要的是該工具包的租用費用:30美元24小時;150美元一周;500美元一個月。這個費用並不高。
攻擊工具包(ExploitKits)的商業模式
RIG工具包的商用模式有些類似零售,有中央倉儲和多級經銷商,RIG可以直接向終端黑客銷售,同時也支持多級銷售,其他黑客可以將這個工具以更高的價格轉售出去,按照一周獲取600個客戶,每家支付150美元的話,RIG的周盈利高達9萬美元。
在「零售」模式之外,還時興一種「直銷分成」的商用模式,RIG製造者將工具免費提供給黑客,最終從攻擊成果中分成。
例如當黑客使用了該工具包侵入了一個網站,其中5~20%的流量歸「巨頭」控制,具體如何從中獲利也由「巨頭」自己把握。這種模式更加高明,購買者無需支付任何費用就有機會獲取可觀回報,肯定使用者眾多,同時也不影響RIG另外並行的「零售」交易。
在黑客產業鏈上,像RIG這樣的工具和其他服務的製造者才是產業中堅,他們隱身在實際執行攻擊的普通黑客之後,為其提供材料、裝備、服務,也獲得利潤中最豐厚的一層,被稱為「黑執事」。
黑執事是黑客服務的提供者,黑客產業鏈的上游。黑客就是網路攻擊執行者,是產業鏈終端。受害者就是被攻擊的普通網路用戶。
網路綁票:勒索軟體
通過RIG工具包,黑客還可以分發惡名昭著的勒索軟體Cryptowall,勒索軟體採取一個簡單粗暴的吸金邏輯,當受害者的電腦被感染,電腦中的文件就會被加密,受害者無法再訪問自己的文件,如果想要回控制權,就要按照黑客要求繳納贖金,一般是比特幣。
網路勒索事件層出不窮,很多用戶或企業都深受其害,據觀察,一個勒索賬戶一周就可以收到6萬美元。
勒索軟體善於抓住人們的心理弱點,黑客也喜歡入侵色情網站並注入惡意鏈接,當用戶點擊了這些惡意鏈接進入非法網站時,黑客就有無數種辦法勒索用戶。
這是一個真實的用戶收到的勒索軟體恐嚇信息:
首先恐嚇用戶做了壞事被發現,所以才有這一劫,告知文件已被加密,利用用戶下意識的花錢消災的心理,要求其繳納贖金獲得解密密碼,如果12個小時後還沒有繳納,電腦將永遠不可使用。
還有一種更加精妙的勒索軟體信息,黑客偽造了網址,讓受害者以為是來自政府機構FBI的通告,甚至虛構了一個法律罪名叫做「個人電腦管理不妥善使用罪」,基於這個完全胡扯的法律名目,受害者被指控三項罪名:
非法下載傳播有版權的電子資產。
瀏覽和傳播色情資料。
電腦在受害者不知情的情況下,被定位為惡意軟體的傳播源。所以電腦文件被加密鎖定,受害者需繳納贖金來解鎖。
儘管這些消息看起來毫無依據,但結果是勒索軟體正源源不斷收到贖金。
更絕的是為了讓受害者相信交錢後文件可以恢復,勒索軟體還提供一個「免費測試機會」,點擊後,受害者的文件可以解鎖一到五個,但無法指定,這個功能出現在頂級勒索軟體CoinVault和CTBLocker中。
黑色產業鏈中的專業外包服務:幫助惡意軟體逃脫檢測
除了出售工具包,一些黑執事還出售其他附加服務提升攻擊成功率,這些服務可以稱之為黑客產業鏈上的「專業外包服務」,其中之一為「檢測逃脫」服務。當該服務載入到惡意軟體時,就可以逃脫殺毒軟體的掃描。要知道,目前安全公司最主要的工作就是分析病毒特徵並更新到自己的病毒庫。
這項服務在黑客論壇公然出售,廣告上一般會列出效果對比,未使用服務,全球35個殺毒軟體中27個可檢測到,而使用後則全部免疫。
黑執事很懂生意,他們有時會提供特殊折扣吸引顧客,有的是下個月每周一前三個顧客可享受一單免費的優惠。
一些甚至提供定製服務,例如客戶購買一個3000美元的黑客攻擊軟體,附送一個月的免費支持,額外服務支持一個月需加300美元。
普通黑客發起一項攻擊需要投入多少?
黑客發起一項攻擊需要做好準備工作以及物資採購,那麼大概需要花費多少錢呢?
一般來說,你需要購買或者租用工具包,並附加一些服務增加成功率,特別是付費通道來收取費用,還需要購買一些流量,讓我們計算一下:
付費通道購買:3000美元一個月
檢測逃脫服務:20美元*30天=600美元
攻擊工具包:500美元一個月
流量:300美元*6=1800美元
共計:5900美元/月
投入總計大約5900美元一個月,看起來很多對嗎?
一個月黑客可以賺到多少錢?
在支出之後,黑客一定是預期回報遠大於投入的,事實也是這樣的。
在觀測到的數據上再做保守估算,平均每天有2萬人點擊惡意鏈接,一般大概有10%的幾率被感染,如果用了勒索軟體,大概又有0.5%的受害者付費。這意味著,黑客日收入大概是3,000美元,除去支出,月收入高達8,4000美元。
日平均點擊惡意鏈接用戶數:20,000
通常工具攻擊包的成功率:10%
受害者付費比:0.5%
日收入:20,000美元*10%*0.5%*300美元=3000美元
月收入:90,000美元
凈收入:90,000-5,900=84,100美元
在黑客產業鏈的支持下,一個不需要有多高技術能力的黑客也可以輕易通過攻擊活動賺得盆滿缽盈,這也是當前網路安全事件異常猖獗的主要原因。
虛假殺毒軟體
最恐怖的罪犯是什麼樣的?如果有些罪犯披著警服呢?
有一種惡意軟體叫做虛假殺毒軟體(或者流氓殺毒軟體),其理念非常簡單——看起來像反病毒產品,靠效果欺詐賺錢。
這種軟體在名稱、界面、功能上全盤模仿正規殺軟,當你點擊掃描時,會出現很長的感染警告,但沒一個是真的。但由於效果驚人,受害者反而需要付一大筆錢給這個虛假軟體,一般是$50~$70一個license,用戶量往往數以萬計。據了解,某個國際虛假殺毒軟體由三個黑客維護,年收入近百萬美元。
黑產之用戶數據交易
用戶個人信息在黑客看來是很有價值的,特別是那些涉及到支付的信用卡信息,黑客發布在論壇上售賣信用卡賬戶數據的帖子,價格取決於客戶餘額,一般來說,如果一條賬戶餘額為$100,000的用戶信息價格為$10。
甚至產生了專門售賣信用卡信息的網站,用戶記錄數以萬計,活躍的網站還有供出售的信用卡記錄近800頁,很多記錄都是最近添加的。
購買這些數據非常簡單,就像其他電子商務網站一樣,可以自由選擇購買,支持比特幣支付。
黑客服務之IP信譽庫
這項服務解釋起來有些困難,IP就是網路地址。正常情況下,IP信譽庫一般被安全機構用於辨識、過濾、阻斷那些垃圾郵件發布機構,或者不受信任的惡意網站,但由於官方機構和安全廠商自己也會有官方IP地址以及用於誘捕惡意軟體的「蜜罐」IP地址,所以黑客如果提前知道這些IP地址,就可以避過或者欺騙來這些目標的訪問。
上圖中的服務廣告宣傳定期更新來自FBI、各大安全服務商的「蜜罐」IP,降低了黑客被捕捉的幾率。
黑客服務之數字證書籤名服務
數字證書就是互聯網通訊中標誌通訊各方身份信息的一串數字,提供了一種在Internet上驗證通信實體身份的方式。它是由權威機構——CA機構,又稱為證書授權(CertificateAuthority)中心發行的,人們可以在網上用它來識別對方的身份。
通常情況下,已簽名的證書就代表著值得信任。
但一些黑客服務已開始出售惡意軟體的簽名服務,可以將檢測幾率降低80%。如圖所示,這個簽名服務聲稱可提供來自Thawte和Comodo證書授證(CertificateAuthority)中心的簽名服務,可用於任何可執行文件,費用為$600。
黑客工具之WebShells:非法控制網站服務的鑰匙
還有一種黑客主要針對網站,由於很多網站的運維管理很差,黑客可以很輕易攻入網站服務並取得全部許可權,從而也獲得網站上很多機密數據如用戶信用卡信息等。使用WebShells是攻擊網站服務的主要方式之一。基於WebShells,黑客可以上傳文件,在網站內自動添加惡意鏈接,操作本地文件等。
WebShells的價值主要取決於它可以攻破的網站價值,當售賣WebShells時,也會列出目標網站Alexa排名和獨立訪客量等指標。
更嚴重的WebShell可用於滲透那些掌握了客戶信用卡等重要信息的網站,例如電子商務、金融等。盜取這些用戶信息還可用於其他黑客活動。據安全專家估計,每個月都有數千網站被滲透。
App推廣服務:起刷量1萬單價0.7元
浙江某文化傳媒公司是一家專門針對蘋果AppStore提供此類服務的公司。據該公司網站介紹,他們可以提供AppStore刷排名、刷排行榜、為應用程序評分、撰寫好評等服務。
該公司在網站上宣稱,提供的服務在中國、法國、日本、韓國、英國、德國等都有好的案例。不過,該公司以為客戶保密為由,並未提供具體案例信息。
據該公司在網站上公布的一份價格表顯示,蘋果中國區AppStore單個應用的起刷量為1萬次,單價為0.7元,如果想同時獲得高評分以及好評價,則需要另加0.8元。一般情況下,下載量越大,單個成本便會越低。不同地區的AppStore中,下載單價不同。
除了按照下載量收費外,有些公司還提供排行榜單日、包周、包月服務。此類收費價格浮動較大,熱門分類排行榜的包月最高價格可達30萬元,冷門排行榜則只要5萬元。
在付費方式上,如果下載量較小的話,這類公司通常需要全額付款,然後24小時內,將應用刷進排行榜。如果下載量較大的話,則需要先支付70%的款項,完成效果後再收剩餘費用。
緣何走捷徑:刷排名比廣告推廣便宜
據某廣告總監介紹,此類App營銷推廣公司主要集中在廣東深圳一帶,團隊規模通常在幾十人,盈利狀況不錯。
刷排名的操作模式,一般是員工每天通過PC客戶端反覆下載同一個應用,通常一天就能實現幾千到上萬的下載量。
據介紹,這類公司通常手上會有上萬個AppleID,員工通過更換VPN方式來實現一台電腦登陸多個賬號。
對於一些小的開發者來說,通過刷排名的方式進行推廣要比做廣告省錢。有些中小開發者為了獲得市場空間,便選擇了這樣的捷徑。
不過,也有業內人士指出,刷排名的現象在過去比較嚴重,而目前蘋果中國區App排行榜中可能只有幾款應用是靠刷排名進入。
他表示,刷榜單的推廣模式雖然有一定作用,但是作用有限,他建議開發者保持耐心,潛心提高產品品質。同時,他還警告開發者,如果蘋果對此類行為進行處罰,代價可能會非常大。
蘋果警告開發者:刷排名可能被封殺
實際上,蘋果已經開始出台政策應對刷榜單等違規行為。蘋果對外發布一份聲明,警告應用開發者不要違規操縱AppStore的應用排名,否則可能被封殺。
刷排名App刷排名產業鏈調查
蘋果在聲明中表示:「一旦你開發了一款優秀的應用,肯定希望所有人知道。但當你推廣自己的應用時,不應使用宣傳或保證你獲得AppStore頂級排名的服務。即使你並未親自參與操縱AppStore排名或用戶評論的行為,僱傭這類服務仍有可能導致你失去『蘋果開發者項目』的會員資格。」
蘋果目前也在清理AppStore中的一系列違規行為。在其反剽竊行動中,蘋果也對應用程序商店中的山寨產品進行清理,並將許多山寨應用從蘋果AppStore中剔除。
下面介紹黑客領域罕見的一些專業術語。
1.肉雞
所謂「肉雞」一種很形象的比喻,比喻那些可以隨意被黑客控制的電腦,對方可以是Window系統,也可以是Unix或Linux系統,可以是普通的個人電腦,也可以是大型的伺服器,黑客可以像操作自己的電腦那樣來操作它而不被對方所發覺。
2.木馬
木馬就是那些外表上偽裝成了正常的順序,但是當這些順序運行時,就會獲取系統的操控許可權,網頁木馬就會利用對方系統或者瀏覽器的漏洞自動將配置好的木馬的服務端下載到訪問者的電腦上來自動執行。
3.掛馬
掛馬就是他人的網站文件裡面放入網頁木馬或者是將代碼潛入到對方正常的網頁文件里。
4.網頁木馬
網頁木馬外表上偽裝成普通的網頁文件或是將木馬程序的代碼直接拔出到正常的網頁文件中。當該頁被訪問時,以使瀏覽者中木馬。
5.後門
後門是一種形象的比喻,入侵者在利用某些方法成功地控制了目標主機後,可以理解成WINDOWS下的system或者管理員許可權)訪問許可權的工具。進入系統後,獲得對系統的普通訪問許可權。再通過對方系統內存在安全漏洞獲得系統的root許可權。然後,攻擊者就會在對方的系統中安裝rootkit以達到自己持久控制對方的目的。
6.rootkit
它與前邊提到木馬和後門很類似,但遠比它要隱蔽,黑客守衛者就是很典型的rootkit還有國內的ntroorkit等都是不錯的rootkit工具。
7.IPC
IPC共享命名管道的資源,為了讓進程間通信而開放的命名管道,可以通過驗證用戶名和密碼獲得相應的許可權,遠程管理計算機和檢查計算機的共享資源時使用。
8.弱口令
弱口令是指那些強度不容易被猜解的類似123.abc這樣的口令(密碼)。
9.默認共享
默認共享是系統開啟共享服務時自動開啟所有硬碟的共享。因為加了$符號,所以看不到共享的托手圖標,也稱為隱藏共享。
10.shell
Shell指的一種命令執行環境,比方我按下鍵盤上的開始 R鍵會打開【運行】對話框,運行文本框中輸入cmd命令可以打開用於執行命令的命令提示符窗口,這個就是WindowShell執行環境。通常使用遠程溢出程序成功溢出遠程電腦後,獲取的用於執行系統命令的環境就是對方的shell。
11.WebShell
WebShel就是也可以將其稱做是一種網頁後門。黑客在入侵了一個網站後,spphpjsp或者cgi等網頁文件形式存在一種命令執行環境。通常會將這些asp或php後門文件與網站伺服器web目錄下正常的網頁文件混在一起,之後就可以使用瀏覽器來訪問這些asp或者php後門,得到一個命令執行環境,以達到控制網站伺服器的目的,可以上傳下載文件,檢查資料庫,執行任意命令等。國內常用的WebShel有海陽ASP木馬、Phpspyc99shell等。
12.溢出
溢出確切地講,應該是緩衝區溢出。簡單的解釋就是程序對接收的輸入數據沒有執行有效的檢測而導致錯誤,使用這種模式編寫程序的程序員越來越多,後果可能是造成程序解體或者是執行攻擊者的命令。
13.注入
隨著B/S模式應用開發的發展,由於程序員的水平參差不齊,相當大一部分應用程序存在安全隱患。用戶可以提交一段資料庫查詢代碼,根據程序返回的結果,獲得某些他想知道的數據,這個就是所謂的SQLinject。即:SQL注入。
14.注入點
注入點是可以實行注入的地方,通常是一個訪問資料庫的連接。根據注入點資料庫的運行帳號的許可權的不同,用戶所得到許可權也不同。
15.內網
內網通俗地講就是區域網,例如網吧、校園網、公網。IP地址在以下三個範圍之內的所有電腦都處於內網。
10.0.0.010.255.255.255
172.16.0.0172.31.255.255
192.168.0.0192.168.255.255
16.外網
外網是直接連入互聯網可以與互聯網上的任意一台電腦互相訪問。IP地址不是內網IP地址。
17.3389 4899肉雞
3389Window終端服務(TerminalServic所默認使用的埠號,該服務是微軟為了方便網路管理員遠程管理及維護伺服器而推出的網路管理員可以使用遠程桌面連接到網路上任意一台開啟了終端服務的計算機上,成功登陸後就會象操作自己的電腦一樣來操作主機了,終端服務的連接非常穩定,這和遠程控制軟體甚至是木馬程序實現的功能很相似。而且任何殺毒軟體都不會查殺,所以也深受黑客喜愛。黑客在入侵了一台主機後,通常都會想方法先添加一個屬於自己的後門帳號,然後再開啟對方的終端服務,這樣,自己就隨時可以使用終端服務來控制對方了這樣的主機,通常就會被叫做3389肉雞。
Radmin一款非常優秀的遠程控制軟體,4899Radmin默認埠號,因此經常被黑客當作木馬來使用(正是這個原因,目前的殺毒軟體也對Radmin查殺了,因為Radmin控制功能非常強大,傳輸速度也比大多數木馬快,而且又不被殺毒軟體所查殺。所用Radmin管理遠程電腦時使用的空口令或者是弱口令,黑客就可以使用一些軟體掃描網路上存在Radmin空口令或者弱口令的主機,然後就可以登錄上去遠程控制,這樣被控制的主機通常就被稱作4899肉雞。
18.免殺
免殺是通過加殼、加密、修改特徵碼、加花指令等技術來修改程序,使其逃過殺毒軟體的查殺。
19.加殼
加殼是利用特殊的演算法,將EXE可執行程序或者DLL動態鏈接庫文件的編碼進行改變(比如實現壓縮、加密)以達到縮小文件體積或者加密程序編碼,甚至是躲過殺毒軟體查殺的目的。
20.花指令
花指令就是幾句彙編指令。使得殺毒軟體不能正常地判斷病毒文件的構造。簡單來說,就是殺毒軟體是從頭到腳按順序來查找病毒的。如果將病毒的頭和腳顛倒位置,殺毒軟體就找不到病毒了!
TAG:鴻蒙領導力 |