地下市场提供各种各样的服务供网络罪犯从中获利

地下市场

这些论坛提供的货品种类简直包罗万象，从物理世界的商品，比如毒品、武器，到数字世界的服务，比如垃圾邮件/网络钓鱼邮件投放、漏洞利用工具包服务、“加壳器”、“捆绑器”、定制恶意软件开发、零日漏洞利用、防弹主机托管。

地下世界充斥各种外人听不懂的行话和俚语。加壳器，就是加密恶意软件以规避反病毒引擎检测的工具。捆绑器，是在合法程序中绑入恶意软件样本的工具。零日漏洞利用，是利用未打补丁漏洞的技术，攻击者用以获取对计算系统的非授权访问。“FUD”在正常安全世界意味着“恐惧、不确定、怀疑”，在地下论坛世界则是“完全不可检测”。这些论坛上还有所谓的“开膛手”，就是欺骗其他用户，不提供有用服务或货品，拿了钱就跑的骗子。

鲁伊斯·曼迪艾塔，Anomali高级安全研究员，对常见地下市场进行了分析调查。

Sky-Fraud论坛

Sky-Fraud是2014年便开始运营的俄罗斯地下论坛。其用户群包含26000名活跃用户，英俄双语。其上提供的服务种类丰富，下列服务均可在Sky-Fraud上找到：

• 第三方履约保证服务
• 防弹主机托管服务
• 个人可识别信息(PII)和信用卡(CC)数据
• 僵尸网络、漏洞利用程序、恶意软件
• 黑帽搜索引擎优化(SEO)和网页设计
• 支付系统：比特币(BTC)、贝宝(Paypal)、Webmoney、欧贝通(Entropay)

论坛注册系统对所有人开放，让骗子、名声不好的成员、执法机构和安全研究人员都能轻松访问。鉴于网站上活跃着太多业余黑客，其上数据似乎可信度不高。但是，一位与防弹主机托管有关的重量级人物在这个论坛上经营有他的“事业”。沃哈夫(Volhav)不仅仅在这个论坛活动，后面介绍的地下论坛中也有他的身影。由于注册时间是2016年初，可能他是在尝试不同论坛以扩展服务范围吧。不过，他在这上面的活动仅有两条。

Lampeduza论坛

专精于账户信息非法交易、转储服务和全套信用卡诈骗的俄罗斯地下论坛。有几个部分也专门服务于黑客攻击、匿名化操作、垃圾邮件投放和黑帽SEO。因为论坛成员之一的rescator涉嫌售卖分发塔吉特被泄数据，安全博主克雷布斯在2013年也谈论过Lampeduza。另外，该网站似乎与臭名昭著的贩卡论坛rescator.cm关系颇深。rescator.cm就是塔吉特、家得宝和莎莉美容数据泄露事件中信用卡数据出售的场所。

Lampeduza市场的访问略有限制。注册者需先从老用户那里获得邀请码，然后还要支付50美元。这让网站相对排外，更少被别的站点浸染。然而，潜在买家依然要面对仔细甄别供货商优劣的挑战。幸运的是，该网站提供信誉系统，用户可以提起投诉，必要的时候会对卖家采取行动。这是很多匿名市场的常见功能了。

这个市场上提供的数据应该在中等价值。大型零售商被泄数据也会在这个论坛上出售。

Exploit.in论坛

Exploit.in是俄语黑客论坛，模仿LeakForums和HackForums之类其他黑客论坛的经营方式。该论坛2007年上线，总用户数35000。作为论坛一部分的成员，在注册前需经受审查，并要求一名现有成员做担保。某些不讨论犯罪活动的区域也对公众开放。

这些区域包括网页设计、编程和硬件方面的话题。其他部分，比如安全和黑客、病毒学、匿名性和市场，则需要有效用户账户才可以访问。该论坛出售的服务包括：

• 账户信息交易服务
• 防弹主机托管
• 恶意软件投放服务
• 零日软件漏洞
• 恶意软件
• 漏洞利用工具包
• 木马
• 加壳器

这个市场的价值，就在于其用户间高度联通的关系。很多真实用户在别的论坛上都有多种身份资料。而这个论坛，通过闭合的注册过程，避免了像HackForums和LeakForums一样被虚假账户污染。

LeakForums论坛

2011年在黑客界崭露头角。其当前用户群高达100万。LeakForums专注于与PII、社交媒体账户相关的泄露，以及付费黑客工具的交易(键盘记录器、远程访问工具、加壳器、捆绑器)。广为流传的恶意软件，比如Njrat、Adwind和Orcus等，也对注册用户免费开放。其他泄露类别包括：

• 商业软件序列号(微软Windows、Office、反病毒引擎)
• 被盗凭证(社交媒体账户)
• 被黑数据库(流服务数据库泄露)
• 著名木马破解版(Njrat、Adwind、Orcus)

该市场上的数据质量非常之低。有太多的不入流罪犯试图赚取名气，但出售的却是很低级的工具。该站点也缺乏像Alphabay和TheRealDeal之类成熟市场的信誉系统。这让潜在买家更难以信任这里的商家。该市场是很多泄露数据的初始来源，也可以获得著名恶意软件的拷贝以扩展检测能力。除此之外，该网站乏善可陈。

HackForums论坛

互联网上运营时间最久的黑客论坛。成立于2006年，用户总数约为600000人。该论坛囊括信息安全界多个主题：黑客行为、编程、电脑游戏、网页设计、网页开发，当然，还有黑客工具和服务的售卖。HackForums因吸纳了大量业余黑客而为人所不齿。一些技术稍高的罪犯也会在上面提供以下服务：

• 应激物服务(如：DDoS程序)
• 远程访问工具
• 被盗社交媒体账户
• 加壳器
• 虚拟专用服务器(VPS)、虚拟专用网(VPN)和主机托管服务

HackForums今年因MalwareHunterTeam发现有黑客行动源自该论坛而备受关注。该行动使用了ORCUS RAT。克雷布斯也发表了一篇博文揭示该恶意软件背后的作者。HackForums上数据的质量同样很低。与LeakForums类似，这可能跟信誉系统和准入制度的缺乏有关。只要点击域名，任何人都可以注册账户，对整个论坛拥有长久访问。

TheRealDeal市场

TheRealDeal是以零日漏洞利用起家的暗网市场。随后，随着该市场逐渐声名鹊起，提供的服务也开始更多元了。以下商品目前都可在该市场找到：

• 武器
• 假证(支票、护照、驾照)
• 被盗信用卡数据
• 被黑数据库
• 禁药
• 漏洞利用程序
• 反病毒引擎完全不可检测的恶意软件、一日漏洞(漏洞被公开，但尚未有补丁)、零日漏洞(漏洞尚未被公开)

2016年，该市场在一系列高曝光率的数据泄露后吸引了公众注意。被泄数据涉及很多著名企业。提供这些数据的，是该论坛一名自称“内心宁静(Peace of Mind)”的用户。该市场里的服务质量良莠不齐。卖家信誉可由其级别和资料中显示的客户反馈来确定。因此，潜在客户需要花更多精力进行鉴别。该市场还提供多重签名交易方法以增加安全性。不好的方面之一，是注册的简单性。没有要求任何的审核。很多名声不好的成员、安全研究人员或执法人员，也是该市场的一部分。除了市场，TheRealDeal还有一个更为严格的论坛。该论坛上的非法活动叫卖更凶，但很多都难以验证。

AlphaBay市场

2014年开张的新生论坛。自成立以来，因其基于Tor匿名网络的特性，该市场成长迅速。目前，该论坛有240000名用户，覆盖服务范围包括：

• 数据泄露、银行渗漏、信用卡认证值(由卡号、有效期和服务约束代码生成的3位或4位数字)和信用卡数据
• 违禁药品
• 武器
• 假证
• 非法活动敛财教程
• 恶意软件：漏洞利用程序、漏洞利用工具包、僵尸网络

商品质量参差不齐。潜在买家必须自己确保卖家等级和信誉度。在AlphaBay，拥有10级信誉的5级卖家可被认为是品质保证。除此之外，卖家还得查看评论区，看是否有投诉。AlphaBay通过多重签名交易方法，以及双因子身份验证登录方式，确保交易是安全且无缝进行的。AlphaBay还提供数字合约系统，利用用户信誉系统减少交易风险。每份合约收取5美元管理费。合约内容任由用户填写。数字合约本身并不能消除诈骗，但确实有助于建立成员间互信。AlphaBay有个奇怪的地方：允许用户通过API以编程的方式进入市场。