从漏洞利用工具到零日漏洞:网络黑市大全

作者:星期三, 十月 19, 20160
分享:

地下市场提供各种各样的服务供网络罪犯从中获利

1_darkweb_marketplace-100687024-orig

地下市场

这些论坛提供的货品种类简直包罗万象,从物理世界的商品,比如毒品、武器,到数字世界的服务,比如垃圾邮件/网络钓鱼邮件投放、漏洞利用工具包服务、“加壳器”、“捆绑器”、定制恶意软件开发、零日漏洞利用、防弹主机托管。

地下世界充斥各种外人听不懂的行话和俚语。加壳器,就是加密恶意软件以规避反病毒引擎检测的工具。捆绑器,是在合法程序中绑入恶意软件样本的工具。零日漏洞利用,是利用未打补丁漏洞的技术,攻击者用以获取对计算系统的非授权访问。“FUD”在正常安全世界意味着“恐惧、不确定、怀疑”,在地下论坛世界则是“完全不可检测”。这些论坛上还有所谓的“开膛手”,就是欺骗其他用户,不提供有用服务或货品,拿了钱就跑的骗子。

鲁伊斯·曼迪艾塔,Anomali高级安全研究员,对常见地下市场进行了分析调查。

Sky-Fraud论坛

2_skyfraud-100687028-orig

Sky-Fraud是2014年便开始运营的俄罗斯地下论坛。其用户群包含26000名活跃用户,英俄双语。其上提供的服务种类丰富,下列服务均可在Sky-Fraud上找到:

  • 第三方履约保证服务
  • 防弹主机托管服务
  • 个人可识别信息(PII)和信用卡(CC)数据
  • 僵尸网络、漏洞利用程序、恶意软件
  • 黑帽搜索引擎优化(SEO)和网页设计
  • 支付系统:比特币(BTC)、贝宝(Paypal)、Webmoney、欧贝通(Entropay)

论坛注册系统对所有人开放,让骗子、名声不好的成员、执法机构和安全研究人员都能轻松访问。鉴于网站上活跃着太多业余黑客,其上数据似乎可信度不高。但是,一位与防弹主机托管有关的重量级人物在这个论坛上经营有他的“事业”。沃哈夫(Volhav)不仅仅在这个论坛活动,后面介绍的地下论坛中也有他的身影。由于注册时间是2016年初,可能他是在尝试不同论坛以扩展服务范围吧。不过,他在这上面的活动仅有两条。

Lampeduza论坛

3_lampeduza-100687025-orig

专精于账户信息非法交易、转储服务和全套信用卡诈骗的俄罗斯地下论坛。有几个部分也专门服务于黑客攻击、匿名化操作、垃圾邮件投放和黑帽SEO。因为论坛成员之一的rescator涉嫌售卖分发塔吉特被泄数据,安全博主克雷布斯在2013年也谈论过Lampeduza。另外,该网站似乎与臭名昭著的贩卡论坛rescator.cm关系颇深。rescator.cm就是塔吉特、家得宝和莎莉美容数据泄露事件中信用卡数据出售的场所。

Lampeduza市场的访问略有限制。注册者需先从老用户那里获得邀请码,然后还要支付50美元。这让网站相对排外,更少被别的站点浸染。然而,潜在买家依然要面对仔细甄别供货商优劣的挑战。幸运的是,该网站提供信誉系统,用户可以提起投诉,必要的时候会对卖家采取行动。这是很多匿名市场的常见功能了。

这个市场上提供的数据应该在中等价值。大型零售商被泄数据也会在这个论坛上出售。

Exploit.in论坛

4_exploitdot-100687026-orig

Exploit.in是俄语黑客论坛,模仿LeakForums和HackForums之类其他黑客论坛的经营方式。该论坛2007年上线,总用户数35000。作为论坛一部分的成员,在注册前需经受审查,并要求一名现有成员做担保。某些不讨论犯罪活动的区域也对公众开放。

这些区域包括网页设计、编程和硬件方面的话题。其他部分,比如安全和黑客、病毒学、匿名性和市场,则需要有效用户账户才可以访问。该论坛出售的服务包括:

  • 账户信息交易服务
  • 防弹主机托管
  • 恶意软件投放服务
  • 零日软件漏洞
  • 恶意软件
  • 漏洞利用工具包
  • 木马
  • 加壳器

这个市场的价值,就在于其用户间高度联通的关系。很多真实用户在别的论坛上都有多种身份资料。而这个论坛,通过闭合的注册过程,避免了像HackForums和LeakForums一样被虚假账户污染。

LeakForums论坛

5_leakforums-100687027-orig

2011年在黑客界崭露头角。其当前用户群高达100万。LeakForums专注于与PII、社交媒体账户相关的泄露,以及付费黑客工具的交易(键盘记录器、远程访问工具、加壳器、捆绑器)。广为流传的恶意软件,比如Njrat、Adwind和Orcus等,也对注册用户免费开放。其他泄露类别包括:

  • 商业软件序列号(微软Windows、Office、反病毒引擎)
  • 被盗凭证(社交媒体账户)
  • 被黑数据库(流服务数据库泄露)
  • 著名木马破解版(Njrat、Adwind、Orcus)

该市场上的数据质量非常之低。有太多的不入流罪犯试图赚取名气,但出售的却是很低级的工具。该站点也缺乏像Alphabay和TheRealDeal之类成熟市场的信誉系统。这让潜在买家更难以信任这里的商家。该市场是很多泄露数据的初始来源,也可以获得著名恶意软件的拷贝以扩展检测能力。除此之外,该网站乏善可陈。

HackForums论坛

6_hackforums-100687031-orig

互联网上运营时间最久的黑客论坛。成立于2006年,用户总数约为600000人。该论坛囊括信息安全界多个主题:黑客行为、编程、电脑游戏、网页设计、网页开发,当然,还有黑客工具和服务的售卖。HackForums因吸纳了大量业余黑客而为人所不齿。一些技术稍高的罪犯也会在上面提供以下服务:

  • 应激物服务(如:DDoS程序)
  • 远程访问工具
  • 被盗社交媒体账户
  • 加壳器
  • 虚拟专用服务器(VPS)、虚拟专用网(VPN)和主机托管服务

HackForums今年因MalwareHunterTeam发现有黑客行动源自该论坛而备受关注。该行动使用了ORCUS RAT。克雷布斯也发表了一篇博文揭示该恶意软件背后的作者。HackForums上数据的质量同样很低。与LeakForums类似,这可能跟信誉系统和准入制度的缺乏有关。只要点击域名,任何人都可以注册账户,对整个论坛拥有长久访问。

TheRealDeal市场

7_therealdeal-100687029-orig

TheRealDeal是以零日漏洞利用起家的暗网市场。随后,随着该市场逐渐声名鹊起,提供的服务也开始更多元了。以下商品目前都可在该市场找到:

  • 武器
  • 假证(支票、护照、驾照)
  • 被盗信用卡数据
  • 被黑数据库
  • 禁药
  • 漏洞利用程序
  • 反病毒引擎完全不可检测的恶意软件、一日漏洞(漏洞被公开,但尚未有补丁)、零日漏洞(漏洞尚未被公开)

2016年,该市场在一系列高曝光率的数据泄露后吸引了公众注意。被泄数据涉及很多著名企业。提供这些数据的,是该论坛一名自称“内心宁静(Peace of Mind)”的用户。该市场里的服务质量良莠不齐。卖家信誉可由其级别和资料中显示的客户反馈来确定。因此,潜在客户需要花更多精力进行鉴别。该市场还提供多重签名交易方法以增加安全性。不好的方面之一,是注册的简单性。没有要求任何的审核。很多名声不好的成员、安全研究人员或执法人员,也是该市场的一部分。除了市场,TheRealDeal还有一个更为严格的论坛。该论坛上的非法活动叫卖更凶,但很多都难以验证。

AlphaBay市场

8_alphabay-100687030-orig

2014年开张的新生论坛。自成立以来,因其基于Tor匿名网络的特性,该市场成长迅速。目前,该论坛有240000名用户,覆盖服务范围包括:

  • 数据泄露、银行渗漏、信用卡认证值(由卡号、有效期和服务约束代码生成的3位或4位数字)和信用卡数据
  • 违禁药品
  • 武器
  • 假证
  • 非法活动敛财教程
  • 恶意软件:漏洞利用程序、漏洞利用工具包、僵尸网络

商品质量参差不齐。潜在买家必须自己确保卖家等级和信誉度。在AlphaBay,拥有10级信誉的5级卖家可被认为是品质保证。除此之外,卖家还得查看评论区,看是否有投诉。AlphaBay通过多重签名交易方法,以及双因子身份验证登录方式,确保交易是安全且无缝进行的。AlphaBay还提供数字合约系统,利用用户信誉系统减少交易风险。每份合约收取5美元管理费。合约内容任由用户填写。数字合约本身并不能消除诈骗,但确实有助于建立成员间互信。AlphaBay有个奇怪的地方:允许用户通过API以编程的方式进入市场。

 

分享:

相关文章

写一条评论

 

 

0条评论