网络罪犯傻瓜式养成新方法
作者: 日期:2017年02月17日 阅:3,032

犯罪软件即服务(CaaS)正成为暗网最新流行趋势

1. 特征简介

00_crimeware-100705481-orig-600

杰夫·贝索斯、拉里·佩奇、沃伦·巴菲特,这些大财主的名字想必大家都耳熟能详了。但是,你知不知道,还有很多人动动手指就能收获百万美元,然而他们的声名却少有人知。这些人就是犯罪软件即服务(CaaS)生意的拥有者。

对地下罪犯而言,CaaS提供了网络犯罪的新维度,无需精通技术就能有组织地、自动化地发起网络攻击。今天,网络罪犯能开发、推广和售卖任何东西,从僵尸网络到浏览器漏洞利用包,或者DDoS攻击工具包,应有尽有。近日赛门铁克旗下的 Blue Coat 系统安全与云威胁实验室,向业界揭示了网络罪犯是怎样仅仅点击几下鼠标和付点小钱,就获得敏感数据的,比如信用卡账号、姓名和地址等。

2. CaaS市场

01_marketplace-100705485-orig-600

CaaS市场不是由一小撮恶意黑客定义的,这是个复杂而多样的公司网络,所有的一切都埋藏在互联网中。这些公司故意隐身在搜索索引和普通用户访问范围之外,伪装成普通网络用户,大隐隐于市。据国际反网络钓鱼工作组(APWG)报道,尽管2016年增长了250%,网络钓鱼仅仅是犯罪软件在2016年飙升至前所未有规模的其中一个例子。

3. 一个成熟的市场

02_mature-100705487-orig-600

十年前,CaaS还处于早期阶段。如《黑客简史》中给出的证据所表明的,恶意黑客有所需的工具和技术来制造某些灾难,但他们的重点更多地放在了彰显能力上,而非为了盈利。在那时,主要黑客活动都是关于证明黑客能够进入系统和利用各种漏洞的。然后,随着黑客开始更多地考虑金钱而非技术可能性,情况就改变了。大规模DDoS攻击,比如针对安全博主克雷布斯的网站那起,我们看到更多的,可能是浏览器漏洞利用包、恶意软件和间谍软件租赁售卖等等,因为这些东西是最能赚钱的。若要编撰一部犯罪软件售卖编年史,那篇幅可就长了,但2016年,下列几个“商品”可谓是最畅销的……

4. 僵尸网络

03_botnets-100705486-orig-600

僵尸网络就是感染了恶意软件的计算机网络,这些恶意软件能让网络罪犯在用户察觉不到的情况下控制计算机。地下企业家们通常大量兜售这些处于自己控制之下的计算机的访问权,价格在$100/月(租赁基础设施)到$7,000/月购买整个系统之间。

5. 浏览器漏洞利用包

04_browsers-100705484-orig-600

跟随僵尸网络框架而来的,就是浏览器漏洞利用包(BEP),能让买家大规模共享勒索软件或间谍软件之类东西的家伙。正如任何复杂恶意软件一样,BEP也有内置的混淆模块、黑名单模块、管理模块和流量优化模块等。一个完整的BEP包,要价约在$3,000到$7,000。

6. 附带武器化漏洞利用程序的定制网络钓鱼工具包

05_phishing-100705488-orig-600

对于想要针对特定群体或毫无疑心用户的黑客而言,雇个人设置个简单邮件传输协议(SMTP)服务器、诈骗网页,或者提供高质量邮件列表即可。这些东西触手可得,价格在$15到$40之间。搭配网络钓鱼攻击工具包出售的另一个流行工具,是“武器化文档”。这些恶意文件看上去就像是正常的微软Office文档,比如Word、XLS、PPT等等,却能利用微软Office包中固有的漏洞,下载恶意软件到终端用户的系统中。下载的软件可以是勒索软件、远程访问工具包(RAT)之类,取决于犯罪软件买家的选择和要求。今天,Office漏洞利用、已知CVE或非零日漏洞利用,价格在$2,000到$5,000之间。

7. 勒索软件

06_ransom-100705489-orig-600

黑客赚钱的另一流行方式,就是勒索软件。这种软件会把目标计算机作为人质,不见用户赎金不放数据。勒索软件复杂程度不一,因此价格差别很大。比如说,据趋势科技研究,定制版 Crypto Locker 可执行文件的价格,就在$50左右。在售卖价格基础之上,勒索软件运营者还倾向于抽取目标获利的10%作为利润抽成。

8. 犯罪软件成本高吗?

07_cost-100705490-orig-600

价格和商品都有明确的范围,尤其是在提供定制或特定服务的时候。举个例子,如果心怀不满的员工想要报复特定公司或特定用户群,他可以购买DDoS攻击或浏览器漏洞利用包,附带买家随后的执行帮助。或许会有点额外的开销,但BEP价格也就在$4,000到$7,000之间。不难想象这种生意仅需少量交易便可获得体面的收益。

9. 钱,钱,钱

08_money-100705491-orig-600

我们很难弄清这一地下商业系统到底盈利几何,但通过观察地下电子货币市场,明显能看出该市场正走向千万甚至数十亿美元级的规模。所有地下生意都使用电子货币作为交易的媒介,因为这玩意儿国际通用,匿名,不可撤销,不受监管,方便,还有助于洗钱。电子货币由于其存储在全球范围内的虚拟银行,且能被转换为多国货币而具有国际性。

10. 地下银行

09_banks-100705492-orig-600

我们对于此类银行的了解,来源于少数几家被发现而关闭掉的。比如说,2013年被关停的 Liberty Reserve 。其网站 LibertyReserve.com 被美国政府查获,并标记为“网络犯罪世界金融中心”。自2006年起,到其被关闭的2013年,仅 Liberty Reserve 一家,就进行了价值60亿美元的交易。

11. FBI在干什么?

10_fbi-100705496-orig-600

关于地下生意盈利的另一线索来自于FBI。在关停网络犯罪公司和报道行动(比如清白历史行动)细节上,FBI是必不可少的。由于他们的努力,我们得以知道更多关于这些组织到底挣了多少的事情。比如,捕获登录网银所需口令、账户和其他信息的“宙斯”恶意软件,就令其拥有者从受害账户捞取了数百万美元。

12. 为什么CaaS不断增长?

11_growing-100705494-orig-600

随着恶意软件和其他犯罪软件的增长,CaaS也繁花似锦。除了辅助所有恶意网络活动增长的技术因素,简单的市场经济也在支持该产业。犯罪软件价格受供需关系的影响巨大。不同犯罪软件服务的价格最近有所增长,因为数个犯罪软件服务在反犯罪软件行动中被拿下,影响了这些服务的供应。如果一家BEP提供商倒下,其他BEP供应商就会提升价格,增加盈利。价格的提升又促使其他厂商进入该市场,因为他们看到了明明白白的经济回报,通常情况下回报值回所承担的风险。

13. 规避法律

12_evading-100705495-orig-600

尽管FBI在取缔地下市场论坛上取得进展,网络罪犯也在进行犯罪软件服务交易上更加积极主动了。IRC和Jabber频道成为了比网页论坛更流行的通信方式,使得追踪买卖双方更加困难。另外,专用于受限论坛的针对性广告,也有助于维持CaaS在地下团伙中的生命力,帮助买卖双方躲过执法。

14. 安全解决方案

13_solutions-100705493-orig-600

今天设计的安全解决方案或机制,应能媲美网络罪犯在犯罪软件服务中所用的新攻击方法。想要以健壮的方式检测出感染、服务滥用、数据渗漏和其他恶意网络行为,就必须有健壮的检测和预防解决方案,这样才可以让非授权操作无所遁形,同时又不会对业务造成巨大损失。

CaaS市场一直在创新,但我们也是。我们最大的希望,就是继续揭露暗网,警醒人们CaaS的存在。

 

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章