信息來源：51cto

近日，暗網(wǎng)突現(xiàn)一條售賣信息，一名黑客號(hào)稱出售兩個(gè)日流量超百萬的知名站點(diǎn)的Shell及內(nèi)網(wǎng)權(quán)限，其中一個(gè)站點(diǎn)以40萬的價(jià)格打包出售近千萬用戶數(shù)據(jù)，包括用戶 ID、昵稱、“加密存儲(chǔ)”的密碼等信息!一時(shí)間，震驚整個(gè)互聯(lián)網(wǎng)。

不僅如此，近期出現(xiàn)在暗網(wǎng)上售賣的還有一云平臺(tái)內(nèi)部管理賬戶密碼機(jī)房架構(gòu)圖。

那么，暗網(wǎng)究竟是什么?

首先，互聯(lián)網(wǎng)大家都應(yīng)該知道，在互聯(lián)網(wǎng)里，可公開訪問的網(wǎng)站(我們稱之為“明網(wǎng)”)只占數(shù)據(jù)信息的很小一部分。如同海面之下的冰山，還存在一個(gè)更龐大的、采取非公開機(jī)制訪問的平行網(wǎng)絡(luò)世界——暗網(wǎng)和深網(wǎng)。這里才是一切法律難以打擊而且暴利的交易活躍之地，例如盜版、色情、買兇、軍火、恐怖分子，當(dāng)然也包括黑客。網(wǎng)絡(luò)分布大致如下圖所示：

其中散落暗網(wǎng)中的匿名訪問的隱私黑客論壇是黑客交易場，一旦你被黑客圈子或組織認(rèn)可，能夠進(jìn)入暗網(wǎng)中的黑客論壇上就可以找到各種非法服務(wù)。也就是說，不需要高深的技術(shù)，一個(gè)普通的黑客就可以輕松發(fā)起網(wǎng)絡(luò)攻擊!

這些論壇無法搜索定位，需要很多的驗(yàn)證程序及其他黑客會(huì)員擔(dān)保。上圖為信服君在一暗網(wǎng)中文黑客論壇的截圖，可以看到，這里黑客正在出售網(wǎng)站入侵、數(shù)據(jù)庫脫褲服務(wù)。

為什么全球互聯(lián)網(wǎng)黑產(chǎn)交易目前主要集中地依然在暗網(wǎng)呢?

目前訪問暗網(wǎng)主流方式是通過Tor來進(jìn)行訪問，匿名性極強(qiáng)。Tor采用了洋蔥路由加密網(wǎng)絡(luò)技術(shù)，其傳輸協(xié)議使用了大量的代理服務(wù)器和嚴(yán)格的加密方式，從而導(dǎo)致他人無法追蹤到用戶的具體位置，并且讓用戶在互聯(lián)網(wǎng)上有著絕對(duì)的匿名性。保證身份匿名后，用來交易的貨幣同樣需要匿名，因此像比特幣(Bitcoin)這種本身是為了匿名流通而設(shè)計(jì)的貨幣成為暗網(wǎng)交易的主要貨幣。這種全匿名的交易模式，吸引了全球的犯罪分子，當(dāng)然也包含全球的黑客。

除了暗網(wǎng)交易，社交交易是中國特色黑產(chǎn)模式

與全球主流的依賴暗網(wǎng)進(jìn)行網(wǎng)絡(luò)犯罪的方式不同，我國的互聯(lián)網(wǎng)黑產(chǎn)從業(yè)者更多的是通過社交工具來進(jìn)行犯罪業(yè)務(wù)拓展。同時(shí)講究“師傅帶徒弟”模式，新入門的人一般為徒弟，當(dāng)然這里需要交一定的“學(xué)費(fèi)”。這些活動(dòng)主要在QQ上進(jìn)行，一般黑客會(huì)建立一個(gè)QQ群，然后在網(wǎng)上發(fā)布自己的QQ號(hào)，通常做法是批量在網(wǎng)站上掛黑頁，擴(kuò)大知名度，吸引一些熱愛黑客技術(shù)或者有“業(yè)務(wù)需求”的人群。如下圖所示：

通過各種手段收到一定數(shù)量的“徒弟”后，黑客群主會(huì)定期發(fā)布一些“課程”來培養(yǎng)他們。

某黑客QQ群發(fā)布的部門“學(xué)習(xí)課程”

通過一段時(shí)間的培養(yǎng)后，群主將帶領(lǐng)“徒弟們”一起接單做黑產(chǎn)生意來積累經(jīng)驗(yàn)，比如參與網(wǎng)站攻擊，盜取銀行賬號(hào)和密碼、Q幣等虛擬幣。一段時(shí)間后，徒弟出師單干，繼續(xù)收徒，以此發(fā)展。

暗網(wǎng)里交易的黑色產(chǎn)業(yè)鏈都有哪些

在暗網(wǎng)里的交易，根據(jù)任務(wù)難度的高低，黑客服務(wù)的報(bào)價(jià)通常有很大差別，有些任務(wù)通常還需要多個(gè)黑客群體協(xié)同工作才能完成。這個(gè)時(shí)候就會(huì)形成一條分工明確的黑色產(chǎn)業(yè)鏈條。目前的黑產(chǎn)產(chǎn)業(yè)鏈包括了惡意軟件產(chǎn)業(yè)鏈、DDoS產(chǎn)業(yè)鏈、敲詐勒索產(chǎn)業(yè)鏈、信息竊取產(chǎn)業(yè)鏈、大數(shù)據(jù)撞庫產(chǎn)業(yè)鏈、網(wǎng)絡(luò)釣魚產(chǎn)業(yè)鏈、惡意廣告產(chǎn)業(yè)鏈、業(yè)務(wù)欺詐產(chǎn)業(yè)鏈等。

1. 惡意軟件產(chǎn)業(yè)鏈

惡意軟件是指在計(jì)算機(jī)系統(tǒng)上執(zhí)行惡意任務(wù)的病毒、蠕蟲和特洛伊木馬的程序，通過破壞軟件進(jìn)程來實(shí)施控制。

在這個(gè)環(huán)節(jié)，無論是網(wǎng)馬制作者還是傳播者，都會(huì)不遺余力的在網(wǎng)絡(luò)中散播惡意軟件，網(wǎng)絡(luò)用戶在瀏覽一些惡意網(wǎng)站，或者從不安全的站點(diǎn)下載游戲或其他程序時(shí)，往往會(huì)連同惡意程序一并帶入電腦，而用戶本人對(duì)此毫不知情。直到有惡意廣告不斷彈出或色情網(wǎng)站自動(dòng)出現(xiàn)時(shí)，用戶才有可能發(fā)覺電腦已中毒。在惡意軟件未被發(fā)現(xiàn)的這段時(shí)間，用戶的所有敏感資料都有可能被盜走，比如銀行賬戶信息、信用卡密碼等。

獲得用戶敏感信息后，黑客對(duì)這些信息進(jìn)行整理和篩選，然后“洗庫”。將有價(jià)值的財(cái)產(chǎn)全部轉(zhuǎn)移，例如銀行卡余額，Q幣，游戲幣等，最后再大批次循環(huán)轉(zhuǎn)賬洗錢分贓。

2. DDoS產(chǎn)業(yè)鏈

DDoS攻擊指黑客組織通過控制服務(wù)器、肉雞等資源，發(fā)動(dòng)對(duì)包括國家骨干網(wǎng)絡(luò)、重要網(wǎng)絡(luò)設(shè)施、政企或個(gè)人網(wǎng)站在內(nèi)的互聯(lián)網(wǎng)上任一目標(biāo)的攻擊，致使目標(biāo)服務(wù)器斷網(wǎng)，最終停止提供服務(wù)。在這條黑色產(chǎn)業(yè)鏈中，相關(guān)從業(yè)人員或已達(dá)到38萬余人，涉及6000多個(gè)大大小小的黑產(chǎn)團(tuán)伙，年產(chǎn)值可能超過100億人民幣。

DDoS只是黑客手里的籌碼，其最終目的要么敲詐勒索、要么利益沖突、要么表達(dá)政治立場。近幾年，高收益行業(yè)深受DDoS攻擊困擾，特別是游戲行業(yè)，經(jīng)常遇到DDos攻擊導(dǎo)致服務(wù)器宕機(jī)業(yè)務(wù)中斷。

目前，對(duì)于DDoS攻擊，普遍采用的防護(hù)手段包括：

• 源驗(yàn)證/反向探測，對(duì)源進(jìn)探測和人機(jī)識(shí)別，段包括cookie、識(shí)別碼等;
• 限源，即對(duì)源IP或協(xié)議進(jìn)行限制，blacklist是一個(gè)常見手段;
• 特征丟棄，依據(jù)數(shù)據(jù)包的特征或訪問行為進(jìn)行丟棄，如基于Payload特征、發(fā)包行為特征、QPS特征、 HOST、UA、URL等;
• 限速，對(duì)流量/訪問的速率進(jìn)行限流。

3. 敲詐勒索產(chǎn)業(yè)鏈

網(wǎng)絡(luò)敲詐勒索是一種犯罪，它對(duì)企業(yè)造成攻擊事實(shí)和攻擊威脅后，大都會(huì)向企業(yè)提出金錢要求來避免或停止攻擊。

隨著勒索即服務(wù)RaaS模式的興起，勒索軟件的制作、分發(fā)和銷售分工明確，入門檻也將降低，具備廣泛分銷網(wǎng)絡(luò)的復(fù)雜犯罪組織也將介入勒索軟件市場，即使技術(shù)一般的人也很容易開始傳播惡意軟件來牟取暴利。

勒索軟件的傳播手段主要以成本較低的郵件傳播為主。同時(shí)也有針對(duì)醫(yī)院、企業(yè)等特定組織的攻擊，通過入侵組織內(nèi)部的服務(wù)器，散播勒索軟件。隨著人們對(duì)勒索軟件的警惕性提高，勒索者也增加了其他的傳播渠道，具體的傳播方式如下：

• 郵件傳播：攻擊者以廣撒網(wǎng)的方式大量傳播垃圾郵件、釣魚郵件，一旦收件人打開郵件附件或者點(diǎn)擊郵件中的鏈接地址，勒索軟件會(huì)以用戶看不見的形式在后臺(tái)靜默安裝，實(shí)施勒索;
• 漏洞傳播：當(dāng)用戶正常訪問網(wǎng)站時(shí)，攻擊者利用頁面上的惡意廣告驗(yàn)證用戶的瀏覽器是否有可利用的漏洞。如果存在，則利用漏洞將勒索軟件下載到用戶的主機(jī);
• 捆綁傳播：與其他惡意軟件捆綁傳播;
• 僵尸網(wǎng)絡(luò)傳播：一方面僵尸網(wǎng)絡(luò)可以發(fā)送大量的垃圾郵件，另一方面僵尸網(wǎng)絡(luò)為勒索軟件即服務(wù)(RaaS)的發(fā)展起到了支撐作用;
• 可移動(dòng)存儲(chǔ)介質(zhì)、本地和遠(yuǎn)程的驅(qū)動(dòng)器(如C盤和掛載的磁盤)傳播：惡意軟件會(huì)自我復(fù)制到所有本地驅(qū)動(dòng)器的根目錄中，并成為具有隱藏屬性和系統(tǒng)屬性的可執(zhí)行文件;
• 文件共享網(wǎng)站傳播：勒索軟件存儲(chǔ)在一些小眾的文件共享網(wǎng)站，等待用戶點(diǎn)擊鏈接下載文件;
• 網(wǎng)頁掛馬傳播：當(dāng)用戶不小心訪問惡意網(wǎng)站時(shí)，勒索軟件會(huì)被瀏覽器自動(dòng)下載并在后臺(tái)運(yùn)行;
• 社交網(wǎng)絡(luò)傳播：勒索軟件以社交網(wǎng)絡(luò)中的.JPG圖片或者其他惡意文件載體傳播。

4. 信息竊取產(chǎn)業(yè)鏈

信息竊取通常指黑客通過木馬類的病毒植入到受害者計(jì)算機(jī)中，定期獲取受害者有商業(yè)價(jià)值的敏感賬號(hào)信息，或者通過互聯(lián)網(wǎng)入侵包含大量有價(jià)值信息的網(wǎng)站竊取信息。獲取到信息后通過篩選、清洗和倒賣進(jìn)行獲利，比如這次某知名視頻網(wǎng)站的用戶數(shù)據(jù)售賣事件。

5. 大數(shù)據(jù)撞庫產(chǎn)業(yè)鏈

什么是撞庫攻擊?簡單來說，在盜取他人在A網(wǎng)站的賬號(hào)密碼后，去B網(wǎng)站嘗試登陸，就是撞庫攻擊。在早些年，盜取他人賬號(hào)主要靠木馬，密碼字典則靠軟件生成，而隨著近幾年頻繁出現(xiàn)網(wǎng)站數(shù)據(jù)庫泄漏事件，撞庫攻擊逐漸成為主流的盜號(hào)方式。撞庫的數(shù)據(jù)來源除了黑客直接“脫庫”外，主要來自“信息竊取”產(chǎn)業(yè)。其完整過程如下：

目前，不少人習(xí)慣多個(gè)平臺(tái)用同一賬戶密碼，一旦有一平臺(tái)的賬號(hào)密碼被竊取，其他平臺(tái)的同一賬號(hào)密碼全部需要馬上修改。針對(duì)這種攻擊方式，建議大家：

• 定期更改各網(wǎng)絡(luò)賬號(hào)的密碼，盡量不要使用過于簡單的密碼。
• 盡量在不同的平臺(tái)設(shè)置不一樣的密碼，避免某一賬號(hào)出現(xiàn)問題后導(dǎo)致其他賬號(hào)出現(xiàn)連鎖反應(yīng)。

6. 網(wǎng)絡(luò)釣魚產(chǎn)業(yè)鏈

網(wǎng)絡(luò)釣魚是指網(wǎng)絡(luò)非法攻擊者利用欺騙性垃圾郵件或網(wǎng)絡(luò)鏈接等，引誘互聯(lián)網(wǎng)用戶點(diǎn)擊進(jìn)入其偽造的Web站點(diǎn)，以使點(diǎn)擊者輸入個(gè)人敏感信息，并用這些信息用于網(wǎng)絡(luò)詐騙等非法用途。該偽造Web站點(diǎn)往往通過精心設(shè)計(jì)，與某知名企業(yè)或機(jī)構(gòu)網(wǎng)站非常相似。點(diǎn)擊者對(duì)此偽造Web站點(diǎn)往往疏于鑒別，加上對(duì)相關(guān)知名企業(yè)或機(jī)構(gòu)的信任，就會(huì)在偽造Web站點(diǎn)上輸入自己的私人信息資料，如：各種網(wǎng)絡(luò)用戶名(ID)、口令密碼、個(gè)人身份證號(hào)、銀行卡號(hào)及密碼等。

據(jù)央視調(diào)查結(jié)果表明：31.8%有網(wǎng)絡(luò)購物經(jīng)歷的網(wǎng)民曾在網(wǎng)購過程中遇到釣魚網(wǎng)站或詐騙網(wǎng)站，網(wǎng)購被騙網(wǎng)民的規(guī)模達(dá)6169萬人次。超過39.7%的網(wǎng)民損失額度超過500元。根據(jù)估算，最近幾年，釣魚網(wǎng)站或詐騙網(wǎng)站給網(wǎng)民造成的損失每年都達(dá)到300億元以上。

日益猖獗的黑客攻擊，如何防范

黑色產(chǎn)業(yè)不斷擴(kuò)大，威脅發(fā)展太快，安全形勢(shì)日益嚴(yán)峻。建議廣大用戶做好日常防范措施：

• 文明上網(wǎng)，不點(diǎn)擊來歷不明郵件或鏈接;
• 做好密碼管理，如不使用簡單密碼，定期更新密碼、不同平臺(tái)使用不同賬戶密碼;
• 安裝終端病毒檢測查殺工具，定期升級(jí)。

對(duì)于企業(yè)用戶，小編提供以下10個(gè)建議保護(hù)您以及您的單位免受黑客攻擊的傷害：

(1) 制定備份與恢復(fù)計(jì)劃。經(jīng)常備份您的系統(tǒng)，并且將備份文件離線存儲(chǔ)到獨(dú)立設(shè)備。

(2) 使用專業(yè)的電子郵件與網(wǎng)絡(luò)安全工具，可以分析電子郵件附件、網(wǎng)頁、或文件是否包含惡意軟件，可以隔離沒有業(yè)務(wù)相關(guān)性的潛在破壞性廣告與社交媒體網(wǎng)站。

(3) 及時(shí)對(duì)操作系統(tǒng)、設(shè)備、以及軟件進(jìn)行打補(bǔ)丁和更新。

(4) 確保您的安全設(shè)備及安全軟件等升級(jí)到最新版本，包括網(wǎng)絡(luò)上的反病毒、入侵防護(hù)系統(tǒng)、以及反惡意軟件工具等。

(5) 在可能的情況下，使用應(yīng)用程序白名單，以防止非法應(yīng)用程序下載或運(yùn)行。

(6) 做好網(wǎng)絡(luò)安全隔離，將您的網(wǎng)絡(luò)隔離到安全區(qū)，確保某個(gè)區(qū)域的感染不會(huì)輕易擴(kuò)散到其他區(qū)域。

(7) 建立并實(shí)施權(quán)限與特權(quán)制度，使大多數(shù)用戶無法感染到關(guān)鍵應(yīng)用程序、數(shù)據(jù)、或服務(wù)。

(8) 建立并實(shí)施自帶設(shè)備安全策略，檢查并隔離不符合安全標(biāo)準(zhǔn)(沒有安裝反惡意軟件、反病毒文件過期、操作系統(tǒng)需要關(guān)鍵性補(bǔ)丁等)的設(shè)備。

(9) 部署鑒定分析工具，可以在攻擊過后確認(rèn)：

• 感染來自何處;
• 病毒已經(jīng)在您的環(huán)境中潛伏多長時(shí)間;
• 是否已經(jīng)從所有設(shè)備移除了感染文件;
• 所有設(shè)備是否恢復(fù)正常。

(10) 最關(guān)鍵的是：加強(qiáng)用戶安全意識(shí)培訓(xùn)，不要下載不明文件、點(diǎn)擊不明電子郵件附件、或點(diǎn)擊電子郵件中來路不明的網(wǎng)頁鏈接;畢竟人是安全鏈中最薄弱的一環(huán)，需要圍繞他們制定計(jì)劃。