信息來源：51cto

近日，暗網(wǎng)突現(xiàn)一條售賣信息，一名黑客號稱出售兩個日流量超百萬的知名站點(diǎn)的Shell及內(nèi)網(wǎng)權(quán)限，其中一個站點(diǎn)以40萬的價格打包出售近千萬用戶數(shù)據(jù)，包括用戶 ID、昵稱、“加密存儲”的密碼等信息!一時間，震驚整個互聯(lián)網(wǎng)。

不僅如此，近期出現(xiàn)在暗網(wǎng)上售賣的還有一云平臺內(nèi)部管理賬戶密碼機(jī)房架構(gòu)圖。

那么，暗網(wǎng)究竟是什么?

首先，互聯(lián)網(wǎng)大家都應(yīng)該知道，在互聯(lián)網(wǎng)里，可公開訪問的網(wǎng)站(我們稱之為“明網(wǎng)”)只占數(shù)據(jù)信息的很小一部分。如同海面之下的冰山，還存在一個更龐大的、采取非公開機(jī)制訪問的平行網(wǎng)絡(luò)世界——暗網(wǎng)和深網(wǎng)。這里才是一切法律難以打擊而且暴利的交易活躍之地，例如盜版、色情、買兇、軍火、恐怖分子，當(dāng)然也包括黑客。網(wǎng)絡(luò)分布大致如下圖所示：

其中散落暗網(wǎng)中的匿名訪問的隱私黑客論壇是黑客交易場，一旦你被黑客圈子或組織認(rèn)可，能夠進(jìn)入暗網(wǎng)中的黑客論壇上就可以找到各種非法服務(wù)。也就是說，不需要高深的技術(shù)，一個普通的黑客就可以輕松發(fā)起網(wǎng)絡(luò)攻擊!

這些論壇無法搜索定位，需要很多的驗(yàn)證程序及其他黑客會員擔(dān)保。上圖為信服君在一暗網(wǎng)中文黑客論壇的截圖，可以看到，這里黑客正在出售網(wǎng)站入侵、數(shù)據(jù)庫脫褲服務(wù)。

為什么全球互聯(lián)網(wǎng)黑產(chǎn)交易目前主要集中地依然在暗網(wǎng)呢?

目前訪問暗網(wǎng)主流方式是通過Tor來進(jìn)行訪問，匿名性極強(qiáng)。Tor采用了洋蔥路由加密網(wǎng)絡(luò)技術(shù)，其傳輸協(xié)議使用了大量的代理服務(wù)器和嚴(yán)格的加密方式，從而導(dǎo)致他人無法追蹤到用戶的具體位置，并且讓用戶在互聯(lián)網(wǎng)上有著絕對的匿名性。保證身份匿名后，用來交易的貨幣同樣需要匿名，因此像比特幣(Bitcoin)這種本身是為了匿名流通而設(shè)計(jì)的貨幣成為暗網(wǎng)交易的主要貨幣。這種全匿名的交易模式，吸引了全球的犯罪分子，當(dāng)然也包含全球的黑客。

除了暗網(wǎng)交易，社交交易是中國特色黑產(chǎn)模式

與全球主流的依賴暗網(wǎng)進(jìn)行網(wǎng)絡(luò)犯罪的方式不同，我國的互聯(lián)網(wǎng)黑產(chǎn)從業(yè)者更多的是通過社交工具來進(jìn)行犯罪業(yè)務(wù)拓展。同時講究“師傅帶徒弟”模式，新入門的人一般為徒弟，當(dāng)然這里需要交一定的“學(xué)費(fèi)”。這些活動主要在QQ上進(jìn)行，一般黑客會建立一個QQ群，然后在網(wǎng)上發(fā)布自己的QQ號，通常做法是批量在網(wǎng)站上掛黑頁，擴(kuò)大知名度，吸引一些熱愛黑客技術(shù)或者有“業(yè)務(wù)需求”的人群。如下圖所示：

通過各種手段收到一定數(shù)量的“徒弟”后，黑客群主會定期發(fā)布一些“課程”來培養(yǎng)他們。

某黑客QQ群發(fā)布的部門“學(xué)習(xí)課程”

通過一段時間的培養(yǎng)后，群主將帶領(lǐng)“徒弟們”一起接單做黑產(chǎn)生意來積累經(jīng)驗(yàn)，比如參與網(wǎng)站攻擊，盜取銀行賬號和密碼、Q幣等虛擬幣。一段時間后，徒弟出師單干，繼續(xù)收徒，以此發(fā)展。

暗網(wǎng)里交易的黑色產(chǎn)業(yè)鏈都有哪些

在暗網(wǎng)里的交易，根據(jù)任務(wù)難度的高低，黑客服務(wù)的報(bào)價通常有很大差別，有些任務(wù)通常還需要多個黑客群體協(xié)同工作才能完成。這個時候就會形成一條分工明確的黑色產(chǎn)業(yè)鏈條。目前的黑產(chǎn)產(chǎn)業(yè)鏈包括了惡意軟件產(chǎn)業(yè)鏈、DDoS產(chǎn)業(yè)鏈、敲詐勒索產(chǎn)業(yè)鏈、信息竊取產(chǎn)業(yè)鏈、大數(shù)據(jù)撞庫產(chǎn)業(yè)鏈、網(wǎng)絡(luò)釣魚產(chǎn)業(yè)鏈、惡意廣告產(chǎn)業(yè)鏈、業(yè)務(wù)欺詐產(chǎn)業(yè)鏈等。

1. 惡意軟件產(chǎn)業(yè)鏈

惡意軟件是指在計(jì)算機(jī)系統(tǒng)上執(zhí)行惡意任務(wù)的病毒、蠕蟲和特洛伊木馬的程序，通過破壞軟件進(jìn)程來實(shí)施控制。

在這個環(huán)節(jié)，無論是網(wǎng)馬制作者還是傳播者，都會不遺余力的在網(wǎng)絡(luò)中散播惡意軟件，網(wǎng)絡(luò)用戶在瀏覽一些惡意網(wǎng)站，或者從不安全的站點(diǎn)下載游戲或其他程序時，往往會連同惡意程序一并帶入電腦，而用戶本人對此毫不知情。直到有惡意廣告不斷彈出或色情網(wǎng)站自動出現(xiàn)時，用戶才有可能發(fā)覺電腦已中毒。在惡意軟件未被發(fā)現(xiàn)的這段時間，用戶的所有敏感資料都有可能被盜走，比如銀行賬戶信息、信用卡密碼等。

獲得用戶敏感信息后，黑客對這些信息進(jìn)行整理和篩選，然后“洗庫”。將有價值的財(cái)產(chǎn)全部轉(zhuǎn)移，例如銀行卡余額，Q幣，游戲幣等，最后再大批次循環(huán)轉(zhuǎn)賬洗錢分贓。

2. DDoS產(chǎn)業(yè)鏈

DDoS攻擊指黑客組織通過控制服務(wù)器、肉雞等資源，發(fā)動對包括國家骨干網(wǎng)絡(luò)、重要網(wǎng)絡(luò)設(shè)施、政企或個人網(wǎng)站在內(nèi)的互聯(lián)網(wǎng)上任一目標(biāo)的攻擊，致使目標(biāo)服務(wù)器斷網(wǎng)，最終停止提供服務(wù)。在這條黑色產(chǎn)業(yè)鏈中，相關(guān)從業(yè)人員或已達(dá)到38萬余人，涉及6000多個大大小小的黑產(chǎn)團(tuán)伙，年產(chǎn)值可能超過100億人民幣。

DDoS只是黑客手里的籌碼，其最終目的要么敲詐勒索、要么利益沖突、要么表達(dá)政治立場。近幾年，高收益行業(yè)深受DDoS攻擊困擾，特別是游戲行業(yè)，經(jīng)常遇到DDos攻擊導(dǎo)致服務(wù)器宕機(jī)業(yè)務(wù)中斷。

目前，對于DDoS攻擊，普遍采用的防護(hù)手段包括：

• 源驗(yàn)證/反向探測，對源進(jìn)探測和人機(jī)識別，段包括cookie、識別碼等;
• 限源，即對源IP或協(xié)議進(jìn)行限制，blacklist是一個常見手段;
• 特征丟棄，依據(jù)數(shù)據(jù)包的特征或訪問行為進(jìn)行丟棄，如基于Payload特征、發(fā)包行為特征、QPS特征、 HOST、UA、URL等;
• 限速，對流量/訪問的速率進(jìn)行限流。

3. 敲詐勒索產(chǎn)業(yè)鏈

網(wǎng)絡(luò)敲詐勒索是一種犯罪，它對企業(yè)造成攻擊事實(shí)和攻擊威脅后，大都會向企業(yè)提出金錢要求來避免或停止攻擊。

隨著勒索即服務(wù)RaaS模式的興起，勒索軟件的制作、分發(fā)和銷售分工明確，入門檻也將降低，具備廣泛分銷網(wǎng)絡(luò)的復(fù)雜犯罪組織也將介入勒索軟件市場，即使技術(shù)一般的人也很容易開始傳播惡意軟件來牟取暴利。

勒索軟件的傳播手段主要以成本較低的郵件傳播為主。同時也有針對醫(yī)院、企業(yè)等特定組織的攻擊，通過入侵組織內(nèi)部的服務(wù)器，散播勒索軟件。隨著人們對勒索軟件的警惕性提高，勒索者也增加了其他的傳播渠道，具體的傳播方式如下：

• 郵件傳播：攻擊者以廣撒網(wǎng)的方式大量傳播垃圾郵件、釣魚郵件，一旦收件人打開郵件附件或者點(diǎn)擊郵件中的鏈接地址，勒索軟件會以用戶看不見的形式在后臺靜默安裝，實(shí)施勒索;
• 漏洞傳播：當(dāng)用戶正常訪問網(wǎng)站時，攻擊者利用頁面上的惡意廣告驗(yàn)證用戶的瀏覽器是否有可利用的漏洞。如果存在，則利用漏洞將勒索軟件下載到用戶的主機(jī);
• 捆綁傳播：與其他惡意軟件捆綁傳播;
• 僵尸網(wǎng)絡(luò)傳播：一方面僵尸網(wǎng)絡(luò)可以發(fā)送大量的垃圾郵件，另一方面僵尸網(wǎng)絡(luò)為勒索軟件即服務(wù)(RaaS)的發(fā)展起到了支撐作用;
• 可移動存儲介質(zhì)、本地和遠(yuǎn)程的驅(qū)動器(如C盤和掛載的磁盤)傳播：惡意軟件會自我復(fù)制到所有本地驅(qū)動器的根目錄中，并成為具有隱藏屬性和系統(tǒng)屬性的可執(zhí)行文件;
• 文件共享網(wǎng)站傳播：勒索軟件存儲在一些小眾的文件共享網(wǎng)站，等待用戶點(diǎn)擊鏈接下載文件;
• 網(wǎng)頁掛馬傳播：當(dāng)用戶不小心訪問惡意網(wǎng)站時，勒索軟件會被瀏覽器自動下載并在后臺運(yùn)行;
• 社交網(wǎng)絡(luò)傳播：勒索軟件以社交網(wǎng)絡(luò)中的.JPG圖片或者其他惡意文件載體傳播。

4. 信息竊取產(chǎn)業(yè)鏈

信息竊取通常指黑客通過木馬類的病毒植入到受害者計(jì)算機(jī)中，定期獲取受害者有商業(yè)價值的敏感賬號信息，或者通過互聯(lián)網(wǎng)入侵包含大量有價值信息的網(wǎng)站竊取信息。獲取到信息后通過篩選、清洗和倒賣進(jìn)行獲利，比如這次某知名視頻網(wǎng)站的用戶數(shù)據(jù)售賣事件。

5. 大數(shù)據(jù)撞庫產(chǎn)業(yè)鏈

什么是撞庫攻擊?簡單來說，在盜取他人在A網(wǎng)站的賬號密碼后，去B網(wǎng)站嘗試登陸，就是撞庫攻擊。在早些年，盜取他人賬號主要靠木馬，密碼字典則靠軟件生成，而隨著近幾年頻繁出現(xiàn)網(wǎng)站數(shù)據(jù)庫泄漏事件，撞庫攻擊逐漸成為主流的盜號方式。撞庫的數(shù)據(jù)來源除了黑客直接“脫庫”外，主要來自“信息竊取”產(chǎn)業(yè)。其完整過程如下：

目前，不少人習(xí)慣多個平臺用同一賬戶密碼，一旦有一平臺的賬號密碼被竊取，其他平臺的同一賬號密碼全部需要馬上修改。針對這種攻擊方式，建議大家：

• 定期更改各網(wǎng)絡(luò)賬號的密碼，盡量不要使用過于簡單的密碼。
• 盡量在不同的平臺設(shè)置不一樣的密碼，避免某一賬號出現(xiàn)問題后導(dǎo)致其他賬號出現(xiàn)連鎖反應(yīng)。

6. 網(wǎng)絡(luò)釣魚產(chǎn)業(yè)鏈

網(wǎng)絡(luò)釣魚是指網(wǎng)絡(luò)非法攻擊者利用欺騙性垃圾郵件或網(wǎng)絡(luò)鏈接等，引誘互聯(lián)網(wǎng)用戶點(diǎn)擊進(jìn)入其偽造的Web站點(diǎn)，以使點(diǎn)擊者輸入個人敏感信息，并用這些信息用于網(wǎng)絡(luò)詐騙等非法用途。該偽造Web站點(diǎn)往往通過精心設(shè)計(jì)，與某知名企業(yè)或機(jī)構(gòu)網(wǎng)站非常相似。點(diǎn)擊者對此偽造Web站點(diǎn)往往疏于鑒別，加上對相關(guān)知名企業(yè)或機(jī)構(gòu)的信任，就會在偽造Web站點(diǎn)上輸入自己的私人信息資料，如：各種網(wǎng)絡(luò)用戶名(ID)、口令密碼、個人身份證號、銀行卡號及密碼等。

據(jù)央視調(diào)查結(jié)果表明：31.8%有網(wǎng)絡(luò)購物經(jīng)歷的網(wǎng)民曾在網(wǎng)購過程中遇到釣魚網(wǎng)站或詐騙網(wǎng)站，網(wǎng)購被騙網(wǎng)民的規(guī)模達(dá)6169萬人次。超過39.7%的網(wǎng)民損失額度超過500元。根據(jù)估算，最近幾年，釣魚網(wǎng)站或詐騙網(wǎng)站給網(wǎng)民造成的損失每年都達(dá)到300億元以上。

日益猖獗的黑客攻擊，如何防范

黑色產(chǎn)業(yè)不斷擴(kuò)大，威脅發(fā)展太快，安全形勢日益嚴(yán)峻。建議廣大用戶做好日常防范措施：

• 文明上網(wǎng)，不點(diǎn)擊來歷不明郵件或鏈接;
• 做好密碼管理，如不使用簡單密碼，定期更新密碼、不同平臺使用不同賬戶密碼;
• 安裝終端病毒檢測查殺工具，定期升級。

對于企業(yè)用戶，小編提供以下10個建議保護(hù)您以及您的單位免受黑客攻擊的傷害：

(1) 制定備份與恢復(fù)計(jì)劃。經(jīng)常備份您的系統(tǒng)，并且將備份文件離線存儲到獨(dú)立設(shè)備。

(2) 使用專業(yè)的電子郵件與網(wǎng)絡(luò)安全工具，可以分析電子郵件附件、網(wǎng)頁、或文件是否包含惡意軟件，可以隔離沒有業(yè)務(wù)相關(guān)性的潛在破壞性廣告與社交媒體網(wǎng)站。

(3) 及時對操作系統(tǒng)、設(shè)備、以及軟件進(jìn)行打補(bǔ)丁和更新。

(4) 確保您的安全設(shè)備及安全軟件等升級到最新版本，包括網(wǎng)絡(luò)上的反病毒、入侵防護(hù)系統(tǒng)、以及反惡意軟件工具等。

(5) 在可能的情況下，使用應(yīng)用程序白名單，以防止非法應(yīng)用程序下載或運(yùn)行。

(6) 做好網(wǎng)絡(luò)安全隔離，將您的網(wǎng)絡(luò)隔離到安全區(qū)，確保某個區(qū)域的感染不會輕易擴(kuò)散到其他區(qū)域。

(7) 建立并實(shí)施權(quán)限與特權(quán)制度，使大多數(shù)用戶無法感染到關(guān)鍵應(yīng)用程序、數(shù)據(jù)、或服務(wù)。

(8) 建立并實(shí)施自帶設(shè)備安全策略，檢查并隔離不符合安全標(biāo)準(zhǔn)(沒有安裝反惡意軟件、反病毒文件過期、操作系統(tǒng)需要關(guān)鍵性補(bǔ)丁等)的設(shè)備。

(9) 部署鑒定分析工具，可以在攻擊過后確認(rèn)：

• 感染來自何處;
• 病毒已經(jīng)在您的環(huán)境中潛伏多長時間;
• 是否已經(jīng)從所有設(shè)備移除了感染文件;
• 所有設(shè)備是否恢復(fù)正常。

(10) 最關(guān)鍵的是：加強(qiáng)用戶安全意識培訓(xùn)，不要下載不明文件、點(diǎn)擊不明電子郵件附件、或點(diǎn)擊電子郵件中來路不明的網(wǎng)頁鏈接;畢竟人是安全鏈中最薄弱的一環(huán)，需要圍繞他們制定計(jì)劃。