近日,暗网突现一条售卖信息,一名黑客号称出售两个日流量超百万的知名站点的Shell及内网权限,其中一个站点以40万的价格打包出售近千万用户数据,包括用户 ID、昵称、“加密存储”的密码等信息!一时间,震惊整个互联网。
不仅如此,近期出现在暗网上售卖的还有一云平台内部管理账户密码机房架构图。
那么,暗网究竟是什么?
首先,互联网大家都应该知道,在互联网里,可公开访问的网站(我们称之为“明网”)只占数据信息的很小一部分。如同海面之下的冰山,还存在一个更庞大的、采取非公开机制访问的平行网络世界——暗网和深网。这里才是一切法律难以打击而且暴利的交易活跃之地,例如盗版、色情、买凶、军火、恐怖分子,当然也包括黑客。网络分布大致如下图所示:
其中散落暗网中的匿名访问的隐私黑客论坛是黑客交易场,一旦你被黑客圈子或组织认可,能够进入暗网中的黑客论坛上就可以找到各种非法服务。也就是说,不需要高深的技术,一个普通的黑客就可以轻松发起网络攻击!
这些论坛无法搜索定位,需要很多的验证程序及其他黑客会员担保。上图为信服君在一暗网中文黑客论坛的截图,可以看到,这里黑客正在出售网站入侵、数据库脱裤服务。
为什么全球互联网黑产交易目前主要集中地依然在暗网呢?
目前访问暗网主流方式是通过Tor来进行访问,匿名性极强。Tor采用了洋葱路由加密网络技术,其传输协议使用了大量的代理服务器和严格的加密方式,从而导致他人无法追踪到用户的具体位置,并且让用户在互联网上有着绝对的匿名性。保证身份匿名后,用来交易的货币同样需要匿名,因此像比特币(Bitcoin)这种本身是为了匿名流通而设计的货币成为暗网交易的主要货币。这种全匿名的交易模式,吸引了全球的犯罪分子,当然也包含全球的黑客。
除了暗网交易,社交交易是中国特色黑产模式
与全球主流的依赖暗网进行网络犯罪的方式不同,我国的互联网黑产从业者更多的是通过社交工具来进行犯罪业务拓展。同时讲究“师傅带徒弟”模式,新入门的人一般为徒弟,当然这里需要交一定的“学费”。这些活动主要在QQ上进行,一般黑客会建立一个QQ群,然后在网上发布自己的QQ号,通常做法是批量在网站上挂黑页,扩大知名度,吸引一些热爱黑客技术或者有“业务需求”的人群。如下图所示:
通过各种手段收到一定数量的“徒弟”后,黑客群主会定期发布一些“课程”来培养他们。
某黑客QQ群发布的部门“学习课程”
通过一段时间的培养后,群主将带领“徒弟们”一起接单做黑产生意来积累经验,比如参与网站攻击,盗取银行账号和密码、Q币等虚拟币。一段时间后,徒弟出师单干,继续收徒,以此发展。
暗网里交易的黑色产业链都有哪些
在暗网里的交易,根据任务难度的高低,黑客服务的报价通常有很大差别,有些任务通常还需要多个黑客群体协同工作才能完成。这个时候就会形成一条分工明确的黑色产业链条。目前的黑产产业链包括了恶意软件产业链、DDoS产业链、敲诈勒索产业链、信息窃取产业链、大数据撞库产业链、网络钓鱼产业链、恶意广告产业链、业务欺诈产业链等。
1. 恶意软件产业链
恶意软件是指在计算机系统上执行恶意任务的病毒、蠕虫和特洛伊木马的程序,通过破坏软件进程来实施控制。
在这个环节,无论是网马制作者还是传播者,都会不遗余力的在网络中散播恶意软件,网络用户在浏览一些恶意网站,或者从不安全的站点下载游戏或其他程序时,往往会连同恶意程序一并带入电脑,而用户本人对此毫不知情。直到有恶意广告不断弹出或色情网站自动出现时,用户才有可能发觉电脑已中毒。在恶意软件未被发现的这段时间,用户的所有敏感资料都有可能被盗走,比如银行账户信息、信用卡密码等。
获得用户敏感信息后,黑客对这些信息进行整理和筛选,然后“洗库”。将有价值的财产全部转移,例如银行卡余额,Q币,游戏币等,最后再大批次循环转账洗钱分赃。
2. DDoS产业链
DDoS攻击指黑客组织通过控制服务器、肉鸡等资源,发动对包括国家骨干网络、重要网络设施、政企或个人网站在内的互联网上任一目标的攻击,致使目标服务器断网,最终停止提供服务。在这条黑色产业链中,相关从业人员或已达到38万余人,涉及6000多个大大小小的黑产团伙,年产值可能超过100亿人民币。
DDoS只是黑客手里的筹码,其最终目的要么敲诈勒索、要么利益冲突、要么表达政治立场。近几年,高收益行业深受DDoS攻击困扰,特别是游戏行业,经常遇到DDos攻击导致服务器宕机业务中断。
目前,对于DDoS攻击,普遍采用的防护手段包括:
- 源验证/反向探测,对源进探测和人机识别,段包括cookie、识别码等;
- 限源,即对源IP或协议进行限制,blacklist是一个常见手段;
- 特征丢弃,依据数据包的特征或访问行为进行丢弃,如基于Payload特征、发包行为特征、QPS特征、 HOST、UA、URL等;
- 限速,对流量/访问的速率进行限流。
3. 敲诈勒索产业链
网络敲诈勒索是一种犯罪,它对企业造成攻击事实和攻击威胁后,大都会向企业提出金钱要求来避免或停止攻击。
随着勒索即服务RaaS模式的兴起,勒索软件的制作、分发和销售分工明确,入门槛也将降低,具备广泛分销网络的复杂犯罪组织也将介入勒索软件市场,即使技术一般的人也很容易开始传播恶意软件来牟取暴利。
勒索软件的传播手段主要以成本较低的邮件传播为主。同时也有针对医院、企业等特定组织的攻击,通过入侵组织内部的服务器,散播勒索软件。随着人们对勒索软件的警惕性提高,勒索者也增加了其他的传播渠道,具体的传播方式如下:
- 邮件传播:攻击者以广撒网的方式大量传播垃圾邮件、钓鱼邮件,一旦收件人打开邮件附件或者点击邮件中的链接地址,勒索软件会以用户看不见的形式在后台静默安装,实施勒索;
- 漏洞传播:当用户正常访问网站时,攻击者利用页面上的恶意广告验证用户的浏览器是否有可利用的漏洞。如果存在,则利用漏洞将勒索软件下载到用户的主机;
- 捆绑传播:与其他恶意软件捆绑传播;
- 僵尸网络传播:一方面僵尸网络可以发送大量的垃圾邮件,另一方面僵尸网络为勒索软件即服务(RaaS)的发展起到了支撑作用;
- 可移动存储介质、本地和远程的驱动器(如C盘和挂载的磁盘)传播:恶意软件会自我复制到所有本地驱动器的根目录中,并成为具有隐藏属性和系统属性的可执行文件;
- 文件共享网站传播:勒索软件存储在一些小众的文件共享网站,等待用户点击链接下载文件;
- 网页挂马传播:当用户不小心访问恶意网站时,勒索软件会被浏览器自动下载并在后台运行;
- 社交网络传播:勒索软件以社交网络中的.JPG图片或者其他恶意文件载体传播。
4. 信息窃取产业链
信息窃取通常指黑客通过木马类的病毒植入到受害者计算机中,定期获取受害者有商业价值的敏感账号信息,或者通过互联网入侵包含大量有价值信息的网站窃取信息。获取到信息后通过筛选、清洗和倒卖进行获利,比如这次某知名视频网站的用户数据售卖事件。
5. 大数据撞库产业链
什么是撞库攻击?简单来说,在盗取他人在A网站的账号密码后,去B网站尝试登陆,就是撞库攻击。在早些年,盗取他人账号主要靠木马,密码字典则靠软件生成,而随着近几年频繁出现网站数据库泄漏事件,撞库攻击逐渐成为主流的盗号方式。撞库的数据来源除了黑客直接“脱库”外,主要来自“信息窃取”产业。其完整过程如下:
目前,不少人习惯多个平台用同一账户密码,一旦有一平台的账号密码被窃取,其他平台的同一账号密码全部需要马上修改。针对这种攻击方式,建议大家:
- 定期更改各网络账号的密码,尽量不要使用过于简单的密码。
- 尽量在不同的平台设置不一样的密码,避免某一账号出现问题后导致其他账号出现连锁反应。
6. 网络钓鱼产业链
网络钓鱼是指网络非法攻击者利用欺骗性垃圾邮件或网络链接等,引诱互联网用户点击进入其伪造的Web站点,以使点击者输入个人敏感信息,并用这些信息用于网络诈骗等非法用途。该伪造Web站点往往通过精心设计,与某知名企业或机构网站非常相似。点击者对此伪造Web站点往往疏于鉴别,加上对相关知名企业或机构的信任,就会在伪造Web站点上输入自己的私人信息资料,如:各种网络用户名(ID)、口令密码、个人身份证号、银行卡号及密码等。
据央视调查结果表明:31.8%有网络购物经历的网民曾在网购过程中遇到钓鱼网站或诈骗网站,网购被骗网民的规模达6169万人次。超过39.7%的网民损失额度超过500元。根据估算,最近几年,钓鱼网站或诈骗网站给网民造成的损失每年都达到300亿元以上。
日益猖獗的黑客攻击,如何防范
黑色产业不断扩大,威胁发展太快,安全形势日益严峻。建议广大用户做好日常防范措施:
- 文明上网,不点击来历不明邮件或链接;
- 做好密码管理,如不使用简单密码,定期更新密码、不同平台使用不同账户密码;
- 安装终端病毒检测查杀工具,定期升级。
对于企业用户,小编提供以下10个建议保护您以及您的单位免受黑客攻击的伤害:
(1) 制定备份与恢复计划。经常备份您的系统,并且将备份文件离线存储到独立设备。
(2) 使用专业的电子邮件与网络安全工具,可以分析电子邮件附件、网页、或文件是否包含恶意软件,可以隔离没有业务相关性的潜在破坏性广告与社交媒体网站。
(3) 及时对操作系统、设备、以及软件进行打补丁和更新。
(4) 确保您的安全设备及安全软件等升级到最新版本,包括网络上的反病毒、入侵防护系统、以及反恶意软件工具等。
(5) 在可能的情况下,使用应用程序白名单,以防止非法应用程序下载或运行。
(6) 做好网络安全隔离,将您的网络隔离到安全区,确保某个区域的感染不会轻易扩散到其他区域。
(7) 建立并实施权限与特权制度,使大多数用户无法感染到关键应用程序、数据、或服务。
(8) 建立并实施自带设备安全策略,检查并隔离不符合安全标准(没有安装反恶意软件、反病毒文件过期、操作系统需要关键性补丁等)的设备。
(9) 部署鉴定分析工具,可以在攻击过后确认:
- 感染来自何处;
- 病毒已经在您的环境中潜伏多长时间;
- 是否已经从所有设备移除了感染文件;
- 所有设备是否恢复正常。
(10) 最关键的是:加强用户安全意识培训,不要下载不明文件、点击不明电子邮件附件、或点击电子邮件中来路不明的网页链接;毕竟人是安全链中最薄弱的一环,需要围绕他们制定计划。