专栏名称: 安在
人物、热点、互动、传播,最有内涵的信息安全新媒体。
目录
相关文章推荐
中国出口信用保险公司  ·  “3·15”专题:信保助力权益保障 ... ·  22 小时前  
中国出口信用保险公司  ·  “3·15”专题:信保助力权益保障 ... ·  22 小时前  
厦门广电  ·  传Windows停止供货!华为PC或全面转向 ... ·  昨天  
厦门广电  ·  传Windows停止供货!华为PC或全面转向 ... ·  昨天  
如东新媒体  ·  紧急提醒! ·  昨天  
如东新媒体  ·  紧急提醒! ·  昨天  
51好读  ›  专栏  ›  安在

暗网和比特币呵护下的黑产帝国,“勒索”渐成网络犯罪巨头|深度

安在  · 公众号  · 互联网安全  · 2017-03-15 16:57

正文



一言不合就突然呈现爆发式的增长。被称为“勒索软件之年”的2016年,勒索软件家族增长了748%,呈现出爆发态势,进入2017年,反而有愈演愈烈的趋势。

这似乎有点诡谲,但这一切都源于互联网的另一个维度的存在,于普通人遥不可及的、需要通过Tor等匿名浏览器登录的——暗网。

在这里,勒索软件正在进行销售或者租赁,Tor网络是随机匿名并且加密传输的,比特币交易也是完全匿名的,这使得病毒作者难以被追踪到。

互联网的另一个世界——暗网


知名安全公司火绒联合创始人马刚提供给“安在”的调查报告显示:勒索事件频发的背后,依靠的是一套完整的病毒制造、代码混淆(对抗)、传播最终变现的黑色生态链。随着病毒制造门槛的降低、代码对抗和混淆技术的成熟、病毒传播手段的丰富、变现模式的“优化”(比特币),可以预见,未来勒索病毒会越来越多。

“勒索软件2014年开始大规模爆发,并且在未来很长的一段时间将会持续。原因是黑产必定继续发力勒索软件。”《勒索软件终结者》作者、福建平实科技创始人倪茂志也对“安在”这样表示。

爆发增长源于另一个世界

隐藏在显示器背后的是一个极其黑暗丑陋,你永远也无法解读的世界。

勒索软件来势凶猛


陈先生是上海一家旅游公司的市场总监,日常工作需要与客户在网上沟通,在一次旅游产品促销会后,针对策划的问题,需要与客户进行频繁的邮件交流,“这封英文附件并不是出现在垃圾邮件夹里,我怕漏掉工作内容,就打开了它。”

之后,陈先生所有的文件都被加密了。屏幕上弹出:“你的文件已被加密,如需恢复请按如下方式支付赎金500美元的比特币”的提示,攻击者给出一星期时限,如果到时没有支付,那么赎金就会翻倍。“因为文件有许多是公司重要的资料,陈先生当时大脑一片空白。”

“勒索这是老话题了”有专家这样对“安在”表示,但一组组数据却让人心惊:勒索软件来势凶猛,已经渐成网络犯罪巨头。

使用Tor浏览器才能进入暗网

2016 年全国至少有497万多台电脑遭遇了敲诈者病毒的攻击,作为新型网络犯罪生力军的敲诈者病毒已经泛滥成灾。2016年中国仅通过网页链接(URL)传播的勒索软件数量增长超过60多倍,并已快速成为勒索软件感染最严重的10大国家之一。

因为有重要的公司文件,陈先生决定支付赎金。然而问题远没有他想象的那么容易,想要支付比特币,就进入暗网,这需使用Tor浏览器,并且翻墙进入。

在专家的帮助下,在一步步操作的背后,互联网的另一个世界的大门向陈先生豁然大开。

这里是一个流淌着欲望的所在,就像《寂静岭》中的世界,有着不为人知的入口。依托于暗网的匿名性,人性的黑暗在这里肆意发泄。

暗网是一个流淌着欲望的所在


这里的生意越来越红火

暗网(Dark Web)又称深网,是指那些存储在网络数据库里、但不能通过超链接访问而需要通过动态网页技术访问的资源集合,不属于那些可以被标准搜索引擎索引的表面网络。

一般而言,在互联网我们通过百度、谷歌搜索引擎,就能搜索到热点新闻、各大公司的一些资料数据等,但是这些也只是网络信息中的5%到20%。其余的网络内容,并不能被搜索引擎搜索到,他们就是网络中的“暗网”。

据统计,每天大约有250万名浏览者上暗网,上面出售几乎你能想到的任何东西,你可以找到假的欧盟和美国护照,各种毒品,甚至名人的裸体自拍等等。

Detox 是藏身与暗网之中的一名黑客。他在暗网中发布勒索软件等工具,并将其挂在Crime Network(黑暗网络)中销售。

暗网上勒索软件大量交易

例如一款叫做Tox的勒索软件制作工具曾出现在暗网上,提供免费下载。Tox的作者从受害者支付的赎金中抽走一定比例,他们通过使用比特币和Tor网络来确保支付与恶意软件传播的匿名性。Tox的作者们保证他们所生成的恶意软件被杀毒软件检测到的概率非常低。

Tox 的用户可以凭自己喜好传播恶意软件,但是Tox的隐藏服务会跟踪任何安装行为和相关的转账行为。Tox用户在他们注册时提供的比特币地址受到他们的赎金。

马刚先生给“安在”提供的火绒调查报告也显示,勒索病毒已经形成了一个庞大的黑色产业链,甚至还有细密的分工。

暗网上面出售几乎你能想到的任何东西


黑产链已经日渐成熟

在病毒交易、邮件传播等环节都日渐成熟,已经形成了包括制作、传播、赎金交付在内的一整套黑色产业链。不同身份的黑客在这个链条中分工合作,互相交换资源和数据。

许多网络专家都曾经调查过暗网,他们判断暗网上活跃着非常多的黑客社区,都不是开放的,你必须有邀请才能加入讨论组。在通常情况下,这些黑客团体的主攻领域也都有细分,例如,攻击社交媒体、数据窃取、恶意软件和漏洞攻击,“跑打”攻击(即 DDoS攻击、入侵Web网站)。

从上游来说,就算你不会写程序,在Tor网络上已经有人会贩卖勒索软件的程序模组,提供给任何人来出价购买,买得的使用者只要稍微修改,就可以做出一个勒索软件的变种。

Tor浏览器


而针对付款的“客户”,黑市上还有各种教程培训业务。

这些培训指导犯罪分子如何盗取企业的信用卡数据,窃取漏洞攻击的准备信息,实施垃圾邮件攻击和钓鱼活动,或者是组织DDos攻击。“这些教程中不仅仅会说明什么是基本加密程序,远程访问木马(RAD),什么是漏洞工具,还会解释这些工具的使用方法,哪些工具是常用的,这些工具得花多少钱。”

菜刀能杀人,但菜刀无罪

勒索软件最终形成完整黑色产业链的另一个重要的环节,就是赎金交付了,可以说,比特币的出现,加速了勒索软件的泛滥。

你很难想象这种加密匿名货币变成勒索软件者创收的最佳工具且没有之一,菜刀能杀人,但菜刀无罪。

比特币支付都在在暗网进行


据介绍,木马最开始支付比特币的时候没有使用匿名网络,导致服务器暴露,病毒作者身份随之被查出。“敲诈者家族”木马的设计者之后也愈发狡猾,比特币支付环节也改在TOR(洋葱网)匿名网络上进行。

比特币是一种点对点网络支付系统和虚拟计价工具,通俗的说法是数字货币。比特币的一个很重要的特点就是它的使用者具有匿名性,通过比特币收款地址很难追踪到对应的拥有者,因此很多地下交易者慢慢地开始采用比特币收款,这样既能通过互联网在全球范围内进行收付款,又避免了安全人员沿收款地址这个线索进行追踪。







请到「今天看啥」查看全文