犯罪軟件即服務(wù)(CaaS)正成為暗網(wǎng)最新流行趨勢

1. 特征簡介

杰夫·貝索斯、拉里·佩奇、沃倫·巴菲特，這些大財主的名字想必大家都耳熟能詳了。但是，你知不知道，還有很多人動動手指就能收獲百萬美元，然而他們的聲名卻少有人知。這些人就是犯罪軟件即服務(wù)(CaaS)生意的擁有者。

對地下罪犯而言，CaaS提供了網(wǎng)絡(luò)犯罪的新維度，無需精通技術(shù)就能有組織地、自動化地發(fā)起網(wǎng)絡(luò)攻擊。今天，網(wǎng)絡(luò)罪犯能開發(fā)、推廣和售賣任何東西，從僵尸網(wǎng)絡(luò)到瀏覽器漏洞利用包，或者DDoS攻擊工具包，應(yīng)有盡有。近日賽門鐵克旗下的 Blue Coat 系統(tǒng)安全與云威脅實(shí)驗(yàn)室，向業(yè)界揭示了網(wǎng)絡(luò)罪犯是怎樣僅僅點(diǎn)擊幾下鼠標(biāo)和付點(diǎn)小錢，就獲得敏感數(shù)據(jù)的，比如信用卡賬號、姓名和地址等。

2. CaaS市場

CaaS市場不是由一小撮惡意黑客定義的，這是個復(fù)雜而多樣的公司網(wǎng)絡(luò)，所有的一切都埋藏在互聯(lián)網(wǎng)中。這些公司故意隱身在搜索索引和普通用戶訪問范圍之外，偽裝成普通網(wǎng)絡(luò)用戶，大隱隱于市。據(jù)國際反網(wǎng)絡(luò)釣魚工作組(APWG)報道，盡管2016年增長了250%，網(wǎng)絡(luò)釣魚僅僅是犯罪軟件在2016年飆升至前所未有規(guī)模的其中一個例子。

3. 一個成熟的市場

十年前，CaaS還處于早期階段。如《黑客簡史》中給出的證據(jù)所表明的，惡意黑客有所需的工具和技術(shù)來制造某些災(zāi)難，但他們的重點(diǎn)更多地放在了彰顯能力上，而非為了盈利。在那時，主要黑客活動都是關(guān)于證明黑客能夠進(jìn)入系統(tǒng)和利用各種漏洞的。然后，隨著黑客開始更多地考慮金錢而非技術(shù)可能性，情況就改變了。大規(guī)模DDoS攻擊，比如針對安全博主克雷布斯的網(wǎng)站那起，我們看到更多的，可能是瀏覽器漏洞利用包、惡意軟件和間諜軟件租賃售賣等等，因?yàn)檫@些東西是最能賺錢的。若要編撰一部犯罪軟件售賣編年史，那篇幅可就長了，但2016年，下列幾個“商品”可謂是最暢銷的……

4. 僵尸網(wǎng)絡(luò)

僵尸網(wǎng)絡(luò)就是感染了惡意軟件的計算機(jī)網(wǎng)絡(luò)，這些惡意軟件能讓網(wǎng)絡(luò)罪犯在用戶察覺不到的情況下控制計算機(jī)。地下企業(yè)家們通常大量兜售這些處于自己控制之下的計算機(jī)的訪問權(quán)，價格在$100/月(租賃基礎(chǔ)設(shè)施)到$7,000/月購買整個系統(tǒng)之間。

5. 瀏覽器漏洞利用包

跟隨僵尸網(wǎng)絡(luò)框架而來的，就是瀏覽器漏洞利用包(BEP)，能讓買家大規(guī)模共享勒索軟件或間諜軟件之類東西的家伙。正如任何復(fù)雜惡意軟件一樣，BEP也有內(nèi)置的混淆模塊、黑名單模塊、管理模塊和流量優(yōu)化模塊等。一個完整的BEP包，要價約在$3,000到$7,000。

6. 附帶武器化漏洞利用程序的定制網(wǎng)絡(luò)釣魚工具包

對于想要針對特定群體或毫無疑心用戶的黑客而言，雇個人設(shè)置個簡單郵件傳輸協(xié)議(SMTP)服務(wù)器、詐騙網(wǎng)頁，或者提供高質(zhì)量郵件列表即可。這些東西觸手可得，價格在$15到$40之間。搭配網(wǎng)絡(luò)釣魚攻擊工具包出售的另一個流行工具，是“武器化文檔”。這些惡意文件看上去就像是正常的微軟Office文檔，比如Word、XLS、PPT等等，卻能利用微軟Office包中固有的漏洞，下載惡意軟件到終端用戶的系統(tǒng)中。下載的軟件可以是勒索軟件、遠(yuǎn)程訪問工具包(RAT)之類，取決于犯罪軟件買家的選擇和要求。今天，Office漏洞利用、已知CVE或非零日漏洞利用，價格在$2,000到$5,000之間。

7. 勒索軟件

黑客賺錢的另一流行方式，就是勒索軟件。這種軟件會把目標(biāo)計算機(jī)作為人質(zhì)，不見用戶贖金不放數(shù)據(jù)。勒索軟件復(fù)雜程度不一，因此價格差別很大。比如說，據(jù)趨勢科技研究，定制版 Crypto Locker 可執(zhí)行文件的價格，就在$50左右。在售賣價格基礎(chǔ)之上，勒索軟件運(yùn)營者還傾向于抽取目標(biāo)獲利的10%作為利潤抽成。

8. 犯罪軟件成本高嗎？

價格和商品都有明確的范圍，尤其是在提供定制或特定服務(wù)的時候。舉個例子，如果心懷不滿的員工想要報復(fù)特定公司或特定用戶群，他可以購買DDoS攻擊或?yàn)g覽器漏洞利用包，附帶買家隨后的執(zhí)行幫助。或許會有點(diǎn)額外的開銷，但BEP價格也就在$4,000到$7,000之間。不難想象這種生意僅需少量交易便可獲得體面的收益。

9. 錢，錢，錢

我們很難弄清這一地下商業(yè)系統(tǒng)到底盈利幾何，但通過觀察地下電子貨幣市場，明顯能看出該市場正走向千萬甚至數(shù)十億美元級的規(guī)模。所有地下生意都使用電子貨幣作為交易的媒介，因?yàn)檫@玩意兒國際通用，匿名，不可撤銷，不受監(jiān)管，方便，還有助于洗錢。電子貨幣由于其存儲在全球范圍內(nèi)的虛擬銀行，且能被轉(zhuǎn)換為多國貨幣而具有國際性。

10. 地下銀行

我們對于此類銀行的了解，來源于少數(shù)幾家被發(fā)現(xiàn)而關(guān)閉掉的。比如說，2013年被關(guān)停的 Liberty Reserve 。其網(wǎng)站 LibertyReserve.com 被美國政府查獲，并標(biāo)記為“網(wǎng)絡(luò)犯罪世界金融中心”。自2006年起，到其被關(guān)閉的2013年，僅 Liberty Reserve 一家，就進(jìn)行了價值60億美元的交易。

11. FBI在干什么？

關(guān)于地下生意盈利的另一線索來自于FBI。在關(guān)停網(wǎng)絡(luò)犯罪公司和報道行動(比如清白歷史行動)細(xì)節(jié)上，F(xiàn)BI是必不可少的。由于他們的努力，我們得以知道更多關(guān)于這些組織到底掙了多少的事情。比如，捕獲登錄網(wǎng)銀所需口令、賬戶和其他信息的“宙斯”惡意軟件，就令其擁有者從受害賬戶撈取了數(shù)百萬美元。

12. 為什么CaaS不斷增長？

隨著惡意軟件和其他犯罪軟件的增長，CaaS也繁花似錦。除了輔助所有惡意網(wǎng)絡(luò)活動增長的技術(shù)因素，簡單的市場經(jīng)濟(jì)也在支持該產(chǎn)業(yè)。犯罪軟件價格受供需關(guān)系的影響巨大。不同犯罪軟件服務(wù)的價格最近有所增長，因?yàn)閿?shù)個犯罪軟件服務(wù)在反犯罪軟件行動中被拿下，影響了這些服務(wù)的供應(yīng)。如果一家BEP提供商倒下，其他BEP供應(yīng)商就會提升價格，增加盈利。價格的提升又促使其他廠商進(jìn)入該市場，因?yàn)樗麄兛吹搅嗣髅靼装椎慕?jīng)濟(jì)回報，通常情況下回報值回所承擔(dān)的風(fēng)險。

13. 規(guī)避法律

盡管FBI在取締地下市場論壇上取得進(jìn)展，網(wǎng)絡(luò)罪犯也在進(jìn)行犯罪軟件服務(wù)交易上更加積極主動了。IRC和Jabber頻道成為了比網(wǎng)頁論壇更流行的通信方式，使得追蹤買賣雙方更加困難。另外，專用于受限論壇的針對性廣告，也有助于維持CaaS在地下團(tuán)伙中的生命力，幫助買賣雙方躲過執(zhí)法。

14. 安全解決方案

今天設(shè)計的安全解決方案或機(jī)制，應(yīng)能媲美網(wǎng)絡(luò)罪犯在犯罪軟件服務(wù)中所用的新攻擊方法。想要以健壯的方式檢測出感染、服務(wù)濫用、數(shù)據(jù)滲漏和其他惡意網(wǎng)絡(luò)行為，就必須有健壯的檢測和預(yù)防解決方案，這樣才可以讓非授權(quán)操作無所遁形，同時又不會對業(yè)務(wù)造成巨大損失。

CaaS市場一直在創(chuàng)新，但我們也是。我們最大的希望，就是繼續(xù)揭露暗網(wǎng)，警醒人們CaaS的存在。