概要

在暗網(wǎng)中，任何東西都有它自己的價(jià)格，所以幾乎任何東西都可以出售或公開購買。雖然有時(shí)候看起來想要成功地實(shí)施一場(chǎng)網(wǎng)絡(luò)犯罪，其行為者必須是全才才行，但實(shí)際上，幾乎任何一次犯罪行為都需要其他成員提供各種工具和服務(wù)才能夠順利實(shí)現(xiàn)。

地下網(wǎng)絡(luò)犯罪分子的分工相對(duì)來說是非常明確的，威脅行為者都有自己專攻的特定領(lǐng)域的專業(yè)知識(shí)。正是這種分工明確的專業(yè)知識(shí)，才成就了地下市場(chǎng)的彈性運(yùn)營(yíng)。與drug cartels網(wǎng)站一樣，一旦執(zhí)法機(jī)構(gòu)鏟除了任何一個(gè)威脅行為者或論壇，競(jìng)爭(zhēng)對(duì)手就會(huì)立即取而代之。因此，想要開展一場(chǎng)攻擊活動(dòng)，使其從概念到最后的落實(shí)執(zhí)行，再到最終的獲益，都必須要經(jīng)歷下述這樣一個(gè)復(fù)雜的過程。

　　背景分析

在過去的二十年里，地下網(wǎng)絡(luò)犯罪已經(jīng)從一些分散的信息板（主要是由東歐的技術(shù)黑客主導(dǎo)的普通電子商務(wù)欺詐）逐漸發(fā)展成現(xiàn)在這個(gè)我們稱之為“暗網(wǎng)”的高度復(fù)雜的生態(tài)系統(tǒng)。如今的暗網(wǎng)世界，是由不同地域、專業(yè)和經(jīng)歷的成員所組成的，它既能滿足入門水平的腳本小子的需求，也能提供非常復(fù)雜的攻擊策略，比如臺(tái)灣ATM攻擊以及對(duì)俄羅斯銀行的惡意軟件攻擊，這每一場(chǎng)活動(dòng)威脅行為者都可以獲益數(shù)千萬美元。

　　威脅分析

僵尸網(wǎng)絡(luò)操作就是最好的例子，它可以說明事情的真相，解釋為實(shí)現(xiàn)盈利最大化而需要進(jìn)行的所有必要步驟的復(fù)雜性。以下示例將為大家展示啟動(dòng)和維持網(wǎng)絡(luò)運(yùn)營(yíng)的前期成本，以及運(yùn)營(yíng)后的直接和間接財(cái)務(wù)回報(bào)。

銀行木馬是網(wǎng)絡(luò)犯罪活動(dòng)中最昂貴的元素之一，一般可以從專業(yè)惡意軟件開發(fā)商處獲取，價(jià)格在3000至5000美元不等。

獲取工具后，還需要攔截銀行憑證，每個(gè)目標(biāo)金融機(jī)構(gòu)的網(wǎng)絡(luò)注入必須單獨(dú)購買，每套價(jià)格大約為150-1000美元不等。在過去的一年中，我們發(fā)現(xiàn)，針對(duì)加拿大機(jī)構(gòu)的網(wǎng)絡(luò)攻擊成本正在顯著上升，而針對(duì)美國(guó)銀行的惡意軟件的成本則保持不變。

為了保持對(duì)整個(gè)操作的可見性，并控制受感染的計(jì)算機(jī)網(wǎng)絡(luò)，還需要在中國(guó)、中東或東歐等司法管轄嚴(yán)格的地方進(jìn)行防彈（bulletproof）托管。而數(shù)據(jù)中心的網(wǎng)絡(luò)服務(wù)器的月租金通常為150至200美元。

為了確保有效載荷交付的一致性，并確保不被殺毒軟件檢測(cè)到，可執(zhí)行文件還必須每天進(jìn)行“清理”和混淆，如果操作規(guī)模非常大的情況下，則每天需要進(jìn)行多次這樣的操作?？捎糜诿總€(gè)單一有效載荷模糊處理的服務(wù)價(jià)格在20至50美元之間；然而，如果訂單量很大的情況下還可以談判獲取更低的價(jià)格。

把穩(wěn)定的網(wǎng)絡(luò)流量重定向到受感染的資源或垃圾郵件是惡意負(fù)載的兩個(gè)主要傳送向量。雖然只需要花費(fèi)15-50美元就能夠讓一千個(gè)不知情的受害者成功訪問受感染的網(wǎng)頁，但對(duì)于專業(yè)的垃圾郵件操作員而言，一般會(huì)在每成功發(fā)送100萬封電子郵件之后收取400美元。

一旦惡意軟件被成功植入，并截獲銀行證書，攻擊者還必須與一連串“錢騾”和洗錢中介合作才能獲得最終的回報(bào)。那些具有良好聲譽(yù)，且能夠快速周轉(zhuǎn)的洗錢者將從受害者帳戶轉(zhuǎn)移的每筆款項(xiàng)中收取高達(dá)50％至60％的傭金。在某些情況下，可能還需要額外收取5-10％的傭金來洗錢，并通過比特幣，Web Money或西聯(lián)匯款等優(yōu)先支付方式將扣除傭金后的剩余資金交付給主要運(yùn)營(yíng)者。

　　【用俄語做的洗錢廣告】

如果需要額外的電話確認(rèn)才能進(jìn)行匯款，還需要一個(gè)地下通話服務(wù)，每個(gè)電話的收費(fèi)為10-15美元。

如果需要額外的文件和電話驗(yàn)證來進(jìn)行匯款，暗網(wǎng)中也有各種支持供應(yīng)商可選。其中，一本偽造的駕駛執(zhí)照可能會(huì)在幾個(gè)小時(shí)內(nèi)被造出來，售價(jià)為25美元，而更復(fù)雜的視頻自拍則需要花費(fèi)100美元。

為了盡量減少帳戶持有人發(fā)現(xiàn)未經(jīng)授權(quán)的交易行為，就要進(jìn)行短信確認(rèn)攔截，或在攻擊期間讓賬號(hào)所有者的電話完全無法訪問，為此，攻擊者可以花費(fèi)20美元購買到一個(gè)電子郵件／電話“洪水”服務(wù)。但是，克隆SIM卡的成本顯然貴的多，其成本在150- 300美元之間。

除了從銀行賬戶盜取的資金外，在全球范圍內(nèi)持續(xù)訪問大量受害者的網(wǎng)絡(luò)將不可避免地產(chǎn)生大量的額外收入。

攻擊者可以向地下市場(chǎng)成員提供一些有價(jià)值且不具直接針對(duì)性的登錄憑證，這些信息的收益在每條100至200美元之間。購買這種服務(wù)的買家可能來自商業(yè)和國(guó)家間諜。

信用卡信息也可以通過暗網(wǎng)市場(chǎng)被快速出售，每條售價(jià)在5- 10美元之間。

此外，地下市場(chǎng)中對(duì)各種電子商務(wù)憑證的需求也一直很穩(wěn)定；然而，由于最近大規(guī)模的賬戶接管活動(dòng)激增，造成了可用數(shù)據(jù)的過剩，每個(gè)憑證的價(jià)格也隨之降至了1-5美元。

在某些情況下，當(dāng)攻擊者無法達(dá)到預(yù)期的結(jié)果時(shí)，其使用的惡意軟件就會(huì)以每個(gè)安裝大約1美元的價(jià)格提供給其他犯罪分子。

在其合理的保存期限結(jié)束之前，包含收集的非結(jié)構(gòu)化數(shù)據(jù)的隨機(jī)僵尸網(wǎng)絡(luò)日志就會(huì)以20美元／GB的價(jià)格出售。

總結(jié)

雖然上文只評(píng)估了一種流行的攻擊方式（銀行木馬）的行為成本，但是類似的依賴基礎(chǔ)設(shè)施進(jìn)行的網(wǎng)絡(luò)犯罪活動(dòng)（包括勒索軟件和網(wǎng)絡(luò)釣魚攻擊等），其成本也大致無異。將網(wǎng)絡(luò)攻擊歸因于單獨(dú)運(yùn)作的唯一個(gè)體也是非常罕見的，因?yàn)橄胍獙⒐艋顒?dòng)從概念落實(shí)到獲取利潤(rùn)，一定需要跨越多個(gè)學(xué)科的專業(yè)知識(shí)。而無論是哪種攻擊手段都是有價(jià)可依的，其具體成本取決于威脅行為者所期待實(shí)施的攻擊活動(dòng)的復(fù)雜程度和規(guī)模。