卡巴斯基實驗室6月15日宣布率先發(fā)現(xiàn)xDedic地下黑市——販賣全球超過7萬臺被感染服務(wù)器權(quán)限，最低售價僅為6美元!根據(jù)目前掌握的數(shù)據(jù)顯 示，xDedic2014年開始營業(yè)，并在2015年中快速增長。到2016年5月，該黑市共有來自174個國家的70,624臺服務(wù)器在售，由416名 不同的銷售商提供。其中，受影響最嚴(yán)重的十個國家分別為：巴西、中國、俄羅斯、印度、西班牙、意大利、法國、澳大利亞、南非和馬來西亞。

在大中華地區(qū)(中國大陸、中國臺灣和中國香港)，已有超過100家知名大型企業(yè)和ISP的服務(wù)器受到感染并在xDedic地下黑市出售，包括政府、運營商、電商、醫(yī)院、房地產(chǎn)公司 和學(xué)校等機構(gòu)。

xDedic是一種典型的最新型網(wǎng)絡(luò)罪犯黑市。這種黑市組織嚴(yán)密，為所有人提供多樣化服務(wù)，從入門級別的網(wǎng)絡(luò)罪犯到APT(高級可持續(xù)性威脅)組織都可獲取到快捷、廉價及易于使用的合法機構(gòu)基礎(chǔ)設(shè)施的訪問權(quán)限，令網(wǎng)絡(luò)犯罪行為更隱蔽，潛伏很長時間。卡巴斯基實驗室安全專家近期調(diào)查了這個專供網(wǎng)絡(luò)罪犯購買和販賣被感染服務(wù)器訪問權(quán)限的全球性論壇。該地下論壇似乎是由一個俄語網(wǎng)絡(luò)犯罪組織經(jīng)營，并聲稱只提供交易平臺，同服務(wù)器銷售者沒有關(guān)聯(lián)或合作關(guān)系 

目前共有70,624臺被破解的遠程桌面協(xié)議(RDP)服務(wù)器在售。其中，大量服務(wù)器被用于托管或訪問常用的消費者網(wǎng)站和服務(wù)，有的還安裝了相應(yīng)軟件用于處理廣告郵件、金融會計和銷售終端(PoS)等服務(wù)。網(wǎng)絡(luò)罪犯不但可以利用這些服務(wù)器發(fā)動針對其所有者基礎(chǔ)設(shè)施的攻擊，還能作為跳板，發(fā)動范圍更大的攻擊。而絕大多數(shù)服務(wù)器的所有者，包括：政府機構(gòu)、企業(yè)和大學(xué)等，對此還一無所知。

歐洲一家互聯(lián)網(wǎng)服務(wù)提供商(ISP)告知了卡巴斯基實驗室xDedic黑市的存在，雙方合作針對這一地下論壇的運營方式展開了調(diào)查。結(jié)果顯示，這個論壇的運營方式十分簡單且周密：首先，黑客通過暴力破解方式入侵服務(wù)器，并將相關(guān)登陸憑證提交到xDedic。接下來，檢查被入侵服務(wù)器的RDP配置、內(nèi)存、軟件和瀏覽歷史等信息——客戶在下單前均可查詢上述信息。最后，將這些服務(wù)器添加到在線銷售列表中，其中包括：

· 政府、企業(yè)和大學(xué)的服務(wù)器

· 能夠訪問或托管特定網(wǎng)站和服務(wù)的服務(wù)器，包括在線游戲、在線購物、在線銀行和在線支付、約會服務(wù)、電話網(wǎng)絡(luò)、賭博、ISP以及瀏覽器服務(wù)

· 預(yù)裝了相關(guān)軟件，可用于攻擊的服務(wù)器，包括廣告郵件、金融和銷售終端軟件等

· 均提供大量黑客工具和系統(tǒng)信息工具支持

這些被感染服務(wù)器的合法所有者都是權(quán)威機構(gòu)，而且往往沒有意識到自己的IT基礎(chǔ)設(shè)施已被入侵。在入侵行動成功后，攻擊者就可悄無聲息的銷售服務(wù)器的訪問權(quán)限，啟動整個業(yè)務(wù)流程的運轉(zhuǎn)。網(wǎng)絡(luò)罪犯最低僅需支付6美元就可在xDedic上購買一臺服務(wù)器，訪問該服務(wù)器的所有數(shù)據(jù)，或用其作為實施進一步攻擊的平臺，包括發(fā)動針對性攻擊、惡意軟件攻擊、DDoS攻擊、釣魚攻擊、社交工程攻擊以及廣告軟件攻擊等。