揭秘“敲诈者”的黑色产业链(2)
http://trehoada[.]org/878hf33f34f http://thecodega[.]com/878hf33f34f http://thermo[.]dk/087gbdv4 http://saintsraw[.]com/087gbdv4http://sandat-bali[.]com/087gbdv4http://trehoada[.]org/878hf33f34fhttp://rechoboth[.]com/087gbdv4 这些网址绝大部分都是一个域名下放置一个恶意可执行文件供下载,域名之后部分的资源名称也比较接近。这样的网址有的是同一作者自己申请的一些小网站专门用于分发恶意文件,也有的是作者将木马转卖给了其他人,这些不同的不法分子各自申请了域名并在网站上放置恶意文件。 经过网络搜索查询发现,这些域名基本都由不同的人注册,并且很多域名带了反whois查询,难以从域名注册者这条线索入手继续追踪。这也说明,这些不法分子通常非常注重自身的隐蔽性。 还有一种情况,是正规网站遭到入侵后被黑客用于分发。比如位于上海的网站http://www.ty****er.com/,原本是某生产公司的官网,但是被哈勃分析系统监控到用于分发locky敲诈木马,其资源名称部分也与上面恶意网站的内容极为相似。 四、高度发达的产业链
围绕着这类木马,已经形成了包括制作、传播、赎金交付在内的一整套黑色产业链。不同身份的黑客在这个链条中分工合作,互相交换资源和数据,其目的只有一个,那就是从受害者的损失之中分得一部分利益。 以传播木马这个环节为例,既然木马是通过邮件的方式进行广泛传播,那么向谁发送邮件,如何发送邮件,都包含资源或利益的交换。目前已经形成了 收集客户邮箱账户--->客户身份信息分类--->兜售客户邮箱账户--->专业发送邮件 的黑色产业链。只要用邮箱账号在BBS、论坛、聊天室等网站上注册过或者发表过言论,都有可以被黑产从业者使用爬虫工具在网上抓取到,并通过言论行为以及账号信息进行身份分类。被分类号的邮箱账号会出现在各类平台上进行兜售。 比如下图所示的兜售信息,邮箱账号被细分为多个行业类别,一个行业类别的邮箱账号信息的兜售价为9.90元。 购买邮箱账号信息后,如果使用正规邮箱大量发送垃圾邮件,很大概率会被封号,于是出现了“专业发送邮件”的产业环节。据调查,该环节从业者多采取自搭建邮箱服务器的方式,可以做到无限制的发送。比如下图所示是兜售代发邮件服务的信息,不仅提供了代发服务,而且还可以查看到发送总量、打开、点击人数等。 赎金交付是另一个重要的环节,它直接关系着整个黑色链条是否能从受害者那里攫取到足够的利益。 2014年兴起的这波敲诈木马,一个重要的特征就是在敲诈文字中要求受害者支付比特币作为赎金。比特币是一种点对点网络支付系统和虚拟计价工具,通俗的说法是数字货币。比特币的一个很重要的特点就是它的使用者具有匿名性,通过比特币收款地址很难追踪到对应的拥有者,因此很多地下交易者慢慢地开始采用比特币收款,这样既能通过互联网在全球范围内进行收付款,又避免了安全人员沿收款地址这个线索进行追踪。敲诈木马背后的众多恶意分子也逐渐加入了这一行列。 值得一提的是,在比特币的发展过程中,常常受到国家意志的影响。在中文互联网中,有几家网站面向公众提供比特币行情服务,除了展示比特币与其它货币的实时汇率之外,也基于比特币自身的规则,向用户提供交易服务。这部分业务一直受到严密地监管,数年前就已经关闭了支付宝、银行等渠道购买比特币的服务,而在今年受到监管部门约谈之后,更是不约而同地暂停了“比特币提现”(可以理解为比特币转账)业务。 虽然此行为更多地是针对资本外流、洗钱等目标,但不可否认的是,对受害者使用比特币支付赎金也会带来不小的影响。很多受害者即使想要使用比特币支付赎金,也会面临无法购买比特币、购买后不知如何转到对方账户等一系列的难题。 再加上很多人自身对比特币就不是很了解,这就出现了比特币代付、代购、充值以及兑换服务的产业,一般会收取当前比特币交易价格的10%~20%作为手续费。这种服务虽然严格说来不能算是黑色产业,但是无疑也从此类木马的爆发中获益。 五、矛与盾的对抗
通过邮件传播的敲诈木马自从被安全人员发现以来,安全行业从业人员始终没有放弃对其进行查杀的努力。到目前为止,已经为部分CryptXXX、TeslaCrypt、Jigsaw等木马变种开发了对应的解密工具,受害者只需要根据工具的指示进行操作,无需支付赎金即可恢复被这些木马加密的文件。哈勃分析系统也发布了数个解密工具。与此同时,很多安全厂商与政府部门联合起来,推出了www.nomoreransom.org网站,希望为敲诈木马的受害者提供一站式解决方案。 不过,受到木马算法原理的制约,没有一个工具能够一劳永逸地解决所有问题。同时,木马作者也在不断变换自己的手法,希望从文档木马中榨取更多的价值。据哈勃分析系统观察,木马有如下的发展趋势。 首先是在敲诈木马之外拓展新的作恶手法。由于大部分文档木马的功能是从网络上下载文件并执行,不法分子可以轻松地变换下载内容,给受害者造成其它的损失。比如,劫持受害者的浏览器访问广告网站或钓鱼网站,或者在受害者的电脑上安装后门木马,实时监控电脑行为并上传隐私信息,等等。去年哈勃分析系统捕获的“盗神”木马即是文档木马与后门木马进行绑定的一个典型的例子。 (编辑:ASP站长网) |