概述
参考自:https://www2.deloitte.com/content/dam/Deloitte/us/Documents/risk/us-risk-black-market-ecosystem.pdf
地下交易市场是一个不断演变的生态系统,反映了当前hacker攻击的趋势。从这里我们可以挖掘出一些关键的信息,比如:在真实的hacker攻击事件中,hacker要用到哪些工具?以及不同的攻击事件,hacker需要多少的攻击成本?
几乎每一个hacker攻击事件都涉及到攻击工具和攻击服务,即使是最基本的攻击事件,也需要几种不同的攻击工具和攻击服务,然而这些工具或服务都很容易在黑市上买到,一些普通的攻击事件只需 34 美元就可以运营,而另一些更高级的可能通常需要近 3800 美元或更多。
下面,来分别介绍地下hacker市场所售的各种攻击服务及攻击工具。
攻击服务类
Bulletproof hosts(防弹主机)
Bulletproof hosts (BPH)为hacker提供了类似CDN的服务器,它们在CDN的基础上提供一些C&C保障服务,比如支持:代理转发、IP快速切换、负载均衡等功能,一般BPH都部署在信息安全监管较宽松的国家。大家也可以把BPH理解为一些具有“黑色功能”的云服务器。每月花费在450~3250元人民币。
SOCKS proxy(socks代理)
SOCKS 代理服务器一般是些已攻陷的用户主机,通过SOCKS 服务器,hacker可以把恶意流量路由到受害主机,这样就可以隐藏hacker自己的主机信息。SOCKS 代理服务还有其他用途,最常见的用途之一是通过将hacker的流量分布在数百或数千个受到攻击的主机 IP 地址之间来掩盖hacker行为。每月访问 1000 个 SOCKS 代理地址的费用从260到 4900人民币不等。
Virtual Private Networks(虚拟专用网络)
Virtual Private Networks (VPN),Vpn 在地下犯罪组织中无处不在,是保持匿名和安全的基本服务。VPN 允许远程用户从不同的主机访问互联网,通过一个中间路由通信,在这种情况下,一个 VPN 服务器,实际的 IP 地址相关的罪犯是有效地掩盖。除了增加匿名性,VPN 协议还支持强大的加密算法,确保流量是不可破译的。NordVPN、 Private Tunnel 和 IPVanish 在内的许多商业提供商在hacker界中也很受欢迎,特别是在入门级网络罪犯中。当然,现在BPH 供应商也提供预配置的 VPN 服务器,无需自己额外单独购买。VPN价格在每月65~390人民币不等。
Traffic Direction Services(流量引流服务)
TDS服务主要提供垃圾网页、广告的引流,用于hacker分发恶意软件,在过去两年中,TDS 供应商的受欢迎程度明显下降,这应该与exploit kit (EK)受欢迎程度的下降密切相关。每月成本在 650到390人民币之间。
Account checkers(个人账号信息查询)
可以查询目的受害者的网站常用密码的信息,可用于撞库的操作,单次购买,价格在160~650人民币之间。
File encryption/crypting services(文件混淆/加密服务)
hacker提供恶意软件,供应商对其进行混淆加密,直到杀软“无法检测”为止,这些服务是任何恶意软件的必需品,价格每月70到650人民币不等,这种服务有一次性的,也有永久的。
Malware loads or Pay-Per-Install (PPI) services(恶意软件分发服务)
PPI供应商通常会按1000个/次来收费,为了最大化地分发恶意软件,他们可能会进行大规模进行漏洞利用/密码爆破,来建立大规模僵尸网络,实现二级/三级甚至多级的感染,例如出名的TrickBot。价格从450~650人民币不等。
Distributed Denial-of-Service (DDoS) attack services(DDos攻击服务)
DDoS攻击服务通常出现在在线游戏社区以及一些较低级别的网络犯罪论坛。值得注意的是,
在一些高级的多阶段攻击情况下,更熟练的hacker可能会使用DDoS 活动来分散网络安全人员的注意力。在这些情况下,DDoS 攻击会引起组织的注意,并使其日志记录功能不堪重负,而实际的攻击(例如APT)则用于获得网络上的持久性。DDoS服务在230~390不等。
Spamming services(垃圾邮件服务)
传统的垃圾邮件使用单台邮件服务器,然后运行脚本来发送大量的垃圾邮件。然而,这可能会导致
服务器很快被安全厂商内被列入黑名单。为了弥补这一缺陷,更专业的垃圾邮件服务提供了基于数
量分发垃圾邮件的服务。比较出名的垃圾邮件供应商是Necurs和Send-Safe。价格在190~390不等。
Compromised servers/“Dedic” marketplaces(失陷主机/肉鸡提供服务)
供应商提供失陷主机的RDP、SSH、VNC,hacker可以直接远程到肉鸡上进行操作,比如植入木马、勒索病毒,或以此为跳板进行横向攻击。这种肉鸡有个弊端,就是持久化时间不确定,万一管理员改了密码,连接方式就丢失了。这种服务的价格一般都比较便宜,300块/台左右。
Personally Identifiable Information (PII) & Protected Health Information (PHI)(个人身份信息)
俗称“人肉信息”,包含一整套个人身份信息(全名、出生日期、电话号、身份证信息、地址等) ,用于身份盗窃和其他社会工程学。单条记录在325~975不等。
攻击工具类
Phishing kits(网络钓鱼工具包)
基于网页的复杂程度,网络钓鱼工具包的价格差异很大。低成本但是设计好的网络钓鱼工具经常不能在不同的浏览器上正确的呈现,甚至可能不是针对特定的组织。一个基本网络钓鱼工具只需65人民币,相比之下,一个高端的定制版本可以卖到2275人民币。
Loaders & Maldocs(下载器及恶意文档)
现在具有这些功能的下载器越来越廉价,已经变得无处不在了,自去年以来,成本已大幅下降。
Remote Access Trojans (远控木马)
RAT无处不在,它们的复杂程度和能力差异很大。它们具有多种功能,除了远程访问外,通常还包含许多下载或窃听的功能。RAT通常是多平台的,可以攻击所有的操作系统。带有自定义 VNC 模块的 RATs 保证了1000 美元的指数级高价。此外,许多 rat 本质上是模块化的,可以包括勒索软件、 DDoS、挖矿、日志清除和其他组件。
Banking Trojans(银行木马)
银行木马一般会下载额外的插件,负责从机器中提取信息,比如:FTP密码、电子邮件地址和银行账户。银行木马是地下最昂贵的恶意软件之一,如今,银行木马已大量的从PC平台转移到移动平台。
Keyloggers & infostealers(键盘记录器&数据窃取器)
hacker安装键盘记录器和数据窃取器一般是为了实现一些目标的密码集,这些密码收集可用于权限提升、横向移动等后渗透阶段。
Ransomware-as-a-service(勒索即服务)
RasS是近一两年流行的服务,供应商不是直接提供勒索病毒,而是提供一种勒索定制化服务,hacker可以选择目标文件扩展名/目录,设定赎金价格,将货币转换为目标国家,并在一个简单的图形用户界面(GUI)内输入比特币付款地址,与其他恶意软件一样,勒索软件的免杀率直接影响病毒的定价。为了延长恶意软件的生命周期,供应商经常要求他们的客户不要将样本上传到 VirusTotal 和其他自动化检测引擎。
Zero-day exploits(0day漏洞)
目前的0day漏洞已经泛滥,值得注意的是,Adobe Reader 漏洞的定价通常是最低的,而最高的价格通常是针对移动设备的。然而实际上,黑市上卖的漏洞都是些低级的漏洞,高级的漏洞价值几千万美金,一般都不会公开贩卖。
Brute-forcing(爆破工具)
暴力破解是最流行的远程控制肉鸡的技术。这些工具通常包括进行端口扫描、检查正在运行的服务
以及进行暴力破解的功能。
攻击服务&攻击工具的欢迎程度,如下图可以看出,高端的银行木马和垃圾邮件价格是很昂贵的。
以下是各种攻击事件所需服务及工具的成本。
Phishkit data harvesting
Average estimated operational cost: $494
High estimated operational cost: $1601
Low estimated operational cost: $28
Components: Phishkit + BPH (generic VPS)/dedicated + distribution method (spam/TDS)
Brute-forcing
Average estimated operational cost: $618
High estimated operational cost: $1026
Low estimated operational cost: $97
Components: Bruteforcer + SOCKS proxy + BPH VPS
Infostealer/Keylogger campaign
Average estimated operational cost: $723
High estimated operational cost: $2,260
Low estimated operational cost: $183
Components: InfoStealer Payload + crypter + downloader + file host + distribution method (spam/TDS/Malware “Loads” Service) + C2 node
Ransomware campaign
Average estimated operational cost: $1044
High estimated operational cost: $2625
Low estimated operational cost: $391
Components: Ransomware Payload + downloader + crypter + fast-flux BPH+ distribution method (spam/TDS/Malware “loads” service/BruteForce)
Banking Trojan campaign
Average estimated operational cost: $1,389
High estimated operational cost: $3,534
Low estimated operational cost: $321
Components: Trojan Payload + downloader + crypter + FF BPH + distribution method (spam/EK/loads service/TDS)
Multiple payload
Average estimated operational cost: $1,691
High estimated operational cost: $3,796
Low estimated operational cost: $544
Components: Infostealer+ Downloader + crypter + Banking Trojan/Ransomware + FF BPH distribution method (spam/malware “loads” service/TDS)
Account shop
Average estimated operational cost: $3025
High estimated operational cost: $1311
Low estimated operational cost: $68
Components: Phishkit + BPH (generic VPS)/dedic + distro method (spam/TDS) + Account Checker + Proxy service + combo lists AND/OR InfoStealer Payload + crypter + downloader
418
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
