信息來源：51cto

近日，暗網(wǎng)突現(xiàn)一條售賣信息，一名黑客號稱出售兩個日流量超百萬的知名站點的Shell及內(nèi)網(wǎng)權限，其中一個站點以40萬的價格打包出售近千萬用戶數(shù)據(jù)，包括用戶 ID、昵稱、“加密存儲”的密碼等信息!一時間，震驚整個互聯(lián)網(wǎng)。

不僅如此，近期出現(xiàn)在暗網(wǎng)上售賣的還有一云平臺內(nèi)部管理賬戶密碼機房架構圖。

那么，暗網(wǎng)究竟是什么?

首先，互聯(lián)網(wǎng)大家都應該知道，在互聯(lián)網(wǎng)里，可公開訪問的網(wǎng)站(我們稱之為“明網(wǎng)”)只占數(shù)據(jù)信息的很小一部分。如同海面之下的冰山，還存在一個更龐大的、采取非公開機制訪問的平行網(wǎng)絡世界——暗網(wǎng)和深網(wǎng)。這里才是一切法律難以打擊而且暴利的交易活躍之地，例如盜版、色情、買兇、軍火、恐怖分子，當然也包括黑客。網(wǎng)絡分布大致如下圖所示：

其中散落暗網(wǎng)中的匿名訪問的隱私黑客論壇是黑客交易場，一旦你被黑客圈子或組織認可，能夠進入暗網(wǎng)中的黑客論壇上就可以找到各種非法服務。也就是說，不需要高深的技術，一個普通的黑客就可以輕松發(fā)起網(wǎng)絡攻擊!

這些論壇無法搜索定位，需要很多的驗證程序及其他黑客會員擔保。上圖為信服君在一暗網(wǎng)中文黑客論壇的截圖，可以看到，這里黑客正在出售網(wǎng)站入侵、數(shù)據(jù)庫脫褲服務。

為什么全球互聯(lián)網(wǎng)黑產(chǎn)交易目前主要集中地依然在暗網(wǎng)呢?

目前訪問暗網(wǎng)主流方式是通過Tor來進行訪問，匿名性極強。Tor采用了洋蔥路由加密網(wǎng)絡技術，其傳輸協(xié)議使用了大量的代理服務器和嚴格的加密方式，從而導致他人無法追蹤到用戶的具體位置，并且讓用戶在互聯(lián)網(wǎng)上有著絕對的匿名性。保證身份匿名后，用來交易的貨幣同樣需要匿名，因此像比特幣(Bitcoin)這種本身是為了匿名流通而設計的貨幣成為暗網(wǎng)交易的主要貨幣。這種全匿名的交易模式，吸引了全球的犯罪分子，當然也包含全球的黑客。

除了暗網(wǎng)交易，社交交易是中國特色黑產(chǎn)模式

與全球主流的依賴暗網(wǎng)進行網(wǎng)絡犯罪的方式不同，我國的互聯(lián)網(wǎng)黑產(chǎn)從業(yè)者更多的是通過社交工具來進行犯罪業(yè)務拓展。同時講究“師傅帶徒弟”模式，新入門的人一般為徒弟，當然這里需要交一定的“學費”。這些活動主要在QQ上進行，一般黑客會建立一個QQ群，然后在網(wǎng)上發(fā)布自己的QQ號，通常做法是批量在網(wǎng)站上掛黑頁，擴大知名度，吸引一些熱愛黑客技術或者有“業(yè)務需求”的人群。如下圖所示：

通過各種手段收到一定數(shù)量的“徒弟”后，黑客群主會定期發(fā)布一些“課程”來培養(yǎng)他們。

某黑客QQ群發(fā)布的部門“學習課程”

通過一段時間的培養(yǎng)后，群主將帶領“徒弟們”一起接單做黑產(chǎn)生意來積累經(jīng)驗，比如參與網(wǎng)站攻擊，盜取銀行賬號和密碼、Q幣等虛擬幣。一段時間后，徒弟出師單干，繼續(xù)收徒，以此發(fā)展。

暗網(wǎng)里交易的黑色產(chǎn)業(yè)鏈都有哪些

在暗網(wǎng)里的交易，根據(jù)任務難度的高低，黑客服務的報價通常有很大差別，有些任務通常還需要多個黑客群體協(xié)同工作才能完成。這個時候就會形成一條分工明確的黑色產(chǎn)業(yè)鏈條。目前的黑產(chǎn)產(chǎn)業(yè)鏈包括了惡意軟件產(chǎn)業(yè)鏈、DDoS產(chǎn)業(yè)鏈、敲詐勒索產(chǎn)業(yè)鏈、信息竊取產(chǎn)業(yè)鏈、大數(shù)據(jù)撞庫產(chǎn)業(yè)鏈、網(wǎng)絡釣魚產(chǎn)業(yè)鏈、惡意廣告產(chǎn)業(yè)鏈、業(yè)務欺詐產(chǎn)業(yè)鏈等。

1. 惡意軟件產(chǎn)業(yè)鏈

惡意軟件是指在計算機系統(tǒng)上執(zhí)行惡意任務的病毒、蠕蟲和特洛伊木馬的程序，通過破壞軟件進程來實施控制。

在這個環(huán)節(jié)，無論是網(wǎng)馬制作者還是傳播者，都會不遺余力的在網(wǎng)絡中散播惡意軟件，網(wǎng)絡用戶在瀏覽一些惡意網(wǎng)站，或者從不安全的站點下載游戲或其他程序時，往往會連同惡意程序一并帶入電腦，而用戶本人對此毫不知情。直到有惡意廣告不斷彈出或色情網(wǎng)站自動出現(xiàn)時，用戶才有可能發(fā)覺電腦已中毒。在惡意軟件未被發(fā)現(xiàn)的這段時間，用戶的所有敏感資料都有可能被盜走，比如銀行賬戶信息、信用卡密碼等。

獲得用戶敏感信息后，黑客對這些信息進行整理和篩選，然后“洗庫”。將有價值的財產(chǎn)全部轉移，例如銀行卡余額，Q幣，游戲幣等，最后再大批次循環(huán)轉賬洗錢分贓。

2. DDoS產(chǎn)業(yè)鏈

DDoS攻擊指黑客組織通過控制服務器、肉雞等資源，發(fā)動對包括國家骨干網(wǎng)絡、重要網(wǎng)絡設施、政企或個人網(wǎng)站在內(nèi)的互聯(lián)網(wǎng)上任一目標的攻擊，致使目標服務器斷網(wǎng)，最終停止提供服務。在這條黑色產(chǎn)業(yè)鏈中，相關從業(yè)人員或已達到38萬余人，涉及6000多個大大小小的黑產(chǎn)團伙，年產(chǎn)值可能超過100億人民幣。

DDoS只是黑客手里的籌碼，其最終目的要么敲詐勒索、要么利益沖突、要么表達政治立場。近幾年，高收益行業(yè)深受DDoS攻擊困擾，特別是游戲行業(yè)，經(jīng)常遇到DDos攻擊導致服務器宕機業(yè)務中斷。

目前，對于DDoS攻擊，普遍采用的防護手段包括：

• 源驗證/反向探測，對源進探測和人機識別，段包括cookie、識別碼等;
• 限源，即對源IP或協(xié)議進行限制，blacklist是一個常見手段;
• 特征丟棄，依據(jù)數(shù)據(jù)包的特征或訪問行為進行丟棄，如基于Payload特征、發(fā)包行為特征、QPS特征、 HOST、UA、URL等;
• 限速，對流量/訪問的速率進行限流。

3. 敲詐勒索產(chǎn)業(yè)鏈

網(wǎng)絡敲詐勒索是一種犯罪，它對企業(yè)造成攻擊事實和攻擊威脅后，大都會向企業(yè)提出金錢要求來避免或停止攻擊。

隨著勒索即服務RaaS模式的興起，勒索軟件的制作、分發(fā)和銷售分工明確，入門檻也將降低，具備廣泛分銷網(wǎng)絡的復雜犯罪組織也將介入勒索軟件市場，即使技術一般的人也很容易開始傳播惡意軟件來牟取暴利。

勒索軟件的傳播手段主要以成本較低的郵件傳播為主。同時也有針對醫(yī)院、企業(yè)等特定組織的攻擊，通過入侵組織內(nèi)部的服務器，散播勒索軟件。隨著人們對勒索軟件的警惕性提高，勒索者也增加了其他的傳播渠道，具體的傳播方式如下：

• 郵件傳播：攻擊者以廣撒網(wǎng)的方式大量傳播垃圾郵件、釣魚郵件，一旦收件人打開郵件附件或者點擊郵件中的鏈接地址，勒索軟件會以用戶看不見的形式在后臺靜默安裝，實施勒索;
• 漏洞傳播：當用戶正常訪問網(wǎng)站時，攻擊者利用頁面上的惡意廣告驗證用戶的瀏覽器是否有可利用的漏洞。如果存在，則利用漏洞將勒索軟件下載到用戶的主機;
• 捆綁傳播：與其他惡意軟件捆綁傳播;
• 僵尸網(wǎng)絡傳播：一方面僵尸網(wǎng)絡可以發(fā)送大量的垃圾郵件，另一方面僵尸網(wǎng)絡為勒索軟件即服務(RaaS)的發(fā)展起到了支撐作用;
• 可移動存儲介質、本地和遠程的驅動器(如C盤和掛載的磁盤)傳播：惡意軟件會自我復制到所有本地驅動器的根目錄中，并成為具有隱藏屬性和系統(tǒng)屬性的可執(zhí)行文件;
• 文件共享網(wǎng)站傳播：勒索軟件存儲在一些小眾的文件共享網(wǎng)站，等待用戶點擊鏈接下載文件;
• 網(wǎng)頁掛馬傳播：當用戶不小心訪問惡意網(wǎng)站時，勒索軟件會被瀏覽器自動下載并在后臺運行;
• 社交網(wǎng)絡傳播：勒索軟件以社交網(wǎng)絡中的.JPG圖片或者其他惡意文件載體傳播。

4. 信息竊取產(chǎn)業(yè)鏈

信息竊取通常指黑客通過木馬類的病毒植入到受害者計算機中，定期獲取受害者有商業(yè)價值的敏感賬號信息，或者通過互聯(lián)網(wǎng)入侵包含大量有價值信息的網(wǎng)站竊取信息。獲取到信息后通過篩選、清洗和倒賣進行獲利，比如這次某知名視頻網(wǎng)站的用戶數(shù)據(jù)售賣事件。

5. 大數(shù)據(jù)撞庫產(chǎn)業(yè)鏈

什么是撞庫攻擊?簡單來說，在盜取他人在A網(wǎng)站的賬號密碼后，去B網(wǎng)站嘗試登陸，就是撞庫攻擊。在早些年，盜取他人賬號主要靠木馬，密碼字典則靠軟件生成，而隨著近幾年頻繁出現(xiàn)網(wǎng)站數(shù)據(jù)庫泄漏事件，撞庫攻擊逐漸成為主流的盜號方式。撞庫的數(shù)據(jù)來源除了黑客直接“脫庫”外，主要來自“信息竊取”產(chǎn)業(yè)。其完整過程如下：

目前，不少人習慣多個平臺用同一賬戶密碼，一旦有一平臺的賬號密碼被竊取，其他平臺的同一賬號密碼全部需要馬上修改。針對這種攻擊方式，建議大家：

• 定期更改各網(wǎng)絡賬號的密碼，盡量不要使用過于簡單的密碼。
• 盡量在不同的平臺設置不一樣的密碼，避免某一賬號出現(xiàn)問題后導致其他賬號出現(xiàn)連鎖反應。

6. 網(wǎng)絡釣魚產(chǎn)業(yè)鏈

網(wǎng)絡釣魚是指網(wǎng)絡非法攻擊者利用欺騙性垃圾郵件或網(wǎng)絡鏈接等，引誘互聯(lián)網(wǎng)用戶點擊進入其偽造的Web站點，以使點擊者輸入個人敏感信息，并用這些信息用于網(wǎng)絡詐騙等非法用途。該偽造Web站點往往通過精心設計，與某知名企業(yè)或機構網(wǎng)站非常相似。點擊者對此偽造Web站點往往疏于鑒別，加上對相關知名企業(yè)或機構的信任，就會在偽造Web站點上輸入自己的私人信息資料，如：各種網(wǎng)絡用戶名(ID)、口令密碼、個人身份證號、銀行卡號及密碼等。

據(jù)央視調查結果表明：31.8%有網(wǎng)絡購物經(jīng)歷的網(wǎng)民曾在網(wǎng)購過程中遇到釣魚網(wǎng)站或詐騙網(wǎng)站，網(wǎng)購被騙網(wǎng)民的規(guī)模達6169萬人次。超過39.7%的網(wǎng)民損失額度超過500元。根據(jù)估算，最近幾年，釣魚網(wǎng)站或詐騙網(wǎng)站給網(wǎng)民造成的損失每年都達到300億元以上。

日益猖獗的黑客攻擊，如何防范

黑色產(chǎn)業(yè)不斷擴大，威脅發(fā)展太快，安全形勢日益嚴峻。建議廣大用戶做好日常防范措施：

• 文明上網(wǎng)，不點擊來歷不明郵件或鏈接;
• 做好密碼管理，如不使用簡單密碼，定期更新密碼、不同平臺使用不同賬戶密碼;
• 安裝終端病毒檢測查殺工具，定期升級。

對于企業(yè)用戶，小編提供以下10個建議保護您以及您的單位免受黑客攻擊的傷害：

(1) 制定備份與恢復計劃。經(jīng)常備份您的系統(tǒng)，并且將備份文件離線存儲到獨立設備。

(2) 使用專業(yè)的電子郵件與網(wǎng)絡安全工具，可以分析電子郵件附件、網(wǎng)頁、或文件是否包含惡意軟件，可以隔離沒有業(yè)務相關性的潛在破壞性廣告與社交媒體網(wǎng)站。

(3) 及時對操作系統(tǒng)、設備、以及軟件進行打補丁和更新。

(4) 確保您的安全設備及安全軟件等升級到最新版本，包括網(wǎng)絡上的反病毒、入侵防護系統(tǒng)、以及反惡意軟件工具等。

(5) 在可能的情況下，使用應用程序白名單，以防止非法應用程序下載或運行。

(6) 做好網(wǎng)絡安全隔離，將您的網(wǎng)絡隔離到安全區(qū)，確保某個區(qū)域的感染不會輕易擴散到其他區(qū)域。

(7) 建立并實施權限與特權制度，使大多數(shù)用戶無法感染到關鍵應用程序、數(shù)據(jù)、或服務。

(8) 建立并實施自帶設備安全策略，檢查并隔離不符合安全標準(沒有安裝反惡意軟件、反病毒文件過期、操作系統(tǒng)需要關鍵性補丁等)的設備。

(9) 部署鑒定分析工具，可以在攻擊過后確認：

• 感染來自何處;
• 病毒已經(jīng)在您的環(huán)境中潛伏多長時間;
• 是否已經(jīng)從所有設備移除了感染文件;
• 所有設備是否恢復正常。

(10) 最關鍵的是：加強用戶安全意識培訓，不要下載不明文件、點擊不明電子郵件附件、或點擊電子郵件中來路不明的網(wǎng)頁鏈接;畢竟人是安全鏈中最薄弱的一環(huán)，需要圍繞他們制定計劃。