地下市場(chǎng)提供各種各樣的服務(wù)供網(wǎng)絡(luò)罪犯從中獲利

[[174280]]

地下市場(chǎng)

這些論壇提供的貨品種類簡(jiǎn)直包羅萬(wàn)象，從物理世界的商品，比如毒品、武器，到數(shù)字世界的服務(wù)，比如垃圾郵件/網(wǎng)絡(luò)釣魚(yú)郵件投放、漏洞利用工具包服務(wù)、“加殼器”、“捆綁器”、定制惡意軟件開(kāi)發(fā)、零日漏洞利用、防彈主機(jī)托管。

地下世界充斥各種外人聽(tīng)不懂的行話和俚語(yǔ)。加殼器，就是加密惡意軟件以規(guī)避反病毒引擎檢測(cè)的工具。捆綁器，是在合法程序中綁入惡意軟件樣本的工具。零日漏洞利用，是利用未打補(bǔ)丁漏洞的技術(shù)，攻擊者用以獲取對(duì)計(jì)算系統(tǒng)的非授權(quán)訪問(wèn)。“FUD”在正常安全世界意味著“恐懼、不確定、懷疑”，在地下論壇世界則是“完全不可檢測(cè)”。這些論壇上還有所謂的“開(kāi)膛手”，就是欺騙其他用戶，不提供有用服務(wù)或貨品，拿了錢(qián)就跑的騙子。

魯伊斯·曼迪艾塔，Anomali高級(jí)安全研究員，對(duì)常見(jiàn)地下市場(chǎng)進(jìn)行了分析調(diào)查。

Sky-Fraud論壇

Sky-Fraud是2014年便開(kāi)始運(yùn)營(yíng)的俄羅斯地下論壇。其用戶群包含26000名活躍用戶，英俄雙語(yǔ)。其上提供的服務(wù)種類豐富，下列服務(wù)均可在Sky-Fraud上找到：

• 第三方履約保證服務(wù)
• 防彈主機(jī)托管服務(wù)
• 個(gè)人可識(shí)別信息(PII)和信用卡(CC)數(shù)據(jù)
• 僵尸網(wǎng)絡(luò)、漏洞利用程序、惡意軟件
• 黑帽搜索引擎優(yōu)化(SEO)和網(wǎng)頁(yè)設(shè)計(jì)
• 支付系統(tǒng)：比特幣(BTC)、貝寶(Paypal)、Webmoney、歐貝通(Entropay)

論壇注冊(cè)系統(tǒng)對(duì)所有人開(kāi)放，讓騙子、名聲不好的成員、執(zhí)法機(jī)構(gòu)和安全研究人員都能輕松訪問(wèn)。鑒于網(wǎng)站上活躍著太多業(yè)余黑客，其上數(shù)據(jù)似乎可信度不高。但是，一位與防彈主機(jī)托管有關(guān)的重量級(jí)人物在這個(gè)論壇上經(jīng)營(yíng)有他的“事業(yè)”。沃哈夫(Volhav)不僅僅在這個(gè)論壇活動(dòng)，后面介紹的地下論壇中也有他的身影。由于注冊(cè)時(shí)間是2016年初，可能他是在嘗試不同論壇以擴(kuò)展服務(wù)范圍吧。不過(guò)，他在這上面的活動(dòng)僅有兩條。

Lampeduza論壇

專精于賬戶信息非法交易、轉(zhuǎn)儲(chǔ)服務(wù)和全套信用卡詐騙的俄羅斯地下論壇。有幾個(gè)部分也專門(mén)服務(wù)于黑客攻擊、匿名化操作、垃圾郵件投放和黑帽SEO。因?yàn)檎搲蓡T之一的rescator涉嫌售賣分發(fā)塔吉特被泄數(shù)據(jù)，安全博主克雷布斯在2013年也談?wù)撨^(guò)Lampeduza。另外，該網(wǎng)站似乎與臭名昭著的販卡論壇rescator.cm關(guān)系頗深。rescator.cm就是塔吉特、家得寶和莎莉美容數(shù)據(jù)泄露事件中信用卡數(shù)據(jù)出售的場(chǎng)所。

Lampeduza市場(chǎng)的訪問(wèn)略有限制。注冊(cè)者需先從老用戶那里獲得邀請(qǐng)碼，然后還要支付50美元。這讓網(wǎng)站相對(duì)排外，更少被別的站點(diǎn)浸染。然而，潛在買(mǎi)家依然要面對(duì)仔細(xì)甄別供貨商優(yōu)劣的挑戰(zhàn)。幸運(yùn)的是，該網(wǎng)站提供信譽(yù)系統(tǒng)，用戶可以提起投訴，必要的時(shí)候會(huì)對(duì)賣家采取行動(dòng)。這是很多匿名市場(chǎng)的常見(jiàn)功能了。

這個(gè)市場(chǎng)上提供的數(shù)據(jù)應(yīng)該在中等價(jià)值。大型零售商被泄數(shù)據(jù)也會(huì)在這個(gè)論壇上出售。

Exploit.in論壇

Exploit.in是俄語(yǔ)黑客論壇，模仿LeakForums和HackForums之類其他黑客論壇的經(jīng)營(yíng)方式。該論壇2007年上線，總用戶數(shù)35000。作為論壇一部分的成員，在注冊(cè)前需經(jīng)受審查，并要求一名現(xiàn)有成員做擔(dān)保。某些不討論犯罪活動(dòng)的區(qū)域也對(duì)公眾開(kāi)放。

這些區(qū)域包括網(wǎng)頁(yè)設(shè)計(jì)、編程和硬件方面的話題。其他部分，比如安全和黑客、病毒學(xué)、匿名性和市場(chǎng)，則需要有效用戶賬戶才可以訪問(wèn)。該論壇出售的服務(wù)包括：

• 賬戶信息交易服務(wù)
• 防彈主機(jī)托管
• 惡意軟件投放服務(wù)
• 零日軟件漏洞
• 惡意軟件
• 漏洞利用工具包
• 木馬
• 加殼器

這個(gè)市場(chǎng)的價(jià)值，就在于其用戶間高度聯(lián)通的關(guān)系。很多真實(shí)用戶在別的論壇上都有多種身份資料。而這個(gè)論壇，通過(guò)閉合的注冊(cè)過(guò)程，避免了像HackForums和LeakForums一樣被虛假賬戶污染。

LeakForums論壇

2011年在黑客界嶄露頭角。其當(dāng)前用戶群高達(dá)100萬(wàn)。LeakForums專注于與PII、社交媒體賬戶相關(guān)的泄露，以及付費(fèi)黑客工具的交易(鍵盤(pán)記錄器、遠(yuǎn)程訪問(wèn)工具、加殼器、捆綁器)。廣為流傳的惡意軟件，比如Njrat、Adwind和Orcus等，也對(duì)注冊(cè)用戶免費(fèi)開(kāi)放。其他泄露類別包括：

• 商業(yè)軟件序列號(hào)(微軟Windows、Office、反病毒引擎)
• 被盜憑證(社交媒體賬戶)
• 被黑數(shù)據(jù)庫(kù)(流服務(wù)數(shù)據(jù)庫(kù)泄露)
• 著名木馬破解版(Njrat、Adwind、Orcus)

該市場(chǎng)上的數(shù)據(jù)質(zhì)量非常之低。有太多的不入流罪犯試圖賺取名氣，但出售的卻是很低級(jí)的工具。該站點(diǎn)也缺乏像Alphabay和TheRealDeal之類成熟市場(chǎng)的信譽(yù)系統(tǒng)。這讓潛在買(mǎi)家更難以信任這里的商家。該市場(chǎng)是很多泄露數(shù)據(jù)的初始來(lái)源，也可以獲得著名惡意軟件的拷貝以擴(kuò)展檢測(cè)能力。除此之外，該網(wǎng)站乏善可陳。

HackForums論壇

互聯(lián)網(wǎng)上運(yùn)營(yíng)時(shí)間最久的黑客論壇。成立于2006年，用戶總數(shù)約為600000人。該論壇囊括信息安全界多個(gè)主題：黑客行為、編程、電腦游戲、網(wǎng)頁(yè)設(shè)計(jì)、網(wǎng)頁(yè)開(kāi)發(fā)，當(dāng)然，還有黑客工具和服務(wù)的售賣。HackForums因吸納了大量業(yè)余黑客而為人所不齒。一些技術(shù)稍高的罪犯也會(huì)在上面提供以下服務(wù)：

• 應(yīng)激物服務(wù)(如：DDoS程序)
• 遠(yuǎn)程訪問(wèn)工具
• 被盜社交媒體賬戶
• 加殼器
• 虛擬專用服務(wù)器(VPS)、虛擬專用網(wǎng)(VPN)和主機(jī)托管服務(wù)

HackForums今年因MalwareHunterTeam發(fā)現(xiàn)有黑客行動(dòng)源自該論壇而備受關(guān)注。該行動(dòng)使用了ORCUS RAT?？死撞妓挂舶l(fā)表了一篇博文揭示該惡意軟件背后的作者。HackForums上數(shù)據(jù)的質(zhì)量同樣很低。與LeakForums類似，這可能跟信譽(yù)系統(tǒng)和準(zhǔn)入制度的缺乏有關(guān)。只要點(diǎn)擊域名，任何人都可以注冊(cè)賬戶，對(duì)整個(gè)論壇擁有長(zhǎng)久訪問(wèn)。

TheRealDeal市場(chǎng)

TheRealDeal是以零日漏洞利用起家的暗網(wǎng)市場(chǎng)。隨后，隨著該市場(chǎng)逐漸聲名鵲起，提供的服務(wù)也開(kāi)始更多元了。以下商品目前都可在該市場(chǎng)找到：

• 武器
• 假證(支票、護(hù)照、駕照)
• 被盜信用卡數(shù)據(jù)
• 被黑數(shù)據(jù)庫(kù)
• 禁藥
• 漏洞利用程序
• 反病毒引擎完全不可檢測(cè)的惡意軟件、一日漏洞(漏洞被公開(kāi)，但尚未有補(bǔ)丁)、零日漏洞(漏洞尚未被公開(kāi))

2016年，該市場(chǎng)在一系列高曝光率的數(shù)據(jù)泄露后吸引了公眾注意。被泄數(shù)據(jù)涉及很多著名企業(yè)。提供這些數(shù)據(jù)的，是該論壇一名自稱“內(nèi)心寧?kù)o(Peace of Mind)”的用戶。該市場(chǎng)里的服務(wù)質(zhì)量良莠不齊。賣家信譽(yù)可由其級(jí)別和資料中顯示的客戶反饋來(lái)確定。因此，潛在客戶需要花更多精力進(jìn)行鑒別。該市場(chǎng)還提供多重簽名交易方法以增加安全性。不好的方面之一，是注冊(cè)的簡(jiǎn)單性。沒(méi)有要求任何的審核。很多名聲不好的成員、安全研究人員或執(zhí)法人員，也是該市場(chǎng)的一部分。除了市場(chǎng)，TheRealDeal還有一個(gè)更為嚴(yán)格的論壇。該論壇上的非法活動(dòng)叫賣更兇，但很多都難以驗(yàn)證。

AlphaBay市場(chǎng)

2014年開(kāi)張的新生論壇。自成立以來(lái)，因其基于Tor匿名網(wǎng)絡(luò)的特性，該市場(chǎng)成長(zhǎng)迅速。目前，該論壇有240000名用戶，覆蓋服務(wù)范圍包括：

• 數(shù)據(jù)泄露、銀行滲漏、信用卡認(rèn)證值(由卡號(hào)、有效期和服務(wù)約束代碼生成的3位或4位數(shù)字)和信用卡數(shù)據(jù)
• 違禁藥品
• 武器
• 假證
• 非法活動(dòng)斂財(cái)教程
• 惡意軟件：漏洞利用程序、漏洞利用工具包、僵尸網(wǎng)絡(luò)

商品質(zhì)量參差不齊。潛在買(mǎi)家必須自己確保賣家等級(jí)和信譽(yù)度。在AlphaBay，擁有10級(jí)信譽(yù)的5級(jí)賣家可被認(rèn)為是品質(zhì)保證。除此之外，賣家還得查看評(píng)論區(qū)，看是否有投訴。AlphaBay通過(guò)多重簽名交易方法，以及雙因子身份驗(yàn)證登錄方式，確保交易是安全且無(wú)縫進(jìn)行的。AlphaBay還提供數(shù)字合約系統(tǒng)，利用用戶信譽(yù)系統(tǒng)減少交易風(fēng)險(xiǎn)。每份合約收取5美元管理費(fèi)。合約內(nèi)容任由用戶填寫(xiě)。數(shù)字合約本身并不能消除詐騙，但確實(shí)有助于建立成員間互信。AlphaBay有個(gè)奇怪的地方：允許用戶通過(guò)API以編程的方式進(jìn)入市場(chǎng)。