駭客世界的商業模式

| | | | | | 2則回應

    

現在跟著我們一起深入數位黑市…

地下經濟體 分工有一套

企業組織的商務活動逐漸延伸至網路上，數位黑市的交易活動也是如此。與現實世界不同的是，數位黑市中販賣的不是走私貨品，而是網路犯罪工具：弱點攻擊程式、惡意程式、遭竊信用卡與其他帳戶資訊、偽造點閱次數以騙取佣金的方法、網路釣魚工具套件、零時差安全弱點，甚至還有「分散式運算」服務 (傀儡網路)。

你也許會問,假如惡意程式產業仍持續蓬勃發展，為何近幾年來大規模感染事件逐漸減少?這是因為現在散播惡意程式碼的人大多是為了謀求金錢利益，而不只是搶著出風頭而已。像 Melissa 病毒或 Blaster 蠕蟲如此廣泛蔓延的攻擊行動已不復見，並不是因為惡意程式作者已逐漸銷聲匿跡 – 事實上是因為他們變得更聰明了。

正是因為惡意程式善於隱匿行蹤，導致使用者無法看清事實以及線上活動的危險性，蓬勃發展的地下數位經濟體不斷製造出更新、更先進的惡意程式。這個社群中也充斥和現實世界的犯罪圈子一樣的各種角色：軍火販子、槍枝走私者、掮客、犯罪首腦、小嘍囉、工頭等。在數位世界中，他們化身為惡意程式作者、傀儡程式主控者、信用卡盜用集團、網路釣客、垃圾郵件散播者 – 各式各樣的人均能在此大展長才。

跨入這個黑暗世界對於有 PHP 有實務經驗的技術人員而言並沒有太大難度，真正困難的在於如何搜尋系統弱點以及撰寫能有效利用這些弱點的程式。然而，弱點攻擊方式一旦被發現之後往往會立即公開，因此要實際進行攻擊並不需要具備太多的專業知識。(既可悲又可笑的是，儘管已有修補程式可修正已知的安全弱點，但由於使用者未及時更新，仍然有相當高比例遇害。)

祕密社會作風神祕，革新惡意程式的商業運作模式

線上世界的各個角落幾乎都存在著所謂的地下社群。Russian Business Network(RBN) 是一個位於聖彼得堡的神秘網站代管服務組織，該組織因為專為網路罪犯提供網站代管服務而備受爭議。

雖然影響力如此深遠，RBN並沒有正式網站、交易均透過即時通訊程式聯繫，而且一直到最近都未曾回應媒體的詢問，他們無視法律的存在，而且也沒有法定身分，低調行事的作風似乎其激進技術格格不入。

該組織據稱也參與了 Mpack 的散播與流通，Mpack 是 RBN 網站上銷售的弱點攻擊工具套件，叫價五百到一千美金不等。此售價還包含軟體開發業者所提供的個人技術支援。

在 2005 至 2006 年期間，該組織還涉及了一些重大攻擊活動，入侵 (或委託他人入侵) 合法網站，藉此散播弱點攻擊程式。Mpack 曾被用於稍早發生的一連串義大利網站入侵事件。八月時 Bank of India 網站也曾遭人入侵，利用以 Mpack 製作的惡意程式竊取使用者資訊，然後傳送至位於 RBN 網路上的伺服器。RBN 網路上的敵對駭客今年也曾為了爭奪傀儡網路的控制權而相互發動分散式 DoS 攻擊。

RBN 的防彈式(bullet-proof)網站代管服務每個月收費 $600 美元。此價格遠高於大多數合法網站代管服務業者的收費標準，這意味著他們提供的不只是網站代管服務而已。「防彈」意指設置在 RBN 之下的網站能在網際網路上維持隱密性，避免被強制關閉。這讓網路罪犯可無後顧之憂地部署惡意程式、推銷服務、與其他網路罪犯取得聯繫、以及儲存竊得的身分驗證資訊等。

作業程序委外處理 下線駭客賺外快

惡意程式碼是從事各種線上犯罪活動所不可或缺的要件之一。然而，實際的攻擊行活動是在成功滲透目標系統之後才開始進行。對於有商業頭腦的人而言，將瑣碎的工作「外包」，專注於核心活動，似乎是較為明智的作法。最早將此概念付諸實際行動的就是 iframedollars.biz，該組織設計了一套加盟方案，付錢委託他人在使用者的系統中植入間諜程式、廣告程式與木馬程式。該組織選擇 IFRAME 作為攻擊媒介，網站管理員每感染一台機器便可獲得 6 分美元。如果網站流量達到特定標準，還可獲得額外的獎金。

在下圖中，上述組織一位名為 Alex Zemlickas 的人提供了程式碼讓網站管理員加入他們的網頁中。他甚至還提供了統計數據網頁的連結，參與者可查閱網站的流量，預估他能獲得多少報酬。毫無任何跡象顯示這是一樁正當的交易：通訊資料中完全無公司名稱、地址、電話號碼等資料。

IFRAME ，即"Inline frame" (內置框架)，常見於一般正常的網頁中，網站管理員可利用這項功能在網頁中外部文件，與 "Object" (物件) 的功能類似。IFRAME 的優點是可作為連結的目標。若將其高度與寬度屬性設為 "0"，框架便不會顯示在網頁中。

趨勢科技全球病毒實驗室 Trendlabs 研究發現有一些網站會付錢，找人將使用者引導至特定網站，然後讓他們下載某種型態的惡意程式。VideosCash 就是其中一個例子。網站中第一項條文就是「透過各種可能的方式將瀏覽者引導至 VideosCash 網站/影片庫/影片」。

這種模式確實存在著利基。近幾年來愈來愈多人 (從精明的程式設計師到詐騙專家都有) 投入這個行業，而報酬也跟著水漲船高 (一般企業員工一年薪資約為 $20,000 美元左右，而進行一次 remote root 零時差攻擊便能賺進 $50 到 100,000 美元)。

因為不需花費太多功夫，而且又能獲得可觀的報酬，網站管理員自然願意在自己的網站中加入這些程式碼。自此以後，這種加盟模式 (付錢委託他人感染使用者的電腦) 便紛紛被其他業者採用。一家名為 dollarrevenue.net 的業者所推出的廣告程式加盟方案針對在美國安裝的每一個廣告程式支付 3 角美元，加拿大為 2 角，英國為 1 角，其他地區為 1 或 2 分。若以特定國家的使用者為目標將可獲得更高的報酬。相較於感染其他國家的使用者只能獲得 2 分美元的微薄酬勞，英美兩國使用者顯然是油水較多的肥羊。

（待續）