就像組織嚴(yán)密的現(xiàn)代黑幫一樣，網(wǎng)絡(luò)黑產(chǎn)到如今已經(jīng)商業(yè)化得非常成熟了，黑客們同樣擁有復(fù)雜精巧的產(chǎn)業(yè)鏈，每天在全球黑產(chǎn)網(wǎng)絡(luò)中流轉(zhuǎn)的交易額數(shù)以億計，整體規(guī)模更難以估測。

但其中每個黑客的具體收入如何？黑客是如何進(jìn)行攻擊準(zhǔn)備的？他們是如何進(jìn)行內(nèi)部交易的，并遵循某些規(guī)則不相互越界呢？

一些安全研究者長期潛伏在地下黑產(chǎn)網(wǎng)絡(luò)中，近距離觀察其運(yùn)作模式——

盡管本文所披露的只是“地下世界的一瞬，不足以描述其萬分之一”，但還是為我們真實(shí)揭示了黑客世界不擇手段竊取金錢的產(chǎn)業(yè)鏈條。

首先，對于互聯(lián)網(wǎng)我們應(yīng)該知道，可公開訪問的網(wǎng)站只占數(shù)據(jù)信息的一部分，如同海面之下的冰山，還存在一個更龐大的、采取非公開機(jī)制訪問的平行網(wǎng)絡(luò)世界——暗網(wǎng)。這里才是一切法律嚴(yán)加打擊但暴利的交易活躍之地——如盜版、色情、買兇、軍火、恐怖分子，當(dāng)然也包括黑客。

進(jìn)入黑客聚集的地下交易場

匿名訪問的隱私黑客論壇是散落暗網(wǎng)中的黑客交易場，一旦你被黑客圈子或組織認(rèn)可，能夠進(jìn)入暗網(wǎng)中的黑客論壇上就可以找到各種非法服務(wù)，可以讓一個普通黑客都能快速發(fā)起一次網(wǎng)絡(luò)攻擊。

這些論壇無法搜索定位，需要很多的驗(yàn)證程序及其他黑客會員擔(dān)保。上圖為一個俄羅斯黑客論壇的截圖，可以看到，這里黑客正在推銷多款惡意軟件，包括特洛伊木馬、僵尸網(wǎng)絡(luò)等。

黑客基礎(chǔ)裝備之攻擊工具包（Exploit Kits）

Exploit Kits像瑞士軍刀一樣整合了網(wǎng)絡(luò)攻擊所需的眾多組件，使大規(guī)模網(wǎng)絡(luò)攻擊裝備化，因?yàn)榇蟠筇嵘斯舻某晒β适艿胶诳偷娜找媲嗖A，未使用之前，黑客的成功率一般為10%，使用之后就可能提升到40%。

那么Exploit Kits里面究竟有哪些構(gòu)成呢？

上圖為一個典型Exploit Kits的 “解剖切片”，可以看到有惡名昭彰的網(wǎng)銀木馬Zeus、Vawtrak、勒索軟件nymaim、比特幣敲詐病毒CTB-Locker等。

這是一個真實(shí)的由黑客打造的攻擊工具包叫做RIG，正在論壇上租售，這個帖子描述（文為俄語）了該工具包的應(yīng)用環(huán)境是X86/X84下的Window系統(tǒng)，可繞過微軟用戶賬戶控制系統(tǒng)；支持大流量攻擊；擁有兩種不同的勒索付費(fèi)通道；支持自動加載網(wǎng)頁鏈接；可應(yīng)用到的多個漏洞列表；平均攻擊成功率達(dá)到10%~15%；保證不被殺毒軟件發(fā)現(xiàn)等特性。

更重要的是該工具包的租用費(fèi)用：30美元24小時；150美元一周；500美元一個月。這個費(fèi)用并不高。

攻擊工具包（Exploit Kits）的商業(yè)模式

RIG工具包的商用模式有些類似零售，有中央倉儲和多級經(jīng)銷商，RIG可以直接向終端黑客銷售，同時也支持多級銷售，其他黑客可以將這個工具以更高的價格轉(zhuǎn)售出去，按照一周獲取600個客戶，每家支付150美元的話，RIG的周盈利高達(dá)9萬美元。

在 “零售”模式之外，目前還時興一種“直銷分成”的商用模式，RIG制造者將工具免費(fèi)提供給黑客，最終從攻擊成果中分成。

例如當(dāng)黑客使用了該工具包侵入了一個網(wǎng)站，其中5~20%的流量歸“巨頭”控制，具體如何從中獲利也由“巨頭”自己把握。這種模式更加高明，購買者無需支付任何費(fèi)用就有機(jī)會獲取可觀回報，肯定使用者眾多，同時也不影響RIG另外并行的“零售”交易。

在黑客產(chǎn)業(yè)鏈上，像RIG這樣的工具和其他服務(wù)（后續(xù)將一一介紹）的制造者才是產(chǎn)業(yè)中堅，他們隱身在實(shí)際執(zhí)行攻擊的普通黑客之后，為其提供材料、裝備、服務(wù)，也獲得利潤中最豐厚的一層，被稱為“黑執(zhí)事”（英文為Magnitude）。

為方便后續(xù)描述，先做提前說明，下文中的黑執(zhí)事是黑客服務(wù)的提供者，黑客產(chǎn)業(yè)鏈的上游。黑客就是網(wǎng)絡(luò)攻擊執(zhí)行者，是產(chǎn)業(yè)鏈終端。受害者就是被攻擊的普通網(wǎng)絡(luò)用戶。

網(wǎng)絡(luò)綁票：勒索軟件正在流行

通過RIG工具包，黑客還可以分發(fā)惡名昭著的勒索軟件Cryptowall，勒索軟件采取一個簡單粗暴的吸金邏輯，當(dāng)受害者的電腦被感染，電腦中的文件就會被加密，受害者無法再訪問自己的文件，如果想要回控制權(quán)，就要按照黑客要求繳納贖金，一般是比特幣。

最近網(wǎng)絡(luò)勒索事件層出不窮，很多用戶或企業(yè)都深受其害，據(jù)觀察，一個勒索賬戶一周就可以收到6萬美元。

勒索軟件善于抓住人們的心理弱點(diǎn)，黑客也喜歡入侵色情網(wǎng)站并注入惡意鏈接，當(dāng)用戶點(diǎn)擊了這些惡意鏈接進(jìn)入非法網(wǎng)站時，黑客就有無數(shù)種辦法勒索用戶。

這是一個真實(shí)的用戶收到的勒索軟件恐嚇信息：

首先恐嚇用戶做了壞事被發(fā)現(xiàn)，所以才有這一劫，告知文件已被加密，利用用戶下意識的花錢免災(zāi)的心理，要求其繳納贖金獲得解密密碼，如果12個小時后還沒有繳納，電腦將永遠(yuǎn)不可使用。

這是另一個設(shè)計更加精妙的勒索軟件信息，黑客偽造了網(wǎng)址，讓受害者以為是來自政府機(jī)構(gòu)FBI的通告，甚至虛構(gòu)了一個法律罪名叫做“個人電腦管理不妥善使用罪”，基于這個完全胡扯的法律名目，受害者被指控三項罪名：

非法下載傳播有版權(quán)的電子資產(chǎn)。

瀏覽和傳播色情資料。

電腦在受害者不知情的情況下，被定位為惡意軟件的傳播源。所以電腦文件被加密鎖定，受害者需繳納贖金來解鎖。

盡管這些消息看起來毫無依據(jù)，但結(jié)果是勒索軟件正源源不斷收到贖金。

更絕的是為了讓受害者相信交錢后文件可以恢復(fù)，勒索軟件還提供一個“免費(fèi)測試機(jī)會”，點(diǎn)擊后，受害者的文件可以解鎖一到五個，但無法指定，這個功能出現(xiàn)在頂級勒索軟件CoinVault和CTB Locker中。

黑色產(chǎn)業(yè)鏈中的專業(yè)外包服務(wù)：幫助惡意軟件逃脫檢測

除了出售工具包，一些黑執(zhí)事還出售其他附加服務(wù)提升攻擊成功率，這些服務(wù)可以稱之為黑客產(chǎn)業(yè)鏈上的“專業(yè)外包服務(wù)”，其中之一為“檢測逃脫”服務(wù)。當(dāng)該服務(wù)加載到惡意軟件時，就可以逃脫殺毒軟件的掃描。要知道，目前安全公司最主要的工作就是分析病毒特征并更新到自己的病毒庫。

這項服務(wù)在黑客論壇公然出售，廣告上一般會列出效果對比，如上圖看到的，使用了服務(wù)，全球35個殺毒軟件中27個可檢測到，而使用后則全部免疫。

黑執(zhí)事很懂生意，他們有時會提供特殊折扣吸引顧客，上圖寫著，下個月每周一前三個顧客可享受一單免費(fèi)的優(yōu)惠。

一些甚至提供定制服務(wù)，例如客戶購買一個3000美元的黑客攻擊軟件，附送一個月的免費(fèi)支持，額外服務(wù)支持一個月需加300美元。

普通黑客發(fā)起一項攻擊需要投入多少？

正如你所見，黑客發(fā)起一項攻擊需要做好準(zhǔn)備工作以及物資采購，那么大概需要花費(fèi)多少錢呢？

一般來說，你需要購買或者租用工具包，并附加一些服務(wù)增加成功率，特別是付費(fèi)通道來收取費(fèi)用，還需要購買一些流量，讓我們計算一下：

付費(fèi)通道購買：3000美元一個月

檢測逃脫服務(wù)：20美元*30天=600美元

攻擊工具包：500美元一個月

流量：300美元*6=1800美元

共計：5900美元/月

投入總計大約5900美元一個月，看起來很多對嗎？那讓我們看看黑客可以賺到多少？

一個月黑客可以賺到多少錢？

在支出6萬美元之后，黑客一定是預(yù)期回報遠(yuǎn)大于投入的，事實(shí)也是這樣的。

在觀測到的數(shù)據(jù)上再做保守估算，平均每天有2萬人點(diǎn)擊惡意鏈接，一般大概有10%的幾率被感染，如果用了勒索軟件，大概又有0.5%的受害者付費(fèi)。這意味著，黑客日收入大概是3,000美元，除去期支出，月收入高達(dá)8,4000美元。

日平均點(diǎn)擊惡意鏈接用戶數(shù)：20，000

通常工具攻擊包的成功率：10%

受害者付費(fèi)比：0.5%

日收入：20,000美元*10%*0.5%*300美元=3000美元

月收入：90,000美元

凈收入：90,000 -5,900 =84,100美元

在黑客產(chǎn)業(yè)鏈的支持下，一個不需要有多高技術(shù)能力的黑客也可以輕易通過攻擊活動賺得盆滿缽盈，這也是當(dāng)前網(wǎng)絡(luò)安全事件異常猖獗的主要原因。

黑客服務(wù)之?dāng)?shù)字證書簽名服務(wù)

數(shù)字證書就是互聯(lián)網(wǎng)通訊中標(biāo)志通訊各方身份信息的一串?dāng)?shù)字，提供了一種在Internet上驗(yàn)證通信實(shí)體身份的方式。它是由權(quán)威機(jī)構(gòu)——CA機(jī)構(gòu)，又稱為證書授權(quán)（Certificate Authority）中心發(fā)行的，人們可以在網(wǎng)上用它來識別對方的身份。

通常情況下，已簽名的證書就代表著值得信任。

但一些黑客服務(wù)已開始出售惡意軟件的簽名服務(wù)，可以將檢測幾率降低80%。如圖所示，這個簽名服務(wù)聲稱可提供來自Thawte和Comodo證書授證（Certificate Authority）中心的簽名服務(wù)，可用于任何可執(zhí)行文件，費(fèi)用為$600。

黑客服務(wù)之IP信譽(yù)庫

這項服務(wù)解釋起來有些困難，IP就是網(wǎng)絡(luò)地址。正常情況下，IP信譽(yù)庫一般被安全機(jī)構(gòu)用于辨識、過濾、阻斷那些垃圾郵件發(fā)布機(jī)構(gòu)，或者不受信任的惡意網(wǎng)站，但由于官方機(jī)構(gòu)和安全廠商自己也會有官方IP地址以及用于誘捕惡意軟件的“蜜罐”IP地址，所以黑客如果提前知道這些IP地址，就可以避過或者欺騙來這些目標(biāo)的訪問。

上圖中的服務(wù)廣告宣傳定期更新來自FBI、各大安全服務(wù)商的“蜜罐”IP，降低了黑客被捕捉的幾率。

虛假殺毒軟件

有沒有想過，最恐怖的罪犯是什么樣的？如果有些罪犯披著警服呢？

有一種惡意軟件叫做虛假殺毒軟件（或者流氓殺毒軟件），其理念非常簡單——看起來像反病毒產(chǎn)品，靠效果欺詐賺錢。

這種軟件在名稱、界面、功能上全盤模仿正規(guī)殺軟，當(dāng)你點(diǎn)擊掃描時，會出現(xiàn)很長的感染警告，但沒一個是真的。但由于效果驚人，受害者反而需要付一大筆錢給這個虛假軟件，一般是$50~$70一個license，用戶量往往數(shù)以萬計。據(jù)了解，某個國際虛假殺毒軟件由三個黑客維護(hù)，年收入近百萬美元。

黑客工具之Web Shells：非法控制網(wǎng)站服務(wù)的鑰匙

還有一種黑客主要針對網(wǎng)站，由于很多網(wǎng)站的運(yùn)維管理很差，黑客可以很輕易攻入網(wǎng)站服務(wù)并取得全部權(quán)限，從而也獲得網(wǎng)站上很多機(jī)密數(shù)據(jù)如用戶信用卡信息等。使用Web Shells是攻擊網(wǎng)站服務(wù)的主要方式之一。基于Web Shells，黑客可以上傳文件，在網(wǎng)站內(nèi)自動添加惡意鏈接，操作本地文件等。

Web Shells的價值主要取決于它可以攻破的網(wǎng)站價值，所以從上圖看到，當(dāng)售賣Web Shells時，也會列出目標(biāo)網(wǎng)站Alexa排名和獨(dú)立訪客量等指標(biāo)。

更嚴(yán)重的Web Shell可用于滲透那些掌握了客戶信用卡等重要信息的網(wǎng)站，例如電子商務(wù)、金融等。盜取這些用戶信息還可用于其他黑客活動。據(jù)安全專家估計，每個月都有數(shù)千網(wǎng)站被滲透。

黑產(chǎn)之用戶數(shù)據(jù)交易

用戶個人信息在黑客看來是很有價值的，特別是那些涉及到支付的信用卡信息，上圖是一個黑客發(fā)布在論壇上售賣信用卡賬戶數(shù)據(jù)的帖子，價格取決于客戶余額，一般來說，如果一條賬戶余額為$100,000的用戶信息價格為$10。

甚至產(chǎn)生了專門售賣信用卡信息的網(wǎng)站，用戶記錄數(shù)以萬計，如上圖這個活躍的網(wǎng)站，有供出售的信用卡記錄近800頁，很多記錄都是最近添加的。

購買這些數(shù)據(jù)非常簡單，就像其他電子商務(wù)網(wǎng)站一樣，可以自由選擇購買，支持比特幣支付。

一路看下來的你一定對網(wǎng)絡(luò)犯罪有了全新認(rèn)識，而且這里所揭示的也不過是冰山一角，網(wǎng)絡(luò)安全和黑客攻擊一直在持續(xù)斗爭，所謂道高一尺，魔高一丈，但用戶特別是企業(yè)的安全意識是其中決定性砝碼，認(rèn)真研究攻防，筑起防護(hù)門檻，保持警惕狀態(tài)，做好響應(yīng)預(yù)案，都可以讓黑客攻擊的成本提升，減少受害幾率。