目前，鍵盤(pán)記錄器依然在地下網(wǎng)絡(luò)黑市活躍，因?yàn)榉缸锓肿涌赏ㄟ^(guò)部署鍵盤(pán)記錄器，竊取密碼并劫持惡意軟件/僵尸網(wǎng)絡(luò)控制面板。在獲取受害者的郵箱密碼后，犯罪分子就可以實(shí)施比勒索軟件更加大膽的攻擊行為，例如商業(yè)電子郵件攻擊（也稱之為“ CEO欺詐”或“電匯欺詐”）。

在商業(yè)電子郵件攻擊（BEC）中，攻擊者可以利用盜取的郵箱密碼登錄郵箱并發(fā)送電子郵件給受害者，這些郵件看起來(lái)就像是從受害者公司CEO的電子郵箱賬號(hào)中發(fā)出的。

在此類商業(yè)電子郵件攻擊中，攻擊者不會(huì)像一般的勒索軟件一樣，僅勒索300美元的比特幣做酬勞，而是發(fā)布偽造的官方指令，命令受害者轉(zhuǎn)移大規(guī)模的資產(chǎn)。資產(chǎn)規(guī)模通常在10萬(wàn)美元甚至更多，而且此類釣魚(yú)電子郵件會(huì)聲稱，這些資金是作為企業(yè)關(guān)鍵業(yè)務(wù)開(kāi)展的一部分，如收購(gòu)，以證明這些資金的緊急性和大額化。

FreeBuf百科：關(guān)于商業(yè)電子郵件詐騙的詳細(xì)報(bào)告，請(qǐng)參見(jiàn)《BEC詐騙橫行，企業(yè)員工如何防釣魚(yú)？》

換句話說(shuō)，鍵盤(pán)記錄器中仍然存在“金礦”可撈。

目前最流行的鍵盤(pán)記錄器之一就是KeyBase，在被其開(kāi)發(fā)者拋棄前，KeyBase其實(shí)一直是被作為合法的應(yīng)用程序銷(xiāo)售的一款產(chǎn)品：

但是，目前KeyBase卻被犯罪分子部署在地下網(wǎng)絡(luò)犯罪市場(chǎng)中。

黑吃黑，想怎樣？

有時(shí)候，黑客之間也存在“黑吃黑”的勾當(dāng)，那可不，下面我要向大家介紹的就是這樣一個(gè)故事…

據(jù)Sophos稱，去年，一名黑客花費(fèi)了大量時(shí)間攻擊其它黑客，幾乎與攻擊普通用戶的頻率相當(dāng)。這一名為“Pahan”的黑客還被稱為Pahan12、Pahan123、或Pahann，他一直在多個(gè)黑客論壇出售各種黑客工具，但Sophos發(fā)現(xiàn)他出售的所有工具均被惡意軟件感染。

例如，在2016年7月，Pahan就在LeakForums上使用“Pahan12”這一昵稱，提供免費(fèi)版的PHP RAT（遠(yuǎn)程訪問(wèn)木馬）—SLICK RAT。

該SLICK RAT下載包中包含一個(gè)安裝程序：

Sophos研究人員Gabor Szapannos表示，SLICK RAT可以通過(guò)KeyBase鍵盤(pán)記錄器感染受害者，隨后KeyBase可以收集密碼并將數(shù)據(jù)返回給一個(gè)數(shù)據(jù)收集網(wǎng)站（該網(wǎng)站依然與Pahan 相關(guān)，因?yàn)閁RL中包含pahan123的文本）。

我們的猜測(cè)是，“Pahan”追蹤登錄LeakForums或其他黑客站點(diǎn)的受害者，通過(guò)各種惡意軟件感染同行黑客， 以強(qiáng)化其在地下黑市中的排名。　　

互聯(lián)網(wǎng)充斥著“黑客論壇”，黑客們?cè)谶@里了解黑客知識(shí)，甚至下載或購(gòu)買(mǎi)黑客工具。如同在offensivecommunity（屬于一個(gè)“具備大量黑客教程收集庫(kù)的黑客論壇” ）上一樣，“Pahan”對(duì)其他黑客論壇的用戶提供相同的RAT，截圖如下：

“黑吃黑”的歷史

有趣的是，Pahan這種推銷(xiāo)一種網(wǎng)絡(luò)犯罪工具卻用另一種軟件感染它的把戲并不只有上面這么一出：

除2016年7月的那次外，Sophos還發(fā)現(xiàn)了2起 Pahan試圖通過(guò)惡意軟件感染黑客的案例：

2015年11月，Pahan在一個(gè)黑客論壇提供Aegis Crypter（將惡意軟件從殺毒掃描器下混淆并隱藏的工具）免費(fèi)下載途徑。

但是Pahan提供的Aegis軟件版本中存在自己的“秘密武器”：一個(gè)名為“Troj/RxBot ”的僵尸木馬，它可以將受感染的計(jì)算機(jī)連接到IRC服務(wù)器上，進(jìn)而發(fā)送遠(yuǎn)程指揮和控制指令到僵尸網(wǎng)絡(luò)中。服務(wù)器中的IRC頻道被“pahan12 ”和“pahan123”（均為pahan昵稱）控制。　

此外，在2016年3月，“Pahann”（Pahan 又一昵稱）在地下網(wǎng)站兜售一個(gè)版本的KeyBase工具包，用于生成鍵盤(pán) 記錄文件，如圖所示：

有趣的是，該KeyBase惡意軟件生成工具包自身被感染了，如圖所示：

如上圖的預(yù)警信息所示，Pahan通過(guò)COM Surrogate惡意軟件感染買(mǎi)家，之后再次下載RxBot（將計(jì)算機(jī)束縛在僵尸網(wǎng)絡(luò)內(nèi)的木馬）。

截止目前，對(duì)于Pahan而言事情變得日益復(fù)雜，他出售SLICK RAT又通過(guò)KeyBase感染它；出售Aegis Crypter又利用Troj/RxBot惡意軟件感染它；出售KeyBase隨后又用COM Surrogate（傳播Troj/RxBot 以及 Cyborg）感染它…

接下來(lái)故事如何演變？

隨后的事情并沒(méi)有同Pahan（又名Pahan12、Pahan123、或Pahann）預(yù)想地一般順利…

2016年8月11日，當(dāng)我們回顧過(guò)去一段時(shí)間Pahan做了什么時(shí)，我們?cè)谶@些有關(guān)他的數(shù)據(jù)和帖子中找到了這樣一個(gè)有趣的截圖：

我們不能肯定，但是我們認(rèn)為Pahan/12/123/n很有可能遭到“反噬”，自己也成功被一個(gè)或多個(gè)惡意軟件感染，我們認(rèn)為上面的截圖是從他自己的電腦中截取的。

我想，也許Pahan下一步就是要與我們?cè)谏蠄D中看到的這些，他的谷歌云端硬盤(pán)賬號(hào)中的惡意軟件爭(zhēng)奪屬于自己的文件了（反噬之痛，不知感受如何呢….）

所以，如果讓你寫(xiě)一篇“Pahan接下來(lái)將會(huì)做什么”的故事，你會(huì)如何構(gòu)思呢？你打算說(shuō)點(diǎn)什么呢？（如果你可以選擇，你希望故事會(huì)是怎么樣呢？）