駭客基礎設施和地下主機概述

地下平台是成熟的網路犯罪商品和服務交易生態系一環。一個有能力的託管基礎設施是如何讓非法活動蓬勃發展的?

The Hacker Infrastructure and Underground Hosting: An Overview of the Cybercriminal Market
下載「駭客基礎設施和地下託管服務:網路犯罪市場概述(The Hacker Infrastructure and Underground Hosting: An Overview of the Cybercriminal Market)」

在網路犯罪的地下活動裡,犯罪分子的託管基礎設施是整個商業模式的基礎。它提供了匿名服務來保持活動隱密性,提供命令和控制(C&C)伺服器來利用受害者的電腦,還提供了論壇與其他犯罪份子交流。犯罪賣家提供其他犯罪分子執行攻擊所需的服務和基礎設施。地下託管服務或地下基礎設施讓駭客能夠隱匿網路犯罪組件,在不被干擾或逮捕的情況下進行惡意活動,這些通常需要服務商的幫忙。

地下託管服務可以包括提供託管基礎設施、網域名稱供應、fast-flux基礎設施、流量加速器、虛擬和專用伺服器及虛擬專用網路(VPN)。託管基礎設施還可用來發送網路釣魚郵件,在網路商店買賣非法商品及託管可用來發動攻擊的虛擬專用系統(VPS)。

在地下託管服務研究系列的第一部裡,我們研究了地下市場,看看它們提供給駭客社群哪些商品和服務,以及犯罪賣家如何與犯罪基礎設施的買家進行交易。

地下託管服務


地下平台提供廣泛的服務來滿足犯罪駭客的需求,從防彈主機和代理伺服器到VPS和VPN。有趣的是,在線上博彩、線上行銷和搜尋引擎最佳化(SEO)的相關論壇上也可以看到此類服務 – 這些服務可用於產生點擊來影響搜尋引擎行為。

我們還在VK,Telegram和WhatsApp等網路即時通平台發現用來宣傳上述服務的聊天群組。我們可以通過賣家所提供的相同聯絡方式將地下論壇和社群網路上的廣告聯繫在一起。這跟現有的犯罪分子只在地下銷售非法物品的想法相反。他們也會將自己的賣場放到表面的網路世界。

這就是網路犯罪地下市場的現狀 – 完善的論壇,裡面充斥著各種產品,還有不同程度的參與者熱烈交流著。地下市場已經發展並形成了仿照合法生意的結構。賣家已經開發了詳細的商業模型和貨幣化系統,接受常見的付款方式,如PayPal、Mastercard、Visa和虛擬貨幣。

地下市場的產品種類繁多。除了信用卡轉儲和撇取器等各種地攤貨外,專門店中也提供了大量駭客服務,包括專用伺服器、SOCKS代理、VPN和分散式阻斷服務(DDoS)保護。

犯罪基礎設施:地下市場提供的服務

  • 專用和虛擬託管服務商,包括防彈主機、fast-flux網路及其他類型的託管服務。
  • 服務保護和匿名化供應商,包括匿名服務、流量加速服務、代理伺服器、反向代理服務和VPN。
  • 其他基礎設施提供,包括較少使用的基礎設施提供,如瀏覽器內殭屍網路服務、IoT託管服務以及電信相關服務(如撥出電話、接收電話、垃圾簡訊)。
  • 為惡意目的而使用的合法服務/系統,包括雲端服務、動態DNS託管和SSL憑證提供等免費服務。
關於託管服務和VPN的地下論壇


地下論壇可能有成千上百個主題。比方說,有個論壇光是關於代理服務和VPN就有10,000多個主題和25,000則貼文。針對論壇用戶的執法行動也在地下論壇被廣泛討論。

為專用伺服器的買賣雙方提供自動化平台的廣告

此外也有可從世界各地用RDP連上的專用伺服器廣告。購買位於美國的主機價格可以低至3美元,不過更貴的主機(6美元起跳)可額外保證接下來12小時內的可用性。有些賣家甚至為大量購買提供折扣。

專用伺服器商店,提供出售貨物的設定和價格

產品甚至可以按連線類型、國家/地區、硬體規格和網路能力進行分類。


向犯罪基礎設施買家宣傳的服務


我們發現公共託管服務的官方經銷商正在地下論壇中作廣告。這些託管服務商擁有合法的客戶群,並在網路上做廣告。然而有些經銷商會迎合地下犯罪份子的需求,不管公司知不知情。這並不奇怪,因為犯罪分子可能也希望利用並使用這些號稱功能卓越的服務。

我們發現地下駭客會分享託管服務商的介紹連結,甚至從社群賺取推薦費。犯罪分子經常會討論並宣傳託管服務商的匿名性及對濫用的處理態度(也就是不處理)。

為什麼託管服務對駭客和地下使用者來說很重要?

託管服務可以讓使用者繞過網路限制,保持匿名性並讓鑑識變得更困難。以下是其他它們常被使用的原因:

  • 犯罪分子利用它來加入惡意組件
  • 犯罪集團利用它來加強通訊系統
  • 殭屍網路需要它來部署C&C基礎設施
  • 垃圾郵件運營商需要它來託管和架設垃圾郵件派送系統
  • 地下論壇需要它來運行交流平台
防彈主機服務商的廣告

與一般主機不同,標榜防彈的服務商通常用來託管惡意內容,如惡意軟體庫、釣魚網站、色情網站、漏洞掃描器和垃圾郵件派送。這些服務商無視濫用報告,允許在其伺服器上策劃網路犯罪行動。這使得在網路犯罪法律較寬鬆的國家/地區進行打擊工作變得更加困難,可能會阻礙執法調查。

地下論壇上”知名”VPN服務的廣告

VPN服務商被宣傳為匿名者,可用於隱藏犯罪份子在網路上的真實位置(即不保留任何活動紀錄),甚至讓它們的基礎設施看起來盡可能的合法,可能是為了讓執法行動變得更棘手。


犯罪買賣雙方利用的社群媒體平台


跟任何向潛在買家銷售商品和服務的企業一樣,犯罪賣家也會做廣告。賣家使用不同的平台來推廣他們的產品和服務:聊天頻道、駭客論壇和社群媒體貼文。

例如,我們在社群網路VK上發現一個託管服務的廣告。在地下市場,它被定位成適合進行暴力破解攻擊,並通過Masscan、Nmap和ZMap進行大規模的網路掃描。

一個秀出入侵主機來宣傳其服務的Telegram頻道

比方說,Telegram已經成為地下論壇宣傳服務的聯絡點。在某些時候,它被用作廣告服務的平台。專用聊天室和機器人也被用來銷售伺服器和其他入侵主機,如具備RDP連線能力的主機和VPN。

在Twitter用英文標籤發布防彈服務的廣告

即使是在Twitter上,也可以用#VPS或#bulletproof等標籤或其他語言的對應詞來尋找防彈服務的廣告。

提供對地下網路的認識對幫助組織、InfoSec社群和執法部門管理和減少網路犯罪來說都相當重要。閱讀我們的完整報告「駭客基礎設施和地下託管服務:網路犯罪市場概述」來取得詳細的調查結果,該報告深入探討了地下經濟的運作及網路犯罪基礎設施的基礎。

本研究系列的第二部會探討網路犯罪分子如何獲取和使用犯罪基礎設施組件,如入侵主機和專用託管伺服器。


@原文出處:HACKER INFRASTRUCTURE AND UNDERGROUND HOSTING 101 作者:Vladimir Kropotov ,Robert McArdle和Fyodor Yarochkin