網路犯罪地下市場上的服務供應方式與犯罪集團的經營模式，近年來因各種不同的基礎架構需求而產生了許多變化
網路犯罪地下市場上的服務供應方式與犯罪集團的經營模式，近年來因各種不同的基礎架構需求而產生了許多變化。

網路犯罪基礎架構商品化

除了一些地下市場上常見的標準商品 (如惡意程式、漏洞攻擊套件) 之外，網路犯罪集團其實還需要穩定的主機代管基礎架構，好讓他們從事各種活動。這類基礎架構可用來發送惡意內容或提供他們維持運作所必需的元件，例如駭客後台系統所需要的防彈主機或出租的殭屍網路。

網路犯罪集團之間的交易，在許多方面都跟一般的商業交易無異。不論業餘或專業的駭客都會在各種平台上推銷自己的產品。有些人會透過社群媒體，有些人則只會在嚴格把關的地下論壇上宣傳。

本系列研究的第一篇報告已針對地下市場的現況做了一番概要說明，介紹了目前有哪些非法活動所需要的服務、基礎架構和工具在地下市場上買賣。地下市場上的產品琳瑯滿目，幾乎各種需求都能獲得滿足。這一篇，我們將探討網路犯罪生態系的運作，深入了解地下市場所提供的服務，以及某些網路犯罪活動的基礎架構如何建構。

---

網路犯罪基礎架構必要元素

不同的網路犯罪有不同的商業模式，但不外乎都會用到一些專屬伺服器以及已遭駭客入侵的伺服器，然後再配合一些具備容錯能力的網域配發服務和匿名化服務。這份研究報告詳細介紹了一些較大的服務類別，以及網路犯罪集團用來防範其他犯罪集團與執法單位的一些最新基礎架構服務。以下就讓我們來看看這些常見的服務。

繼續閱讀

本文探討 Linux 系統上各種不同挖礦( coinmining )程式彼此爭奪運算資源的激烈戰況。此外也說明這些惡意程式已開始入侵 Docker 環境與使用開放 API 的應用程式。

在一般人的印象裡，Linux 生態系應該比其他作業系統更安全、也更穩定，所以才會連 Google、NASA 和美國國防部 (DoD) 都採用 Linux 來架設其網路基礎架構和系統。可惜的是，Linux 並非只受到知名大型機構青睞，它對網路犯罪集團來說也是相當具吸引力。  

本篇部落格探討 Linux 系統上各種不同虛擬加密貨幣挖礦程式彼此爭奪運算資源的激烈戰況。此外也說明這些惡意程式已開始入侵 Docker 環境與使用開放 API 的應用程式。

挖礦惡意程式依然活躍並持續演進

虛擬加密貨幣挖礦活動本質上不算惡意行為，頂多就是像 1800 年代的淘金熱一樣。只不過當年挖礦的工具是十字鎬和鏟子，如今換成了電腦，而開採的對象從黃金變成了各種虛擬加密貨幣，如：比特幣 (Bitcoin)、門羅幣 (Monero)、乙太幣 (Ethereum)、XRP 等等。隨著虛擬加密貨幣的市值突破 3,500 億美元，虛擬加密貨幣已名符其實成為一種數位金礦。

但很不幸的，並非所有數位淘金者都會透過正當手段來賺錢。網路犯罪集團經常偷偷在一些使用者的裝置上安裝虛擬加密貨幣挖礦惡意程式，利用使用者的運算資源來幫他們挖礦，完全不經使用者同意。如此一來，他們完全不需投資任何挖礦設備就能輕鬆賺錢。

近年來， 虛擬加密貨幣挖礦惡意程式大量成長，尤其是門羅幣挖礦程式。因為這款虛擬加密貨幣提供了交易的完全匿名性與私密性，因此非常適合非法交易使用。除此之外，我們發現網路犯罪集團會利用各種手段來讓獲利最大化。他們喜歡鎖定一些運算效能強大的裝置，並且將其他競爭對手的挖礦程式清除，同時也試著擴大平台和裝置的版圖。

深入挖礦程式之爭

多年來，我們一直在研究 Linux 虛擬加密貨幣挖礦惡意程式的成長趨勢。之前我們就曾分析過 KORKERDS 這個 Linux 惡意程式，它會隨附在一個 rootkit 當中，用來隱藏惡意的處理程序，不讓系統監控工具發現。此外我們也探討過 Skidmap 這個會調降受害裝置資安設定的 Linux 惡意程式，而且它還能提供後門讓駭客存取裝置。

前述兩個挖礦惡意程式都展現了高超的技巧，利用受害裝置的資源幫駭客賺錢。今日，我們要特別點出我們從自家誘捕網路和網際網路上都觀察到的一項日益普遍的現象，那就是現在的挖礦程式都會將受害裝置、系統及環境內其他類似的惡意程式停用或移除。

根據我們所分析到的樣本，這類挖礦程式在感染裝置之後的第一件事就是檢查裝置上是否有其他競爭對手的挖礦程式。如果偵測到其他挖礦程式，就會清除競爭對手的處理程序，並從系統上將其程式徹底清除，確保它們無法再次啟動。 

繼續閱讀