今日的網路犯罪情勢和十年前絕大多數犯罪集團皆自行開發工具或聘請人員幫忙開發的情況大不相同。過去,由於牽涉到高深的技術和知識,因此全球各地的網路攻擊大多由具備程式設計能力的電腦駭客所為。但隨著時間發展,這些駭客也開始形成自己的圈子,彼此分享網路攻擊的知識和工具,以及經營之道。這些圈子後來演變成了網路市集,讓駭客能將自己最先進的工具賣給網路犯罪集團使用,而且網路犯罪集團的攻擊通常更具破壞力。
今日,這些市集依然以特殊的網站或地下論壇的形式存在。雖然開發工具的駭客最了解自己的工具如何使用,但他們通常不想背負犯罪的刑責,因此便將工具賣給別人,而買家當然必須自行承擔使用這些工具的後果。所以,駭客通常只管將自己的工具拿到地下論壇販售,不在乎購買的人將如何使用。
本文將探討這些駭客如何在地下論壇上兜售其產品以及其銷售的技巧,尤其是一些類似合法軟體的銷售及行銷手法。
地下市集上充斥著各式各樣專為網路犯罪集團設計的產品。儘管並非所有軟體都是針對惡意用途而設計,但絕大多數都有犯罪上的用途,而有些毫無疑問就是專為不法用途而設計。
這些工具大致可分成以下幾類: 繼續閱讀
趨勢科技與美國特勤局聯合研究專案捍衛全球網路安全超過十年 ,請檢視以下時間表,瞭解在公私部門合作下,歷年來打擊網路犯罪的重大成果。
地下網路犯罪的發展,可能是源自俄國的信用卡盜刷論壇和市場,罪犯透過這些途徑,將遭竊的支付卡資訊提供給有心人士,以供進行身分竊盜或釣魚式攻擊。支付卡持有人經常遭受釣魚式攻擊,使得網路罪犯可以無限制地存取其個人識別資訊 (PII)。遭竊的詳細資訊會出售給其他罪犯,供其生產偽造支付卡。這些網站中最龐大的可能是 Dmitry Ivanovich Golubov 和 Roman Vega、Vladislav Anatolievich Horohorin 在 2001 年共同建立的 CarderPlanet。
2003 年 3 月
2004 年 10 月
2005 年 7 月
2007 年 8 月
2009 年 1 月
2009 年 5 月
2010 年 3 月
2010 年 8 月
2011 年受封為「資料外洩年」,全球企業受創於目標型漏洞攻擊,並損失了價值形同於「新型數位貨幣」的寶貴資訊。這一年對於資安產業倍具挑戰,若干受害企業遺失機密資料,並花費大筆金錢彌補損失,導致商譽受損。RSA 與 Sony PlayStation 等受害者別無選擇,只能公開揭露基礎設施遭到攻擊的事實,以確保客戶獲得適當的補救方案。 繼續閱讀
趨勢科技隨時都在監控網路資安威脅情勢的發展,透過這樣的過程,我們就能進一步了解歹徒幕後的運作。這次我們深入追查了某個不知名的駭客集團與 Confucius、 Patchwork 及 Bahamut 等集團之間的可能關聯,看看他們之間有何相似之處。我們暫時將這個不知名的集團稱為「Urpage」。
Urpage 之所以引起我們注意,在於它攻擊的目標為一個烏爾都語與阿拉伯語專用的文書處理程式,叫做「InPage」。此外,歹徒也使用了一個 Delphi 後門元件 (這一點和 Confucius 及 Patchwork 相似),並且使用了一個和 Bahamut 類似的惡意程式,正是這樣才會讓人覺得 Urpage 與上述幾個知名駭客團體有所關聯。在我們之前的一篇文章當中,我們已探討過 Confucius 和 Patchwork 之間共通的 Delphi 元件。也稍微提到 Urpage 和兩者之間有所關聯。這一次我們將深入研究 Urpage 與這幾個團體有何共通之處。
假冒網站
Bahamut 與 Urpage 之間的關聯,最明顯的就是後者有多個 Android 應用程式樣本的程式碼與 Bahamut 的程式相同,但卻連接至 Urpage 的幕後操縱 (C&C) 網站。而且某些 C&C 網站同時也是網路釣魚網站,專門引誘使用者下載這些應用程式。歹徒建立這些假冒網站來介紹這些應用程式並提供連結讓使用者至 Google Play 商店下載,例如「pikrpro.eu」這個惡意網站就是一例,見下圖:
還有另一個網站也是模仿得跟原本的網站很像,只有在標誌和頁面上方的選項稍有不同。當然,假冒網站當中的連結都已經換成指向惡意 Android 應用程式的網址。
安全研究人員發現了一起多階段的攻擊鏈,利用RTF檔案的設計及微軟Office漏洞(CVE-2017-8570)來散播Formbook遠端存取木馬(RAT)。以下是企業要主動回應此威脅所需要了解的資訊:
[相關文章:Trickbot資料竊取程式加入躲避偵測和鎖住螢幕的功能]
Formbook具備鍵盤側錄和螢幕擷取功能
Formbook具備鍵盤側錄和螢幕擷取功能。它還可以下載其他惡意軟體或元件來竊取和外洩資料。研究人員指出,這版本的Formbook也含有銀行木馬中常見的惡意元件。
在2017年12月,趨勢科技發現數個網路犯罪集團散播Formbook及大量的其他資料竊取惡意軟體。他們的攻擊活動中也利用了RTF檔案,攻擊的是另一個漏洞(CVE-2017-11882)。
[延伸閱讀:中小型企業的資安挑戰可能需要第三方協助]
攻擊鏈
感染方式是雙管齊下。第一階段利用夾帶微軟Word文件(.docx)的垃圾郵件,文件檔內的frameset(包含載入文件所需框架的HTML標籤)內嵌了惡意網址。一旦受害者打開檔案,就會下載攻擊者所指定的物件並呈現在文件內。經過研究人員逆向工程一個Formbook樣本顯示,網址會連到另一個帶有漏洞攻擊RTF檔案的命令與控制(C&C)伺服器。這種攻擊不需要巨集和shellcode。 繼續閱讀
網路上充斥著各種渡假旅遊的省錢花招。Brian Kelly 是一名前華爾街上班族,他利用信用卡的回饋和航空公司里程點數賺到了不少免費甚至超便宜的旅遊行程。其中一趟沿途經過迦納、盧安達、南飛的行程只花了他 5.6 塊美元。在此同時,也有另一位Reddit 用戶宣稱他去了一趟為期兩週的泰國之旅,原本需要 28,000 美元,最後只花了 326 美元。
前面兩個例子都算是合法的旅遊省錢花招,但如果是使用非法服務來節省旅費,那可就完全另當別論。
近幾年來,一些經由詐騙得來的旅遊證件、機票住宿熟客優惠專案,以及其他旅遊相關服務,在網路犯罪地下市場開始變得搶手。網路犯罪集團經營的手法是:以偷來的信用卡購買服務、以駭客手法取得熟客優惠帳號、以詐騙方式取得免費贈品、折扣與現金回饋兌換券等等,然後再將這些商品拿到地下市場販賣。儘管目前已有一些專門對抗這類不法活動的安全機制,但網路犯罪集團所提供的商品卻越來越多,藉此吸引買家的興趣。
黑暗網路、地下論壇、Telegram 頻道、甚至社群網路貼文,全都充斥著這類服務的廣告,只要您不在意可能觸法的話,各種便宜好康真是唾手可得。從各式各樣的旅遊證件與租車、機票、飯店住宿應有盡有。以下是我們在中國和俄羅斯地下市場以及某些英文論壇上看到的相關
服務,本文將分數篇刊出,主題包含:
這篇要討論的是旅遊證件和機票:
地下市場上有不少販賣偽造證件的廣告,專門滿足那些不想讓身分曝光或者根本無法取得必要證件的旅客。例如,在數十個提供服務的賣家當中,有一位俄羅斯地下論壇的賣家在販售空白和包含個人資料的烏克蘭護照,價格分別為:1,500 美元和 1,600 美元。除此之外,地下市場也提供護照變造服務,價格通常在:30,000 盧布 (510 美元) 至 65,000 盧布 (1,100 美元) 之間。 繼續閱讀