地下市場提供各種各樣的服務供網絡罪犯從中獲利

[[174280]]

地下市場

這些論壇提供的貨品種類簡直包羅萬象，從物理世界的商品，比如毒品、武器，到數字世界的服務，比如垃圾郵件/網絡釣魚郵件投放、漏洞利用工具包服務、“加殼器”、“捆綁器”、定制惡意軟件開發、零日漏洞利用、防彈主機托管。

地下世界充斥各種外人聽不懂的行話和俚語。加殼器，就是加密惡意軟件以規避反病毒引擎檢測的工具。捆綁器，是在合法程序中綁入惡意軟件樣本的工具。零日漏洞利用，是利用未打補丁漏洞的技術，攻擊者用以獲取對計算系統的非授權訪問。“FUD”在正常安全世界意味著“恐懼、不確定、懷疑”，在地下論壇世界則是“完全不可檢測”。這些論壇上還有所謂的“開膛手”，就是欺騙其他用戶，不提供有用服務或貨品，拿了錢就跑的騙子。

魯伊斯·曼迪艾塔，Anomali高級安全研究員，對常見地下市場進行了分析調查。

Sky-Fraud論壇

Sky-Fraud是2014年便開始運營的俄羅斯地下論壇。其用戶群包含26000名活躍用戶，英俄雙語。其上提供的服務種類豐富，下列服務均可在Sky-Fraud上找到：

• 第三方履約保證服務
• 防彈主機托管服務
• 個人可識別信息(PII)和信用卡(CC)數據
• 僵尸網絡、漏洞利用程序、惡意軟件
• 黑帽搜索引擎優化(SEO)和網頁設計
• 支付系統：比特幣(BTC)、貝寶(Paypal)、Webmoney、歐貝通(Entropay)

論壇注冊系統對所有人開放，讓騙子、名聲不好的成員、執法機構和安全研究人員都能輕松訪問。鑒于網站上活躍著太多業余黑客，其上數據似乎可信度不高。但是，一位與防彈主機托管有關的重量級人物在這個論壇上經營有他的“事業”。沃哈夫(Volhav)不僅僅在這個論壇活動，后面介紹的地下論壇中也有他的身影。由于注冊時間是2016年初，可能他是在嘗試不同論壇以擴展服務范圍吧。不過，他在這上面的活動僅有兩條。

Lampeduza論壇

專精于賬戶信息非法交易、轉儲服務和全套信用卡詐騙的俄羅斯地下論壇。有幾個部分也專門服務于黑客攻擊、匿名化操作、垃圾郵件投放和黑帽SEO。因為論壇成員之一的rescator涉嫌售賣分發塔吉特被泄數據，安全博主克雷布斯在2013年也談論過Lampeduza。另外，該網站似乎與臭名昭著的販卡論壇rescator.cm關系頗深。rescator.cm就是塔吉特、家得寶和莎莉美容數據泄露事件中信用卡數據出售的場所。

Lampeduza市場的訪問略有限制。注冊者需先從老用戶那里獲得邀請碼，然后還要支付50美元。這讓網站相對排外，更少被別的站點浸染。然而，潛在買家依然要面對仔細甄別供貨商優劣的挑戰。幸運的是，該網站提供信譽系統，用戶可以提起投訴，必要的時候會對賣家采取行動。這是很多匿名市場的常見功能了。

這個市場上提供的數據應該在中等價值。大型零售商被泄數據也會在這個論壇上出售。

Exploit.in論壇

Exploit.in是俄語黑客論壇，模仿LeakForums和HackForums之類其他黑客論壇的經營方式。該論壇2007年上線，總用戶數35000。作為論壇一部分的成員，在注冊前需經受審查，并要求一名現有成員做擔保。某些不討論犯罪活動的區域也對公眾開放。

這些區域包括網頁設計、編程和硬件方面的話題。其他部分，比如安全和黑客、病毒學、匿名性和市場，則需要有效用戶賬戶才可以訪問。該論壇出售的服務包括：

• 賬戶信息交易服務
• 防彈主機托管
• 惡意軟件投放服務
• 零日軟件漏洞
• 惡意軟件
• 漏洞利用工具包
• 木馬
• 加殼器

這個市場的價值，就在于其用戶間高度聯通的關系。很多真實用戶在別的論壇上都有多種身份資料。而這個論壇，通過閉合的注冊過程，避免了像HackForums和LeakForums一樣被虛假賬戶污染。

LeakForums論壇

2011年在黑客界嶄露頭角。其當前用戶群高達100萬。LeakForums專注于與PII、社交媒體賬戶相關的泄露，以及付費黑客工具的交易(鍵盤記錄器、遠程訪問工具、加殼器、捆綁器)。廣為流傳的惡意軟件，比如Njrat、Adwind和Orcus等，也對注冊用戶免費開放。其他泄露類別包括：

• 商業軟件序列號(微軟Windows、Office、反病毒引擎)
• 被盜憑證(社交媒體賬戶)
• 被黑數據庫(流服務數據庫泄露)
• 著名木馬破解版(Njrat、Adwind、Orcus)

該市場上的數據質量非常之低。有太多的不入流罪犯試圖賺取名氣，但出售的卻是很低級的工具。該站點也缺乏像Alphabay和TheRealDeal之類成熟市場的信譽系統。這讓潛在買家更難以信任這里的商家。該市場是很多泄露數據的初始來源，也可以獲得著名惡意軟件的拷貝以擴展檢測能力。除此之外，該網站乏善可陳。

HackForums論壇

互聯網上運營時間最久的黑客論壇。成立于2006年，用戶總數約為600000人。該論壇囊括信息安全界多個主題：黑客行為、編程、電腦游戲、網頁設計、網頁開發，當然，還有黑客工具和服務的售賣。HackForums因吸納了大量業余黑客而為人所不齒。一些技術稍高的罪犯也會在上面提供以下服務：

• 應激物服務(如：DDoS程序)
• 遠程訪問工具
• 被盜社交媒體賬戶
• 加殼器
• 虛擬專用服務器(VPS)、虛擬專用網(VPN)和主機托管服務

HackForums今年因MalwareHunterTeam發現有黑客行動源自該論壇而備受關注。該行動使用了ORCUS RAT。克雷布斯也發表了一篇博文揭示該惡意軟件背后的作者。HackForums上數據的質量同樣很低。與LeakForums類似，這可能跟信譽系統和準入制度的缺乏有關。只要點擊域名，任何人都可以注冊賬戶，對整個論壇擁有長久訪問。

TheRealDeal市場

TheRealDeal是以零日漏洞利用起家的暗網市場。隨后，隨著該市場逐漸聲名鵲起，提供的服務也開始更多元了。以下商品目前都可在該市場找到：

• 武器
• 假證(支票、護照、駕照)
• 被盜信用卡數據
• 被黑數據庫
• 禁藥
• 漏洞利用程序
• 反病毒引擎完全不可檢測的惡意軟件、一日漏洞(漏洞被公開，但尚未有補丁)、零日漏洞(漏洞尚未被公開)

2016年，該市場在一系列高曝光率的數據泄露后吸引了公眾注意。被泄數據涉及很多著名企業。提供這些數據的，是該論壇一名自稱“內心寧靜(Peace of Mind)”的用戶。該市場里的服務質量良莠不齊。賣家信譽可由其級別和資料中顯示的客戶反饋來確定。因此，潛在客戶需要花更多精力進行鑒別。該市場還提供多重簽名交易方法以增加安全性。不好的方面之一，是注冊的簡單性。沒有要求任何的審核。很多名聲不好的成員、安全研究人員或執法人員，也是該市場的一部分。除了市場，TheRealDeal還有一個更為嚴格的論壇。該論壇上的非法活動叫賣更兇，但很多都難以驗證。

AlphaBay市場

2014年開張的新生論壇。自成立以來，因其基于Tor匿名網絡的特性，該市場成長迅速。目前，該論壇有240000名用戶，覆蓋服務范圍包括：

• 數據泄露、銀行滲漏、信用卡認證值(由卡號、有效期和服務約束代碼生成的3位或4位數字)和信用卡數據
• 違禁藥品
• 武器
• 假證
• 非法活動斂財教程
• 惡意軟件：漏洞利用程序、漏洞利用工具包、僵尸網絡

商品質量參差不齊。潛在買家必須自己確保賣家等級和信譽度。在AlphaBay，擁有10級信譽的5級賣家可被認為是品質保證。除此之外，賣家還得查看評論區，看是否有投訴。AlphaBay通過多重簽名交易方法，以及雙因子身份驗證登錄方式，確保交易是安全且無縫進行的。AlphaBay還提供數字合約系統，利用用戶信譽系統減少交易風險。每份合約收取5美元管理費。合約內容任由用戶填寫。數字合約本身并不能消除詐騙，但確實有助于建立成員間互信。AlphaBay有個奇怪的地方：允許用戶通過API以編程的方式進入市場。