近日，暗網突現一條售賣信息，一名黑客號稱出售兩個日流量超百萬的知名站點的Shell及內網權限，其中一個站點以40萬的價格打包出售近千萬用戶數據，包括用戶 ID、昵稱、“加密存儲”的密碼等信息!一時間，震驚整個互聯網。

不僅如此，近期出現在暗網上售賣的還有一云平臺內部管理賬戶密碼機房架構圖。

那么，暗網究竟是什么?

首先，互聯網大家都應該知道，在互聯網里，可公開訪問的網站(我們稱之為“明網”)只占數據信息的很小一部分。如同海面之下的冰山，還存在一個更龐大的、采取非公開機制訪問的平行網絡世界——暗網和深網。這里才是一切法律難以打擊而且暴利的交易活躍之地，例如盜版、色情、買兇、軍火、恐怖分子，當然也包括黑客。網絡分布大致如下圖所示：

其中散落暗網中的匿名訪問的隱私黑客論壇是黑客交易場，一旦你被黑客圈子或組織認可，能夠進入暗網中的黑客論壇上就可以找到各種非法服務。也就是說，不需要高深的技術，一個普通的黑客就可以輕松發起網絡攻擊!

這些論壇無法搜索定位，需要很多的驗證程序及其他黑客會員擔保。上圖為信服君在一暗網中文黑客論壇的截圖，可以看到，這里黑客正在出售網站入侵、數據庫脫褲服務。

為什么全球互聯網黑產交易目前主要集中地依然在暗網呢?

目前訪問暗網主流方式是通過Tor來進行訪問，匿名性極強。Tor采用了洋蔥路由加密網絡技術，其傳輸協議使用了大量的代理服務器和嚴格的加密方式，從而導致他人無法追蹤到用戶的具體位置，并且讓用戶在互聯網上有著絕對的匿名性。保證身份匿名后，用來交易的貨幣同樣需要匿名，因此像比特幣(Bitcoin)這種本身是為了匿名流通而設計的貨幣成為暗網交易的主要貨幣。這種全匿名的交易模式，吸引了全球的犯罪分子，當然也包含全球的黑客。

除了暗網交易，社交交易是中國特色黑產模式

與全球主流的依賴暗網進行網絡犯罪的方式不同，我國的互聯網黑產從業者更多的是通過社交工具來進行犯罪業務拓展。同時講究“師傅帶徒弟”模式，新入門的人一般為徒弟，當然這里需要交一定的“學費”。這些活動主要在QQ上進行，一般黑客會建立一個QQ群，然后在網上發布自己的QQ號，通常做法是批量在網站上掛黑頁，擴大知名度，吸引一些熱愛黑客技術或者有“業務需求”的人群。如下圖所示：

通過各種手段收到一定數量的“徒弟”后，黑客群主會定期發布一些“課程”來培養他們。

某黑客QQ群發布的部門“學習課程”

通過一段時間的培養后，群主將帶領“徒弟們”一起接單做黑產生意來積累經驗，比如參與網站攻擊，盜取銀行賬號和密碼、Q幣等虛擬幣。一段時間后，徒弟出師單干，繼續收徒，以此發展。

暗網里交易的黑色產業鏈都有哪些

在暗網里的交易，根據任務難度的高低，黑客服務的報價通常有很大差別，有些任務通常還需要多個黑客群體協同工作才能完成。這個時候就會形成一條分工明確的黑色產業鏈條。目前的黑產產業鏈包括了惡意軟件產業鏈、DDoS產業鏈、敲詐勒索產業鏈、信息竊取產業鏈、大數據撞庫產業鏈、網絡釣魚產業鏈、惡意廣告產業鏈、業務欺詐產業鏈等。

1. 惡意軟件產業鏈

惡意軟件是指在計算機系統上執行惡意任務的病毒、蠕蟲和特洛伊木馬的程序，通過破壞軟件進程來實施控制。

在這個環節，無論是網馬制作者還是傳播者，都會不遺余力的在網絡中散播惡意軟件，網絡用戶在瀏覽一些惡意網站，或者從不安全的站點下載游戲或其他程序時，往往會連同惡意程序一并帶入電腦，而用戶本人對此毫不知情。直到有惡意廣告不斷彈出或色情網站自動出現時，用戶才有可能發覺電腦已中毒。在惡意軟件未被發現的這段時間，用戶的所有敏感資料都有可能被盜走，比如銀行賬戶信息、信用卡密碼等。

獲得用戶敏感信息后，黑客對這些信息進行整理和篩選，然后“洗庫”。將有價值的財產全部轉移，例如銀行卡余額，Q幣，游戲幣等，最后再大批次循環轉賬洗錢分贓。

2. DDoS產業鏈

DDoS攻擊指黑客組織通過控制服務器、肉雞等資源，發動對包括國家骨干網絡、重要網絡設施、政企或個人網站在內的互聯網上任一目標的攻擊，致使目標服務器斷網，最終停止提供服務。在這條黑色產業鏈中，相關從業人員或已達到38萬余人，涉及6000多個大大小小的黑產團伙，年產值可能超過100億人民幣。

DDoS只是黑客手里的籌碼，其最終目的要么敲詐勒索、要么利益沖突、要么表達政治立場。近幾年，高收益行業深受DDoS攻擊困擾，特別是游戲行業，經常遇到DDos攻擊導致服務器宕機業務中斷。

目前，對于DDoS攻擊，普遍采用的防護手段包括：

• 源驗證/反向探測，對源進探測和人機識別，段包括cookie、識別碼等;
• 限源，即對源IP或協議進行限制，blacklist是一個常見手段;
• 特征丟棄，依據數據包的特征或訪問行為進行丟棄，如基于Payload特征、發包行為特征、QPS特征、 HOST、UA、URL等;
• 限速，對流量/訪問的速率進行限流。

3. 敲詐勒索產業鏈

網絡敲詐勒索是一種犯罪，它對企業造成攻擊事實和攻擊威脅后，大都會向企業提出金錢要求來避免或停止攻擊。

隨著勒索即服務RaaS模式的興起，勒索軟件的制作、分發和銷售分工明確，入門檻也將降低，具備廣泛分銷網絡的復雜犯罪組織也將介入勒索軟件市場，即使技術一般的人也很容易開始傳播惡意軟件來牟取暴利。

勒索軟件的傳播手段主要以成本較低的郵件傳播為主。同時也有針對醫院、企業等特定組織的攻擊，通過入侵組織內部的服務器，散播勒索軟件。隨著人們對勒索軟件的警惕性提高，勒索者也增加了其他的傳播渠道，具體的傳播方式如下：

• 郵件傳播：攻擊者以廣撒網的方式大量傳播垃圾郵件、釣魚郵件，一旦收件人打開郵件附件或者點擊郵件中的鏈接地址，勒索軟件會以用戶看不見的形式在后臺靜默安裝，實施勒索;
• 漏洞傳播：當用戶正常訪問網站時，攻擊者利用頁面上的惡意廣告驗證用戶的瀏覽器是否有可利用的漏洞。如果存在，則利用漏洞將勒索軟件下載到用戶的主機;
• 捆綁傳播：與其他惡意軟件捆綁傳播;
• 僵尸網絡傳播：一方面僵尸網絡可以發送大量的垃圾郵件，另一方面僵尸網絡為勒索軟件即服務(RaaS)的發展起到了支撐作用;
• 可移動存儲介質、本地和遠程的驅動器(如C盤和掛載的磁盤)傳播：惡意軟件會自我復制到所有本地驅動器的根目錄中，并成為具有隱藏屬性和系統屬性的可執行文件;
• 文件共享網站傳播：勒索軟件存儲在一些小眾的文件共享網站，等待用戶點擊鏈接下載文件;
• 網頁掛馬傳播：當用戶不小心訪問惡意網站時，勒索軟件會被瀏覽器自動下載并在后臺運行;
• 社交網絡傳播：勒索軟件以社交網絡中的.JPG圖片或者其他惡意文件載體傳播。

4. 信息竊取產業鏈

信息竊取通常指黑客通過木馬類的病毒植入到受害者計算機中，定期獲取受害者有商業價值的敏感賬號信息，或者通過互聯網入侵包含大量有價值信息的網站竊取信息。獲取到信息后通過篩選、清洗和倒賣進行獲利，比如這次某知名視頻網站的用戶數據售賣事件。

5. 大數據撞庫產業鏈

什么是撞庫攻擊?簡單來說，在盜取他人在A網站的賬號密碼后，去B網站嘗試登陸，就是撞庫攻擊。在早些年，盜取他人賬號主要靠木馬，密碼字典則靠軟件生成，而隨著近幾年頻繁出現網站數據庫泄漏事件，撞庫攻擊逐漸成為主流的盜號方式。撞庫的數據來源除了黑客直接“脫庫”外，主要來自“信息竊取”產業。其完整過程如下：

目前，不少人習慣多個平臺用同一賬戶密碼，一旦有一平臺的賬號密碼被竊取，其他平臺的同一賬號密碼全部需要馬上修改。針對這種攻擊方式，建議大家：

• 定期更改各網絡賬號的密碼，盡量不要使用過于簡單的密碼。
• 盡量在不同的平臺設置不一樣的密碼，避免某一賬號出現問題后導致其他賬號出現連鎖反應。

6. 網絡釣魚產業鏈

網絡釣魚是指網絡非法攻擊者利用欺騙性垃圾郵件或網絡鏈接等，引誘互聯網用戶點擊進入其偽造的Web站點，以使點擊者輸入個人敏感信息，并用這些信息用于網絡詐騙等非法用途。該偽造Web站點往往通過精心設計，與某知名企業或機構網站非常相似。點擊者對此偽造Web站點往往疏于鑒別，加上對相關知名企業或機構的信任，就會在偽造Web站點上輸入自己的私人信息資料，如：各種網絡用戶名(ID)、口令密碼、個人身份證號、銀行卡號及密碼等。

據央視調查結果表明：31.8%有網絡購物經歷的網民曾在網購過程中遇到釣魚網站或詐騙網站，網購被騙網民的規模達6169萬人次。超過39.7%的網民損失額度超過500元。根據估算，最近幾年，釣魚網站或詐騙網站給網民造成的損失每年都達到300億元以上。

日益猖獗的黑客攻擊，如何防范

黑色產業不斷擴大，威脅發展太快，安全形勢日益嚴峻。建議廣大用戶做好日常防范措施：

• 文明上網，不點擊來歷不明郵件或鏈接;
• 做好密碼管理，如不使用簡單密碼，定期更新密碼、不同平臺使用不同賬戶密碼;
• 安裝終端病毒檢測查殺工具，定期升級。

對于企業用戶，小編提供以下10個建議保護您以及您的單位免受黑客攻擊的傷害：

(1) 制定備份與恢復計劃。經常備份您的系統，并且將備份文件離線存儲到獨立設備。

(2) 使用專業的電子郵件與網絡安全工具，可以分析電子郵件附件、網頁、或文件是否包含惡意軟件，可以隔離沒有業務相關性的潛在破壞性廣告與社交媒體網站。

(3) 及時對操作系統、設備、以及軟件進行打補丁和更新。

(4) 確保您的安全設備及安全軟件等升級到最新版本，包括網絡上的反病毒、入侵防護系統、以及反惡意軟件工具等。

(5) 在可能的情況下，使用應用程序白名單，以防止非法應用程序下載或運行。

(6) 做好網絡安全隔離，將您的網絡隔離到安全區，確保某個區域的感染不會輕易擴散到其他區域。

(7) 建立并實施權限與特權制度，使大多數用戶無法感染到關鍵應用程序、數據、或服務。

(8) 建立并實施自帶設備安全策略，檢查并隔離不符合安全標準(沒有安裝反惡意軟件、反病毒文件過期、操作系統需要關鍵性補丁等)的設備。

(9) 部署鑒定分析工具，可以在攻擊過后確認：

• 感染來自何處;
• 病毒已經在您的環境中潛伏多長時間;
• 是否已經從所有設備移除了感染文件;
• 所有設備是否恢復正常。

(10) 最關鍵的是：加強用戶安全意識培訓，不要下載不明文件、點擊不明電子郵件附件、或點擊電子郵件中來路不明的網頁鏈接;畢竟人是安全鏈中最薄弱的一環，需要圍繞他們制定計劃。