黑客掛馬盜號(hào)不為人知的隱秘

陜西的林華是“武林外傳”在普通不過的一個(gè)玩家了， 在虛擬的時(shí)空中他有著和現(xiàn)實(shí)生活一樣的需求——金幣和榮耀， 但如果你追問他一擲千金購(gòu)買那些夢(mèng)幻裝備來自何方， 最終你會(huì)順著一條復(fù)雜的黑金鏈條到達(dá)遠(yuǎn)在廣東江門的一臺(tái)服務(wù)器。

這是最普通不過的一臺(tái)托管服務(wù)器， 但支撐這臺(tái)服務(wù)器的卻是一個(gè)成規(guī)模的掛馬集團(tuán)， 通過這些集團(tuán)的黑手， 形成了一個(gè)分工有序的龐大盜號(hào)產(chǎn)業(yè)鏈。 在這個(gè)產(chǎn)業(yè)鏈中滾滾流動(dòng)的黑金， 黑客， 賬號(hào)， 木馬等罪惡的利益。 他們攪動(dòng)著虛擬世界中的風(fēng)云變幻， 神秘而隱蔽， 在云遮霧繞中很少有媒體能夠查訪到真相， 但今天， 我們完成這一“不可能完成的敘述”， 一些不為人知的內(nèi)幕得以揭開……

盜號(hào)集團(tuán)賺取的第一桶金

2009年3月6日， 住在�？诘睦铒w像往常一樣打開電腦進(jìn)入武林外傳， 然而系統(tǒng)提示他密碼不正確， 連續(xù)輸入了幾次之后， 他意識(shí)到最壞的事情發(fā)生了， 他的游戲賬號(hào)被盜了。 而更令他吃驚一幕發(fā)生在銀行大廳， 當(dāng)他翻開自己的銀行對(duì)賬單時(shí)， 他發(fā)現(xiàn)對(duì)賬單中多了一項(xiàng)電子匯款， 這是一筆只有200元的匯款， 賬單中沒有顯示任何其它的信息， 沒有接收匯款人的姓名， 也沒有其它注釋。

李飛在過去的幾個(gè)月內(nèi)， 都沒有辦理過任何匯款業(yè)務(wù)， 在他記憶力也沒有支出過任何200元整的消費(fèi)。 而面對(duì)李飛的質(zhì)問， 銀行工作人員也只能夠無(wú)奈的告訴他， 錢是在他自己的賬戶中匯走的， 他們并沒有能力幫助李飛查詢到這筆“小錢”究竟是做什么的。

李飛的憤怒情緒幾乎延續(xù)到了今天， 而現(xiàn)在他唯一能夠確認(rèn)的是， 這筆錢是被某個(gè)在網(wǎng)頁(yè)中掛馬的黑客偷走了， 被盜之前他也聽說過掛馬及黑客， 但是沒有想到自己會(huì)成為其中的一名受害者， 更讓超出李飛想象的是， 他并不是唯一的受害者， 他只是上百萬(wàn)個(gè)掛馬受害者中的一個(gè)。

金山副總裁王欣認(rèn)為， 木馬病毒背后早已形成了一條巨大的黑色產(chǎn)業(yè)鏈。 目前在這條產(chǎn)業(yè)鏈中， 不論是制造木馬、傳播木馬、盜竊賬戶信息， 還是第三方平臺(tái)銷贓、洗錢， 已經(jīng)形成了一個(gè)非常完善的流水線作業(yè)程序。

另一位銳甲反掛馬專家告訴我們， 這些千千萬(wàn)萬(wàn)個(gè)受害者電腦中的各種賬號(hào)最終會(huì)被洗白變成真金白銀， 而這些通過盜號(hào)獲取來的黑金最終會(huì)被多個(gè)復(fù)雜而龐大的集團(tuán)瓜分掉。 激活這個(gè)龐大產(chǎn)業(yè)鏈的首先是盜號(hào)集團(tuán)。

與以往黑客單打獨(dú)斗不同， 盜號(hào)集團(tuán)分工明晰， 網(wǎng)游和網(wǎng)銀賬號(hào)并不互相交叉。 銳甲的反病毒專揀認(rèn)為， 李飛的網(wǎng)游賬號(hào)被盜后很快會(huì)有集團(tuán)內(nèi)的小弟將賬號(hào)中的裝備轉(zhuǎn)移走， 然后經(jīng)過洗錢一樣的程序洗白， 洗白的裝備被批發(fā)轉(zhuǎn)手倒賣給各類裝備交易商， 換成最終流向盜號(hào)集團(tuán)的黑金。

掛馬集團(tuán)撬開你電腦的大門

然而， 盜號(hào)集團(tuán)并不是這筆黑金最終的歸屬， 這筆黑金最大的一部分要分給盜號(hào)集團(tuán)的上游——掛馬集團(tuán)。 掛馬集團(tuán)是整個(gè)產(chǎn)業(yè)鏈的核心， 也掌握著盜號(hào)集團(tuán)的命運(yùn)。 他們?cè)谡麄�(gè)產(chǎn)業(yè)鏈中負(fù)責(zé)難度最高的掛馬工作。

根據(jù)銳甲反掛馬團(tuán)隊(duì)追蹤發(fā)現(xiàn)， 掛馬集團(tuán)通過制作黃色網(wǎng)站或入侵具有一定人氣的網(wǎng)站， 將木馬病毒掛到網(wǎng)站中， 無(wú)數(shù)的受害者都會(huì)感染掛馬集團(tuán)特制的一種下載器木馬， 這種木馬程序并不會(huì)直接盜取用戶各種賬號(hào)信息。 和其它病毒不一樣， 這種“無(wú)毒”的程序叫下載器， 它只是在用戶的電腦中打開了一扇門， 一扇黑客可以任意出入的門。

而盜號(hào)集團(tuán)正是利用這些可以隨時(shí)出入的后門， 將各種盜號(hào)病毒二次植入受害者的電腦中。 為了能夠達(dá)到植入盡量多電腦的目的， 盜號(hào)集團(tuán)會(huì)選擇那些流量最大的掛馬集團(tuán)。 根據(jù)金山毒霸云安全中心報(bào)告顯示， 雖有數(shù)以萬(wàn)計(jì)的網(wǎng)站被掛馬， 但實(shí)際卻被指向到6家掛馬集團(tuán)， 他們的攻擊次數(shù)超過總攻擊量的90%。

之所以會(huì)出現(xiàn)這種大型的掛馬集團(tuán)， 主要是掛馬所利用的漏洞非常集中， 數(shù)量很少。 但新的高危漏洞被利用越來越快， 甚至出現(xiàn)0day漏洞被大量利用。 此外， 網(wǎng)馬、下載器、盜號(hào)木馬都擁有龐大的受害者群體， 也就是黑客口中的肉雞。 為應(yīng)對(duì)殺毒軟件的剿殺， 這些惡意程序要不斷更新， 需要投入更多的網(wǎng)絡(luò)帶寬， 財(cái)力不濟(jì)的掛馬集團(tuán)在競(jìng)爭(zhēng)中被踢出局， 使得掛馬集團(tuán)走向壟斷。

由于集團(tuán)化更加龐大， 盜號(hào)集團(tuán)盜取來的黑金大半會(huì)流入掛馬集團(tuán)， 他們首先首先會(huì)支付給掛馬集團(tuán)相當(dāng)可觀的入門費(fèi)用， 以及病毒下載器的推廣費(fèi)用， 這些費(fèi)用利用掛馬集團(tuán)下載器植入自己的盜號(hào)程序， 而根據(jù)行業(yè)價(jià)格， 平均植入一個(gè)盜號(hào)木馬的價(jià)格在3000元左右。

金山的安全專家表示， 一個(gè)名為螃蟹集團(tuán)的組織目前是最為活躍的盜號(hào)集團(tuán)， 他們利用名為貓癬的下載病毒， 瘋狂的幫助盜號(hào)集團(tuán)捆綁木馬， 而貓癬病毒每次可以28個(gè)盜號(hào)木馬， 如果僅僅計(jì)算這筆費(fèi)用， 那么作為掛馬幕后黑手的螃蟹集團(tuán)一個(gè)月的交易額就在84萬(wàn)元， 而一年的總收入就會(huì)高達(dá)1000萬(wàn)人民幣。 這些黑金是激活掛馬集團(tuán)拼命釋放病毒獲取肉雞的源動(dòng)力。

然而這個(gè)龐大帝國(guó)的黑金到此時(shí)并沒有停止， 由掛馬集團(tuán)這里開始逐漸分流。

黑金流向的最后一站

在從盜號(hào)集團(tuán)手中收取的傭金中， 掛馬集團(tuán)會(huì)拿出相當(dāng)一部分用來購(gòu)買自己的“武器裝備”， 這種裝備就是他們所用的病毒下載器。 開發(fā)這種程序的是專門的木馬工作室， 他們通常會(huì)推出帶有自己品牌的木馬， 例如“貓癬下載器”就是一種。

制造這些下載器的病毒團(tuán)伙收入豐厚超出了一般程序員的想象， 以時(shí)下最為流行的貓癬下載器為例， 目前售價(jià)在20萬(wàn)左右人民幣。 而在通常的情況下， 這種特制的木馬下載器每年至少能夠出售兩套， 因此僅單買下載器一項(xiàng)， 病毒工作室就從掛馬集團(tuán)那里能夠分的至少40萬(wàn)元的黑金。

而除了這一項(xiàng)之外， 掛馬集團(tuán)還會(huì)給有實(shí)力的病毒工作室提供售后服務(wù)傭金， 這部分傭金主要作為下載器被查殺后再次進(jìn)行免殺的費(fèi)用。 根據(jù)某木馬工作室的內(nèi)部報(bào)價(jià)， 每次下載器變種免殺的服務(wù)費(fèi)用是5萬(wàn)元， 而根據(jù)反病毒專家提供的數(shù)字顯示， 每個(gè)下載器病毒通常每年會(huì)至少出現(xiàn)變種20次變種計(jì)算， 這些病毒工作室在變種免殺一項(xiàng)中的收入就可高達(dá)200萬(wàn)。

網(wǎng)絡(luò)中一般的病毒作者工作室都是一到兩人組成， 分別扮演項(xiàng)目經(jīng)理和實(shí)施人員角色。 而通常情況下， 項(xiàng)目經(jīng)理是‘帶頭大哥’， 會(huì)分得三分之二的收入上百萬(wàn)元左右薪金， 而即使是‘二線小弟’也能獲得上幾十萬(wàn)年薪。

另一條分支來自于掛馬集團(tuán)服務(wù)器維護(hù)費(fèi)用， 他們通過頻繁更換服務(wù)器達(dá)到隱藏自己的目的， 但是對(duì)于現(xiàn)金流量近千萬(wàn)的掛馬集團(tuán)來講， 服務(wù)器只是這筆黑金中的小開銷， 這些開銷都由李飛這樣的受害者創(chuàng)造， 再由林華這樣的購(gòu)買者消費(fèi)， 形成一個(gè)無(wú)限循環(huán)的黑金市場(chǎng)。