《网络安全知识体系》

对抗行为（八）：

恶意操作的要素

---

2 恶意操作的要素

正如我们在第1节中所示，恶意操作可以使用相当复杂的基础设施，特别是在有组织犯罪的情况下，这主要是由两个事实驱动的。首先，犯罪分子需要这些操作尽可能具有成本效益（从而获得尽可能高的利润）。其次，多个行为者（执法部门，安全公司，用户本身）不断试图取缔这些恶意操作，因此，犯罪分子需要使它们能够适应这些删除尝试。

为了确保在这种情况下满足犯罪分子的需求，近年来，我们目睹了网络犯罪生态系统的专门化，其中不同的参与者专注于特定的特定领域。操作成功所需的元素;然后，歹徒在黑市上相互交易这些服务。在本节中，我们概述了依赖网络的有组织犯罪行动成功所需的要素，如第1节所述。然而，所讨论的许多要素也适用于该节所述的其他类型的对抗行为。

联盟计划

有组织犯罪的主要目标是从他们的行动中赚钱。这不仅需要一个运转良好的技术基础设施来确保他们的僵尸网络正常运行，而且也许更重要的是，需要一种从受害者（或DoS的情况下，从赞助商那里）收取付款的工作方法，同时确保所有参与行动的演员获得报酬。

在网络犯罪世界中，这通常是通过联盟计划完成的。联盟计划是一种计划，其中主要组织提供“品牌”以及执行订单，装运和付款所需的所有手段。联盟会员可以加入该计划，将流量引导到平台，并从他们负责的销售中分得一杯羹。尽管该计划适用于合法企业（例如，亚马逊有一个联盟计划），但它在网络犯罪行动中特别成功。合法和犯罪联盟计划之间的主要区别在于，第二类操作通常涉及在大多数司法管辖区被视为非法的产品（例如，假冒药品，赌博，假冒设计师产品），并且它们通常支持刑事促销技术（例如，使用恶意软件或黑帽搜索引擎优化）。

联盟计划在网络犯罪世界中很受欢迎，因为它们意味着联盟会员不必从头到尾设置其运营，而是专注于吸引流量，例如通过设置僵尸网络和发送电子邮件在联盟市场投放垃圾邮件广告。网络犯罪联盟计划的第一个成功例子是以垃圾邮件为中心，并宣传假冒药品。但是，联盟计划存在于大多数类型的网络依赖犯罪中，例如Cryptowall勒索软件操作。

除了为网络犯罪活动提供必要的货币化外，联盟计划还充当犯罪分子的联系和交易所需服务所需的促进者。操作成功。这通常是通过建立一个论坛来完成的，联盟会员可以在其中交易他们的服务。要访问这些论坛，通常需要联盟计划管理员的审查。

原文始发于微信公众号（河南等级保护测评）：网络安全知识体系1.1对抗行为（八）：恶意操作的要素