网络安全对抗行为（十一）：恶意操作的要素之专业服务

《网络安全知识体系》

对抗行为（十一）：

恶意操作的要素之专业服务

---

专业服务

在本节中，我们将介绍帮助犯罪分子建立其业务的专业服务。除了这些专用的恶意服务外，其他合法用途的服务（例如VPN，Tor）也被犯罪分子滥用，例如在暗网上托管毒品市场网站。

漏洞利用工具包。在上一节中，我们看到偷渡式下载攻击是一种强大的武器，网络犯罪分子可以使用它来感染计算机，而无需任何人工交互。然而，有效执行这些攻击的问题在于，它们需要利用受害者系统中的软件漏洞。由于网络犯罪分子希望感染尽可能多的受害者，因此很难找到可以在大多数潜在受害者的系统上工作的漏洞利用程序。除了此问题之外，漏洞利用程序不会很好地老化，因为软件供应商通常会修补他们所知道的漏洞。因此，执行持续偷渡式下载操作的网络犯罪分子需要不断整理对多个漏洞的攻击，这是一项不可行的任务，特别是当犯罪分子还必须运行业务的其他部分（例如，货币化部分）时。一旦受害者访问了漏洞利用工具包的网页，该工具就会首先对受害者的系统进行指纹识别，寻找要利用的潜在漏洞。然后，它将漏洞利用提供给受害者。如果成功，则指示受害者的计算机下载客户选择的恶意软件。

这些问题为专业犯罪分子为社区其他人提供服务创造了机会。这导致了漏洞利用工具包的创建，这些工具可以收集大量漏洞，并在黑市上出售供其他犯罪分子使用。漏洞利用工具包通常可作为Web应用程序进行访问。客户可以通过破坏网站或使用恶意广告将其受害者指向它。

按安装付费服务。感染受害者计算机和维护僵尸网络是一项复杂的任务，研究表明，在没有适当专业知识的情况下试图这样做的恶意软件操作员很难做到这一点。利润为了解决这个问题并满足对稳定僵尸网络的需求，出现了一种新的犯罪服务，称为按安装付费服务（PPI）服务。PPI运营商精通设置僵尸网络并使其正常运行。然后，其他犯罪分子可以向PPI运营商付款，以代表他们在受感染的计算机上安装恶意软件。PPI服务通常为其客户提供良好的选择粒度级别，他们不仅选择要安装的病毒感染数量，而且还选择其地理位置（发达国家的机器人成本高于发展中感染）。

使用PPI服务的一个优点是，它们可以使客户的网络犯罪操作更具弹性：例如，如果他们的恶意软件停止工作，因为执法部门已经关闭了它使用的C&C服务器，犯罪分子可以通过要求PPI恢复运营。运算符，以在受害计算机上安装其恶意软件的更新版本。出于这个原因，PPI服务和其他僵尸网络之间的这种恶意软件共生在犯罪生态系统中非常普遍（例如，参见Pushdo和Cutwail之间的共生，以及Mebroot和Torpig之间的共生）。

原文始发于微信公众号（祺印说信安）：网络安全对抗行为（十一）：恶意操作的要素之专业服务