https://securelist.com/analysis/publications/72782/russian-financial-cybercrime-how-it-works/

0x00 介绍


俄罗斯的网络犯罪市场闻名全球。我们在这里所说的“俄罗斯犯罪市场”指的是那些拥有俄罗斯国籍或前苏联国家国籍的网络犯罪分子,尤其是乌克兰和波罗的海诸国。为什么俄罗斯的网络罪犯会世界闻名呢?其中主要有两点原因:首先是媒体频繁地报道俄罗斯地区的网络犯罪活动。其次,俄罗斯的网络犯罪分子为了能达成交易,在线开放了他们所使用的通讯平台,从而宣传他们的各种“服务”和“产品”,并在上面讨论这些服务的质量和应用方法。

长期以来,这个地下市场上的“产品”和“服务”范围一直在发展,越来越专注于金融类攻击活动,复杂程度也在逐渐攀升。最常见的网络犯罪类型之一(曾经是,现在仍然是)是盗取支付卡数据。随着在线商城和其他电子支付服务的出现,DDoS攻击和金融犯罪越来越流行,这类攻击活动的主要目标是用户的支付数据,或者直接从用户账户或企业账户中直接窃取资金。

在2006年,木马ibank首次攻击了用户和企业的电子钱包;然后接踵而来的是ZeuS(2007)和SpyEye(2009),接着是Carberp小组(2010)和Carbanak小组(2013)。这还不是完整的名单,犯罪分子还会利用其他的一些木马来窃取用户的钱和数据。

随着,在线金融交易越来越常见,支持这类操作的企业更容易成为攻击者的攻击选择。在过去的几年中,网络罪犯不仅仅会攻击银行客户和在线商城,还会直接利用银行和支付系统。Carbanak网络小组专注于攻击银行组织,在今年早些时候,卡巴斯基实验室曝光了这个小组。他们的故事很显然证明了这一趋势。

自从他们出现以来,卡巴斯基实验室的专家们一直在监控俄罗斯的黑客活动。卡巴斯基实验室会定期就金融网络威胁发布报告,从而跟踪金融木马的数量变化。这些数量信息可以反映问题的严重程度,但是不能揭露是谁发动或执行了这些攻击活动。我们希望我们的评审能更好的阐明金融网络犯罪活动 。

本文中呈现的数据是卡巴斯基实验室的专家们在过去的几年中通过调查俄罗斯网络犯罪市场获取到的。

0x01 情况综述


根据卡巴斯基实验室的统计,在2012年和2015年之间,各个国家的执法部门,包括美国,俄罗斯,白俄罗斯,乌克兰和欧盟逮捕了160多名俄罗斯的网络罪犯,这些网络犯罪分子大都是犯罪小组的成员。他们涉嫌使用木马来窃取他人的金钱。他们在全球范围内进行活动,总共造成了7亿9千万美元的财产损失(统计估计根据2012年-2015年之间的金融犯罪活动分析和卡巴斯基实验室的数据)。在这之中,有5亿9百万美元是从非前苏联国家中窃取的。当然,这一数字只包括已经确定的损失,详细数据是执法部门在调查过程中发现的。实际上,这些网路犯罪分子偷的钱数可能远远不止这些。

p1

2012-2015年间,遭逮捕的俄罗斯犯罪分子数量

从2013年开始,卡巴斯基实验室计算机事件调查小组参与了超过330起网络安全事件的调查。其中有超过95%的事件都与财产失窃或金融信息有关联。

虽然,相较于前几年,在2015年有大量涉嫌参与网络金融犯罪的俄罗斯犯罪分子遭到了逮捕,但是网络罪犯市场还是很“猖獗”。据卡巴斯基实验室的专家们说,在过去的三年中,俄罗斯的网络犯罪队伍壮大到了上千人。其中有的是负责搭建基础设施,有的是负责木马的编写和传播,还有的负责偷钱或提现。但是,大部分被逮捕的犯罪分子并没有入狱。

我们能准确地计算出一个犯罪小组的核心成员到底有多少人:组织人,负责取现的资金流管理人和专业黑客。在整个地下网络犯罪市场中,只有大约20名这样的专业人士。他们会定期访问地下论坛,并且卡巴实验室的专家也收集到了大量的有用信息,这些信息表明这20个人是参与在线盗取资金和信息等犯罪活动中的主要角色。

在俄罗斯境内及其邻国境内实施攻击活动的确切团体数量是未知的:有大量这样的犯罪小组参与了偷窃活动,然后,出于各种原因,他们又终止了自己的活动。一些组织在解散后,其成员会加入新的犯罪小组。

卡巴斯基实验室的计算机事件调查部门现在已经确定,至少有5个主要的网络犯罪小组在专攻金融犯罪。在过去的几年中,卡巴斯基的专家们一直在持续监控他们的活动。

在2012-2013年期间,卡巴斯基的专家们注意到了这5个小组,这几个小组仍然在活动中。这几个小组的成员数量大都在10-40人之间。其中有至少两个小组不仅仅会攻击俄罗斯境内的目标,他们还会攻击美国,英国,澳大利亚,法国,意大利和德国。

因为,针对这些团体的调查还不完整,所以也无法公布更详细的活动信息。卡巴斯基实验室还会继续调查他们的活动,并与俄罗斯和其他国家的执法机构合作,从而抑制他们的网络犯罪业务。

通过调查这些小组的活动,卡巴斯基实验室的专家弄清楚了他们的行动方法以及网络罪犯的市场结构。

0x02 俄罗斯网络罪犯市场的结构


“各种各样的产品和服务”

在网络犯罪市场中,常常会有各种各样用于进行非法活动的“服务”和“产品”。这些“产品”和“服务”会通过专门的在线论坛提供给用户,大多数这类论坛是不会对其他人开放的。

这些“产品”包括:

  • 设计用于非法入侵计算机或移动设备的软件,从而窃取受感染设备上的数据或窃取受害者账户中的资金(木马);
  • 设计用于利用受害者计算机上软件漏洞的软件(漏洞);
  • 窃取到的信用卡数据库和其他有价值的信息;
  • 网络流量(特定用户访问客户所要求网站的数量)

“服务”包括:

  • 传播垃圾邮件;
  • 组织DDoS攻击(利用请求来过载某个网站,从而让合法用户无法访问该网站)
  • 测试木马能否绕过检测;
  • 木马“加壳”(使用特殊的软件(加壳程序)来修改恶意软件,从而绕过杀毒软件的检测);
  • 出租漏洞包;
  • 出租专用服务器;
  • VPN(匿名访问web资源,保护数据交换);
  • 出租防滥用托管服务(不会响应对恶意内容的投诉,因此无法禁用服务器);
  • 出租僵尸网络;
  • 评估窃取到的信用卡数据;
  • 数据验证服务(虚假通话,虚假文档扫描);
  • 提升恶意网站在搜索结果中的排名 (Black SEO);
  • “产品”和“服务”购买中介
  • 取钱和套现

一般情况下,在网络犯罪市场中是通过电子支付系统来购买“产品”和“服务”,这样的电子支付系统有WebMoney,Perfect Money,Bitcoin等。

所有的这些“产品”和“服务”都可以组合销售,主要是为了进行4类犯罪活动。根据犯罪小组的要求,这些服务还可以进行组合:

  • DDoS攻击(敲诈目的);
  • 盗取个人信息和数据来访问电子钱包(转售这些数据,或窃取资金);
  • 从银行账户或其他组织中窃取资金;
  • 针对国内或企业的网络间谍活动;
  • 拦截受感染计算机上的数据访问,从而进行敲诈;

卡巴斯基的专家们说,目前传播范围最广的犯罪类型就是资产盗窃。因此,本文主要关注的是俄罗斯犯罪市场中的这一领域。

金融网络犯罪的“劳动市场”

由于一些“产品”和“服务”要求广泛的技术,所以,有越来越多的专业劳动市场在参与金融犯罪活动。

几乎在所有IT公司中,也会需要这些关键角色:

  • 程序员(创建新的恶意软件,修改现有的木马);
  • 网页设计师(创建钓鱼页面,邮件等);
  • 系统管理员(搭建和支持IT基础设施);
  • 测试员(测试恶意软件);
  • “加密者”(负责封装恶意代码以便绕过杀毒检查)。

在这份列表中并没有出现犯罪小组的领导者,负责取现的资金流管理人,以及监督套现过程的钱骡子主管。这是因为,这几个人之间的关系并不是雇佣关系,而更像是合作关系。

根据犯罪企业的类型和影响力,攻击小组的领导人会通过固定薪金来雇佣 “员工”或与自由业者合作,很据项目来付费。

p2

这是一则发布在某个半开放论坛上的广告,正在招募一名程序员加入一个犯罪小组。工作要求中包括有编写复杂bot的经验。

“这些员工”要么是通过涉及犯罪活动的传统网站招募的,要么是通过想要以非常规方式赚取的资源来召集。在有些情况下,主流的招聘网站上会出现这样的广告,或远程进行劳动力交换。

总的来说,参与网络犯罪活动的“员工”有两类:一种是清楚自己从事的项目并非合法的, 一种是不知情的(至少一开始不知情)。对于后者而言,这些人通常会负责执行相对简单的操作,比如复制银行系统和网站的界面。

根据“空闲职位招聘”广告来看,犯罪分子们通常会从俄罗斯或邻国(大部分是乌克兰)的偏远地区来招募员工,在这些地区,IT人员面临严重的就业和薪水问题。

p3

一名诈骗人员在一个知名的乌克兰网站上招聘Java/flash员工。工作要求包括熟悉Java、Flash编程,了解JVM/AVM规范等。这名组织者开出的远程全职办公薪水是2,500美元。

在这些地区寻找“员工”的理由很简单-因为相比于大城市的员工,这样更省钱。并且犯罪分子还喜欢雇佣以前没有参与过网络犯罪活动的员工。

通常情况下,这些工作机会都会显示为合法的,但是一旦接收了任务,就能明白其真实意图。

p4

在这个例子中,犯罪小组的组织者提供了一个javascript程序员的职位,宣称自己是一家从事高级互联网应用开发的Web创新工作室。

在合法的招聘网站上,经验不足的用户就会上当。

p5

这个职位邀请一名C++开发者来开发“定制”软件。这里的“定制”软件实际指的就是恶意软件。

雇佣偏远地域“员工”的第二个原因是组织者想要尽可能地保证活动的匿名性,并且确保任何一名承包商都无法掌握完整的小组信息。

在组织一个犯罪小组时都有哪些选择

参与窃取资金或金融信息的犯罪组织在成员数量和活动范围上也有很大的不同。主要有三类:

  • 联署项目
  • 独立的交易商,中小型团体(最多10人)
  • 大型有组织团体(10人以上)

这种区分很正常。各个小组的活动范围取决于其成员的水平,他们的野心和整体的组织能力。在某些案例中,卡巴斯基实验室的专家发现一些相对规模较小的组织也会执行一些通常需要大量人员参与才能完成的任务。

联署项目

联署项目是最简单也最经济的参与网络犯罪活动的方式。联署项目的理念是,组织者向他们的“附属”提供从事犯罪活动所需的任何工具 。而这些“附属”的任务是尽可能多的用木马去感染目标。联署项目的所有者会根据感染结果与这些附属分享收入。根据诈骗方案的类型,可以分享的有:

  • 从网络账户中窃取到的资金总和
  • 用勒索软件勒索到的赎金
  • 借助恶意程序,向移动靓号发送短信,从 “预付”账户中窃取到的钱

通常来说,成立或支持以盗取资金为目的联署项目就是网络犯罪活动。但是,一般只有大型有组织的团伙才会实施这类项目,在接下来我们还会分析他们的行动。

p6

这则广告说的是在测试一个用于传播勒索软件的联署项目。根据其特征判断,这个小组的活动主要着眼于位于美国和英国的企业。从注释中就可以看出,这个木马主要是通过企业网络传播,能够加密80种不同的文件,其中大部分都是在企业中使用的。接着,测试 要求参与者要能证明流量的存在,或从美国和英国进行下载。

卡巴斯基的专家称,在俄罗斯的网络罪犯中,联署项目的热度正在衰退。造成这类项目流行的原因是这种诈骗方案能够用恶意程序感染用户的移动设备,然后向移动靓号发送诈骗短信。但是,在2014年春,俄罗斯的监管机构对提供这些服务的组织提出了新的要求,包括在购买收费服务时,需要用户再次确认。这一变化导致恶意移动程序的数量在减少。但是,无论如何,有一些小组还会利用这类联合网络犯罪活动来传播勒索软件。

小型团伙

这种形式的网络犯罪活动和联署项目的区别在于,在这种形式的活动中,犯罪分子或犯罪组织会自己组织诈骗骗局。攻击活动需要的大多数工具都是从黑市上购买的,比如木马,修改版的木马(“重新封装”后的木马),流量,服务器等。通常来说,这些团伙里的成员并不是计算机和网络技术领域的专家;他们会通过公共资源,通常是论坛,来了解实施金融攻击活动都需要哪些工具。这些团体的能力也会受到诸多方面的限制。尤其是,木马的广泛使用导致了安全解决方案能很快地检测到这些木马。相反的,这样也会促使犯罪分子投资更多的成本在木马传播和“重新包装”上,以便绕过检测。最终的结果就是攻击者能得到的利益会大幅削减。

这类网络罪犯一旦犯错,就会暴露自己的身份或被捕。但是,由于进入网络犯罪活动的成本比较低(200美元起),这些比较“业余”的犯罪形式也是会吸引新人的加入。

在2012年的时候,俄罗斯法庭审判了这样的一个“业余”犯罪组织,指控他们涉嫌从客户的网银账户中窃取了超过1千3百万卢比的资金(价值422,000美元)。卡巴斯基实验室的专家通过缜密的调查,收集到了大量能帮助执法机构识别攻击者身份的信息。

法庭判处其中的两名成员分别4年和半年的有期徒刑。但是,这一宣判并没能阻止犯罪分子,在接下来的2年半中,他们继续通过实施犯罪活动又窃取了大量的资金。在2015年5月,他们再次被捕。

大型有组织的犯罪团伙

大型犯罪团伙不同于其他的犯罪人员,即便他们的活动范围更大,组织和犯罪行动的方法也更全面。这类团伙的成员数量能达到好几十人(不包括负责取现和“洗钱的”钱骡子)。他们的攻击目标并不局限于网银客户:他们还会攻击中小型企业,其中最大和最复杂的组织,比如Carbanak,主要专注于银行和电子支付系统。

大型团伙的行动结构与小型团体大有不同。从某种程度上说,参与软件开发的常规企业也是这种结构。

尤其是,大型团体会有自己的员工-定期拿固定工资,负责执行组织性任务。但是,即使是在这样的大型专业团体中,也有一些任务会交由第三方承包商。例如,木马“重打包”可能由自己的员工完成,也有可能会雇佣木马作者或通过第三方服务,或在特殊软件的帮助下自动完成这一过程。对于犯罪活动所需要的其他IT基础设施也是同样的。

像这样的大型有组织犯罪团体有Carberp,这个小组的成员分别于2012年和2013年在俄罗斯和乌克兰被捕。在2015年出,卡巴斯基实验室还曝光了Carbanak。

虽然,合作项目和小团伙也能造成上万美元的损失,但是,大型犯罪组织才是最危险,破坏性最大的。据估计,Carberp造成的损失达到了上亿美元(达到了10亿)。在这一点上,研究这些团体的能力和战略是极为重要的,这样能让我们更有效地调查他们的活动,并最终进行打压。

0x03 大型网络犯罪团伙的角色分配


犯罪“专家”通过组织大型的金融犯罪活动,能够给安全和金融部门造成上百万美元的损失。一般情况下,这种犯罪活动需要几个月的准备,包括,搭建复杂的基础设施,选择和开发恶意软件,以及全面的研究目标组织,从而明确目标的内部运行和安全漏洞。犯罪团体中的每名成员都有各自的责任。

p7

在参与金钱盗窃的犯罪小组中,都包括下面的这些角色。从事其他的活动的犯罪组织可能需要不同的角色。

木马作者/程序员

程序员负责创建恶意程序,允许攻击者进入目标组织的企业网络,下载额外的木马,帮助获取必要的信息,并最终把钱偷到手。

不同小组之间,成员的重要程度和关系特征也都会不同。例如,如果某个小组使用的是现有的开源木马,或从程序员手中购买的木马,那么他们就会受到限制,只能通过设置或修改恶意程序,以便在基础设施上运行,从事一种特定的网络犯罪活动,或者是通过修改来攻击某一类机构。但是,先进的犯罪团伙会依赖自己的“开发者”,因为这样能避免被安全解决方案检测到,并能提供更多的木马修改机会。在这种情况下,木马作者的角色就会更加重要,因为他们负责了恶意程序的架构和功能。

木马作者还可能会负责木马的“重新包装”。但是,只有当组织者想要实现任务最大化,或原有软件就是为了用于“重新包装”木马时,这样的情形才有可能会出现。不过,在大多数情况下,这个过程会转移给第三方承包商或通过封装服务实现。

测试者

测试者在犯罪小组中的作用与合法IT企业中的测试人员没有太大的区别。他们都是从管理者手中获取程序在不同环境中的测试规范(不同的OS版本,不同的应用设置等),并执行。如果在诈骗骗局中涉及到了虚假的远程银行界面或电子支付系统,测试者的任务也会包括监控这些虚假活动的正常运行。

网页设计师和网页程序员

通常情况下,网页设计师和网页程序员都是远程办公,他们的任务包括创建钓鱼页面,钓鱼网站、虚假的应用界面和web注入,这些东西都是为了窃取数据来入侵电子支付系统和网银系统。

传播者

传播者的意图是为了确保恶意软件尽可能多的安装到设备上。这项任务一般是通过使用工具来完成的。通常情况下,组织者会判断需要感染哪些用户,并从所谓的流量提供商(提供的服务能吸引特定的用户访问具有某些特征的网站)那里购买需要的流量类型。

p8

一则购买流量的广告。只要成功安装了恶意软件,每1000条“回调”(在成功感染后,木马发送给CC服务器的一条信息),犯罪分子就会支付140美元。

组织者可以挑选和订购垃圾邮件,在邮件中会有受感染的附件文件或一个恶意网站的链接。组织者也可以选择目标经常访问的网站;让黑客攻入网站并放置上漏洞包。当然,所有这些工具都可以与其他工具组合使用。

黑客

通常,在攻击过程中,组织者掌握的漏洞和其他恶意软件是不足以感染所有需要攻击的计算机,可能还需要入侵特定的计算机或网站。在这种情况下,组织者会启用黑客来执行非标准任务。卡巴斯基实验室的专家发现,在很多情况下,黑客只会偶尔的参与其中,并根据服务收取费用。但是,如果需要定期的入侵要求(比如针对金融机构的针对性攻击),“小组成员”中就会加入一名黑客,并且一般情况下这名黑客会成为小组像组织者和资金流管理人一样的关键成员。

系统管理员

网络犯罪小组中的系统管理员与合法公司中的系统管理员执行的几乎是一样的任务:他们负责实现和维护IT基础设施。在犯罪团体中,系统管理员会配置管理服务器,为服务器购买防滥用托管服务,保证工具能够匿名连接到服务器(VPN)并解决其他的技术挑战,包括联系负责雇佣来执行小型任务的远程系统管理员。

电话服务

要想保证网络犯罪活动的成功,社会工程非常重要。尤其是当谈到通过攻击一些组织来窃取大量金钱时。在大多数情况下,即使攻击者能够控制用于交易的计算机,但是要成功完成任务还是需要确定其合法性。这就是需要“通话”服务的意义。在指定的时间上,犯罪组织雇佣的“员工”会扮演在受攻击组织或银行工作的成员,负责确定交易的合法性。

“电话服务”可以作为犯罪团体的一个分部或一个第三方组织,参与到特定的网络犯罪活动中,负责执行特定的任务,并按服务收费。在犯罪分子用于与相互通讯的论坛上,会有大量提供这些服务的广告。

p9

这则广告提供英语,德语,荷兰语和法语的“电话服务”。这个小组专门从事给在线商城、银行和受害者打电话,另外,这个小组还能快速创建本地免费号码,在诈骗骗局中伪装成支持服务,接收短信和收发传真。每次通话,这些犯罪分子收费10-12美元,接收短信10美元,创建免费号码15美元。

卡巴斯基实验室称,大型的网络犯罪组织更喜欢自己设立“电话服务”,这样他们就不需要找第三方提供商了。

资金流管理人

在网络犯罪小组中,当所有的技术任务都完成后(选择和感染目标,并在其基础设施中确定这些目标),并且盗窃准备都完成后,资金流管理人就要登场了。资金流管理人负责的是把钱从受害者的账户中转移出来。但是,他们不仅仅是下命令,而是在整个过程中都扮演关键角色。

资金流管理人通常会全面的理解目标组织的内部情况(他们甚至知道目标企业中的员工会在什么时候去吃午饭,从而在他们离开自己电脑的这段时间进行转账)。他们知道自动化反诈骗系统是如何运行的,以及如何绕过这些系统。换句话说,除了做贼,资金流管理人同样会负责难度很大的“专家”任务或无法自动完成的任务。或许是因为这种特殊的身份,资金流管理人是犯罪团伙中不多的几个按百分比拿钱的成员,而不是领取固定“薪水”。

资金流管理人还经常会操作僵尸网络,分析和分类从受感染计算机上获取到的信息(访问远程银行服务,了解账户中的可用金钱,明确受感染的计算机属于哪个组织等)。

除了钱贩子,只有骡子项目的领导会共享这些“工作条件”。

骡子头(骡子“项目”领导)

在任何金融犯罪中,骡子项目都是至关重要的一环。钱骡子团体包括一名或多名组织者,最多可以有十几名骡子。

骡子是各种支付方式的持有者,听从钱骡子管理人的命令,负责把自己账户中的钱取出现金,或转账给钱骡子管理人指定的账户。

骡子可以分为两类:不知情的和知情的。不知情骡子至少在一开始与钱骡子管理人合作时,并不知道他们参与了犯罪活动。一般来说,他们在取钱和转账时看到的都是各种托词。例如,钱骡子管理人可以成立一个法律实体并委派一名管理人(如,财务总监),负责执行不知情骡子的功能:比如签署企业文件,实际上作为取钱的合法掩护。

知情骡子非常清楚钱骡子管理人的真实意图。

骡子项目有多种取钱方式。取决于偷到了多少钱,他们可能会通过个人信用卡来套现,并从钱骡子管理人那里赚一小笔钱,或通过法律实体,在企业银行账户上办理“工资项目”(给企业员工发工资)。

但是,另一种常用的方法是让知情骡子在不同的银行开设十几个账户。

p10

这则广告提供了一套可以取现的支付卡(卡片,授权文件,与银行账号关联的SIM卡)。在售的包括俄罗斯银行、邻国银行、欧洲、亚洲和美国银行发行的各种卡。动力卡3000卢比(不到50美元),白金卡8000卢比(约120美元)。

当盗窃活动并不是在俄罗斯进行时,知情骡子的角色就会由东欧国家的人民来扮演,这些人需要短时间的在几个国家之间穿行,并用自己的名字开设银行账户。然后,知情骡子会把访问这些账户所需的数据提供给钱骡子管理人。之后,这些账户就会被用于取钱。

p11

这则广告在出售一些在俄罗斯联邦注册并位于海岸周边的公司名单。网络罪犯提供服务在560美元-750美元之间。

商人

“商人”这个词是从“stuff”(意思是商品)来的。一种取现的方式就是通过在线购买商品然后再转卖实现的。完成这项任务的就是商人,他们负责用受害者账户中的钱从网上购买商品。

实际上,商人与资金流管理人存在区别。如果窃取到的金额较少,那么才会通过购买商品的方式取现。一般来说,商人都是小组合作形式的。这种“合作”的方式通常会购买某一类型的产品,有时候会有特定的制造商或明确的型号。

组织者

如果我们把网络犯罪看做是一个项目,组织者就是犯罪小组的总经理。他们的责任通常包括给准备阶段提供资金,给执行人分配任务,监督执行人的表现,联系第三方机构,比如骡子项目和电话服务(如果这个小组自己没有的话)。组织者会判断攻击目标,挑选必要的“专业人士”并与他们谈判。

0x04 攻击阶段


需要注意的是,上述的分类并不是一成不变的。在有些情况下,小组中的一名成员可能会身兼数职。无论如何,不管有多少人在执行任务,他们每个人的角色都逃不开我们上面的介绍。下面要说说他们的“实时”工作情况。

1.研究。当谈到以某个公司为目标的针对性攻击时,组织者首先会要求承包商收集关于这个公司的信息,以便他们开发社会工程方案,进行第一阶段的攻击。如果我们讨论的是针对个人用户的攻击活动,那么就会跳过前期的研究阶段,或有限制的选择要攻击的“目标受众”(比如,某家银行的网银用户),并创建钓鱼邮件和相关的小鱼网站。

2.感染。通过执行钓鱼攻击或发送包含恶意附件或恶意网页链接的钓鱼邮件来渗透企业网络。只要打开了附件或点击了链接,就会被木马感染。通常情况下,感染是自动完成的,并不会引起用户的注意和参与-在点击了链接后,恶意程序就会自动下载到用户的计算机上(drive-by下载),并运行。

在其他情况下,感染是通过入侵常用网站,在网站上放置工具把用户重定向到漏洞网站上实现的。一旦进入了漏洞网站,用户就会感染木马。

只要进入了系统,网络罪犯就会利用大量的恶意工具来巩固自己的生存能力。比如,当企业的安全软件删除了先前版本的木马后,受感染企业的内部网络还会重新安装木马。除此之外。攻击者还经常在受攻击企业的基础设施软件中进行设置,允许从外界访问内部网络。

3.探索和实现。远程管理程序会下载到受攻击的计算机上。网络罪犯会利用这些程序获取系统的管理员凭据。许多用户都知道合法的远程管理程序也会用到这一点。

4.偷钱。在最后的阶段,网络罪犯会登录目标组织的金融系统,把账户中的其钱转给骡子项目,或直接从ATM上取钱。

0x05 结论


在近几年中,有越来越多的俄罗斯犯罪分子开始从事金融犯罪,造成这一增长的原因有很多。主要有:

  • 执法机构缺少合格的员工;
  • 立法存在漏洞,导致犯罪分子能逃避处罚或无法严惩;
  • 不同国家的执法部门和专业组织之间缺少内部合作程序。

不同于在真实世界中,网络空间中的抢劫常常不会被注意到,并且收集数字证据的窗口也很小。此外,犯罪分子还不需要出现在犯罪现场就能实施犯罪。

不过,对于俄罗斯的网络罪犯来说,他们很喜欢当前的条件:被指控的风险很低,而潜在收益却很高。所以,有越来越多的犯罪分子参与到这样的犯罪活动中,造成的损失也越来越高,网络犯罪服务的市场也在壮大。

犯罪分子还利用了内部合作机制缺失这一点:比如,卡巴斯基实验室的专家们知道,有些犯罪小组中的成员会在俄罗斯周边的国家生活和工作,而邻国的公民会进入俄罗斯领土来实施犯罪活动。

卡巴斯基实验室正在尽一切可能来阻止网络犯罪团伙的活动,并鼓励所有国家的企业和执法机构开展合作。

针对Carbanak活动的国际联合调查最初是由卡巴斯基实验室发起的,这是首次成功的国际合作范例。要想让世界做出积极的改变,将来需要更多这样的合作案例。

0x06 参考:什么是卡巴斯基实验室事件调查?


卡巴斯基实验室是一家知名的杀毒安全解决方案企业。但是,卡巴斯基实验室还会提供全方位的防护服务,其中就包括计算机事件调查。

每起事件的证据,主要是以数字数据的形式呈现的,这些数据需要经过收集和记录。当受害者报案时,我们要毫无疑问的进行调查和实验。

卡巴斯基实验室计算机事件调查的责任包括:

  • 响应IT安全事件并提供快速的情况分析;
  • 收集数字证据,判断IT安全事件的情况,并确立相关程序;
  • 分析收集到的证据,在互联网上搜索与事件情况相关的信息并修复;
  • 准备受害者向执法机构报案所需的材料;
  • 向调查行动提供专业支持。

在响应IT安全事件和支持调查行动的过程中,需要处理大量的数据。通过数据分析和恶意对象统计能够识别出网络空间中的犯罪行为趋势。

卡巴斯基实验室计算机事件调查部门于2011成立,由6名分析专家组成。