网络犯罪分子不断发展新的匿名技术,就像病毒会不断变异,使得先前的疫苗失效一样,网络罪犯试图通过采用新的匿名技术混淆恶意行为并隐匿真实的身份,从而便于实施攻击行动。
匿名者黑客是由两种类型的志愿者:
1:技术黑客:
这组人由几个熟练技术的成员组成,有专业的编程和网络技术。通过他们的黑客技能,我们可以推测:他们有真正的黑客经历。
2:外行人:
这个组的人数众多,由来自世界各地成千上万的的志愿者组成。他们的主要目的是进行DDoS攻击。通过下载和使用傻瓜式的攻击软件或同时访问网站阻塞网络通信。技术难度非常低。
匿名黑客的第一目的是从网站中窃取数据。如果失败,他们会尝试DDOS攻击。他们是一个管理非常良好的组织。在选择一个目标之前,他们将在互联网上进行投票调查。
他们已经组织了许多著名黑客活动,其中之一是“Pay Back”,也因此世界闻名。回到2010年,他们通过ddos攻击了多个知名电子商务公司,如 PayPal, Visa, MasterCard和Sony。当然,他们还有许多其他的攻击目标,如Operation Israel, Operation Facebook, Operation Gaza, etc.(以色列,加沙,facebook)
这一点在俄罗斯的地下论坛中尤其常见,许多攻击者倾向于花费数百美元制作或购买专门设计的黑客工具,试图利用这些专业定制的黑客工具绕过金融机构、零售商和其他机构部署的最新的反欺诈机制。随着越来越多的企业和组织开始实施新的跟踪和指纹识别方法,网络罪犯们也在不断地升级技术,企图打破防御者的防护策略。
本文通过分析俄罗斯地下论坛中最新流行的黑客工具软件包的情况,希望能够为读者提供一个视角,可以更好地了解的匿名技术在助长网络犯罪方面的影响。
Linken Sphere
Linken Sphere(林肯法球)是俄罗斯网络罪犯们的一个新武器,它是一个功能强大的浏览器插件,专门用于窃取网络用户在线身份的黑客工具。该工具最早出现在2017年7月,拥有流量隧道和处理器映射功能,可以帮助攻击者获得对目标网络的未经授权的访问权限。此外还具有“离线记录模式”功能,能够简化会话之间导入和导出cookie的过程。
使用Linken Sphere工具开启浏览器会话时,用户可以加载自己的user agent信息,也可以选择从几十个预先配置的代理中选择用于欺骗活动的user agent,适用于多种操作系统,如Windows,Mac,Linux,Android和iOS。用户还可以手动设置GPS以掩饰真实的位置坐标。设置好浏览会话的配置后,用户被引导到一个浏览器指纹服务,以验证他们的匿名性。此外,攻击者可以在单独的浏览器选项卡中为单个会话生成唯一的指纹,从而制造出活动是由多人执行的假象。
Linken Sphere在好几个俄罗斯地下论坛中可以找到,每月的租金约为100美元。Linken Sphere的宣传有异与常规的地下论坛产品,开发者团队制作了一个高质量的宣传视频,并上传到YouTube上,目前浏览量已过千。
Whatleaks
Whatleaks是另一个最近推出的\越来越关注俄罗斯网络罪犯关注的黑客工具,它提供匿名和欺骗服务,该工具从2017年6月开始在俄罗斯地下论坛上积极宣传,但其实该工具自2015年8月以来就一直在深/暗网(Deep & Dark Web)中传播了,它适用于验证与机器相关联的IP地址的场景,能够提供一个简单的方案。
关心个人隐私和上网匿名性问题的用户也经常使用如Browserleaks或Whoer之类的网站服务,用来检查他们的浏览器配置是否隐藏了网络身份的痕迹,Whatleaks比这些已知的免费服务的指纹识别服务更好用,它利用近24种不同的参数来识别在线访问者。首先,Whatleaks基于浏览器和操作系统来标识用户的配置。其次,根据不同的浏览器数据生产独特的散列IDs。运行该工具后,用户可以保存生成的独特的浏览器指纹,通过调整配置生成新的指纹,适用于各类网络犯罪活动。
2017年7月18日,Whatleaks公布了一项新功能,允许付费用户下载属于普通互联网用户的指纹。订阅服务的费用为19美元/每30天,付费之后可以访问包含约150000个独特指纹的指纹数据库,数据库支持通过国家和浏览器类型进行检索。用户还可以根据目标网站的不同,付费定制特定的指纹。
Browser-Antidetect
Browser-Antidetect是在地下网络犯罪论坛中存在有较长历史的一个黑客工具,该工具的销售商是俄罗斯网络犯罪论坛上的知名人物。使用过Browser-Antidetect的用户经常宣称它是一款物超所值的工具,有些人甚至认为它是市场上最好的模糊处理工具。工具只面向几十只网络罪犯精英,工具的开发者可以仔细考虑每个客户的需求,该工具的费用不菲,标价为5000美元。
与Linken Sphere类似,Browser-Antidetect可以针对不同的操作系统创建对应的指纹。Browser-Antidetect是基于Chrome浏览器构建的源代码,与基于Firefox浏览器的工具有区别。4.0以上版本允许伪造NAT、WiFi以及WebRTC数据包该工具的最新版本5.1版已于2017年7月4日发布。
Antidetect
Antidetect也是一款知名的混淆工具, 2012年10月首次被发现。该工具由于网络安全博主Brian Krebs在2015年3月发表的一系列有关AntiDetect的文章而广为人知,Brian Krebs还在博客中推测了工具制作者的身份信息(详见《Who Is the Antidetect Author?》)。
Antidetect可以用来改变许多可追踪的元素,包括但不限于HTTP头部、JavaScript对象、浏览器插件、媒体类型(MIME类型)、屏幕分辨率、操作系统名称、Flash Player的数据存储、电池设置、地理位置和Canvas/WebGL的指纹信息。目前最新的Antidetect工具是7.1.6版本,这也从侧面证明了它在网络罪犯手上颇具价值。不过在地下论坛中,也有一些用户抱怨当前版本的Antidetect工具很难规避众多零售商的安全验证码设置,出现这个情况一般都是由于使用者未能合理配置Antidetect工具导致的。
推广最新的Antidetect工具时宣称其拥有168333种不同的配置,可以灵活配置user agent、操作系统、浏览器、屏幕分辨率、操作系统语言和Flash设置。个人配置售价为3美元,Antidetect最新版本的售价为550美元。鉴于该工具在过去的五年中已树立了坚实的声誉,它在英语社区的地下论坛中也很受欢迎,在那里提供各种免费的 “破解”的版本,当然,这些所谓的“破解”版本通常已经感染了恶意软件。
黑客攻防书籍推荐<网络黑白>某宝有售。
