利用暗网勒索软件,我轻松入侵了老板的电脑(下)
神译局是36氪旗下编译团队,关注科技、商业、职场、生活等领域,重点介绍国外的新技术、新观点、新风向。
编者按:在公众的想象中,黑客是恶魔般的专家。但现在一个普通人,无需精通编程,只要买下一个勒索软件,就可以利用它实施数字盗窃了。这是一篇普通人尝试数字盗窃的“黑图灵测试”,证明网络犯罪已经发展到了这样一个地步,即软件辅助的无知与真正的技能是无法区分的。本文分上、下两篇,上篇主要回顾黑客攻击发展历史,以及探讨黑客入侵前两个环节:找勒索软件准备黑客攻击以及找到攻击目标,下篇主要介绍黑客攻击的最后一环节—勒索收款。原文作者Drake Bennett,原文标题“I Used Dark Web Ransomware to Sabotage My Boss”。
我花了150美元购买勒索软件
我最后使用了我第一个发现的勒索软件服务,也是在我登录到的第一个黑客聊天室的几分钟后找到的。即使在当时,也有警告信号。
论坛上的一致意见显然是持怀疑态度的。一位网友抱怨道:“这货在网上重复刷自己蹩脚的勒索软件,已经好几天了,从来没有人做过这样的事,就不能用一个简单的销售说辞解释它吗?”
编码者自己也参与了进来,他告诉那个批评者“stfu”,然后用一个模糊的C#编程语言来嘲笑他,并以另一个“stfu”结尾。
尽管如此,我发给其他卖家的问询电话无人接听,还有几个显然是假的。虽然流行的Ranion RaaS一年的价格是900美元,但根据我曾经试着回复的,可能已经失效的广告,这款售价仅为150美元。我觉得值得一试。
10月23日上午,我支付了我的0.020135666比特币,并通过加密电子邮件服务Protonmail向付款页面上的地址发送了通知。
半小时后,我得到了回复:“您好,先生,您的账户现在被激活了!!!很抱歉耽误了您的时间!”
我现在可以访问的网页是白色的,在一排标签下面有一个黑色的世界地图投影。点击“仪表板”会调出一个空表,标题为“受害者”。一旦我进行了多个活动,它的列可能就会被填充上每个活动的名称和相应的解密密钥。
第二个选项卡,“创建者”,带我到一个为我创建恶意软件的页面。我输入了一个可供受害者使用的原始邮件地址,并在目标计算机上指定了操作系统的类型。(绝大多数恶意软件是为微软的windows系统编写的;根据斯图尔特的建议,我使用的是Linux操作系统,降低了自己被黑客攻击的几率。)
我点击了一个标有“创建”的按钮,然后弹出了一个询问框,问我是否想下载一个文件。犹豫了几分钟后,我点了一下“是”。现在我的电脑上有一个恶意软件。我把它附在一封电子邮件里,并把它清楚地标记出来,发给了斯图尔特。
沙箱试验勒索软件 收款后并没有解密
如果没有乔·斯图尔特的话,这一切都不可能。斯图尔特住在南卡罗来纳州的默特尔海滩(Myrtle Beach),经营着自己的区块链开发和安全研究公司。从去年开始,他就一直在网络安全公司Armor工作。他是首批、描述被劫持的计算机网络犯罪用途的分析师之一,后来被劫持的计算机网络被称为“僵尸网络”。 他还编写了一个早期的逆向工程解密程序,让那些不小心制作的勒索软件的受害者可以免费整理他们的文件。几年前,他帮助我的几个同事识别了一个为中国人民解放军工作的黑客。
斯图尔特很安静,在交谈中面带冷酷的表情,我最终把这种表情理解为专注而不是沮丧。我和Armor的斯图尔特通过电话聊了几个月,才告诉他我想自己尝试勒索软件。他告诉我,一旦我拿到了一些勒索软件,我就可以去默特尔海滩,在他的计算机实验室里配置它。
11月11日上午,当我出现在默特尔海滩时,斯图尔特已经在一台他用来拆除和剖析恶意软件的特殊隔离计算机上运行了它。高质量的变体通常是经过编码的,所以如果它们感觉到自己处于像斯图尔特这样的“沙箱”中,或者它们的休眠时间比一般安全研究员的注意力持续时间长,它们就不会被部署。我的恶意软件没有那么强大,这就表明我没有购买顶级产品的几个特点之一。勒索软服务本身并不是建立在某些接受加密货币、对执法不友好的海外网络主机之上,而是建立在亚马逊网络服务(Amazon Web Services)的云之上。正如斯图尔特所说,这将是“地下犯罪的最佳实践”。法院传票可能会带上亚马逊账户上的名字,这可能会让执法部门直接找到我的供应商。
不过,最大的障碍是我从网站上得到的解密器。在收到我的赎金后,我应该把文件连同字母密钥一起发送给我的受害者。但是,当斯图尔特和我测试出来时,它没有工作——斯图尔特沙箱中的文件仍然是加密的。从短期来看,这不是我的问题:当麦克斯发现这个漏洞之前,我已经得到了报酬。但就像传统的绑架一样,只有当受害者至少有一定的希望,他们能在付款后立即获得数据的情况下,信息勒索的商业模式才会奏效。因此,勒索者往往会不顾一切地表现出他们的诚意和可靠性。通常的做法是免费解密几个文件,证明这个想法。一些Raas仪表板完全不用“受害者”这个词:由阿莫尔(Armor)分析师拍摄的Ranion变体的屏幕截图,显示的是一个标题为“客户”的表格。网络安全公司Flashpoint的Elisan给我转发来了一封勒索软件团伙发给他们受害者的通知,上面列出了他们可以采取的安全措施,以避免进一步的袭击。
对于斯图尔特来说,很容易就能找到一个破解办法。他在一封电子邮件中写道:“我猜他从来没有在真实的环境中测试过代码。”我需要给他发送几行代码和说明,告诉他如何设置它们,而不是给他发送一个复制粘贴的密钥。这是无礼的,但这是我认为我可以帮他做的那种事情。
勒索软件供应商关闭软件和网站,勒索局中局?
但正如迈克·泰森(MikeTyson)所言,每个人都有一个计划,直到他们被打脸。在约定的那个早晨,我坐在斯图尔特没有窗户的电脑实验室里,登录到我专门购买的笔记本电脑,打开匿名的Tor浏览器,点击我的RaaS控制面板的暗网链接。但我看到的不是世界地图投影和那排有用的标签,而是一张神秘的通知。
它写道,“为了用户之湖,我们正在关闭这个网站。”(WE ARE TAKING DOWN THE WEBSITE IN ORDER TO LAKE OF THE USERS)我的第一个想法是想知道“用户之湖”是不是我不知道的一个编码术语,与洪流或河流相关的东西。我的第二个更实际的想法是,我最好用电子邮件获取技术支持。
“嗨,我看到你把网站撤了,”我写信给一个加密的电子邮件地址,里面写着漫画书中反英雄约翰尼·布雷兹的名字。“我如何才能保持访问权限?”
一个小时后,答案出来了:“如果你想继续使用这个,你必须买专业版。”我了解到,这个专业版在我的150美元的基础上,还得多花500美元。当我在两个星期前注册的时候,专业版的价格是300美元,尽管我的供应商煞费苦心地指出它现在有与android系统兼容的恶意软件。我的RaaS已经不再是一种服务了,在上午的大部分时间里,这一点在反复的讨论中变得清晰起来。服务器和网站都被关闭了,不过,这也是一个机会:我可以自己托管它。在斯图尔特的提示下,我问他既然网站已经被关闭了,我怎样才能拿到我的解密密钥。约翰尼·布雷兹(Johnny Blaze)抱歉地告诉我,他们忘了备份数据库。
整件事都是骗局吗?我是在和开膛手打交道吗?如果是这样的话,他们为什么要不辞辛苦地创建一个实际的服务,而实际上这是真正的(而且很破旧的)恶意软件呢?回想起来,似乎更有可能的是,我那些不是特别内行的勒索软件供应商(他们的产品已经失败了)决定关闭“湖”式的付费用户商店(可以想象,我是他们唯一的付费用户),然后看看我是否想把他们的产品全部买下。
问题不只是解密密钥。如果没有服务器,像我这样的勒索软件几乎是无效的。正如斯图尔特耐心解释的那样,在加密任何文件之前,该程序首先生成解密密钥,并将其发送回RaaS服务器,在我的仪表板中弹出。如果服务器没有应答,程序就不会继续运行。我泄气了,写信给约翰尼·布雷兹(Johnny Blaze),问我是否有权要求退款。他们直截了当地告诉我:没有。
换个服务器“犯罪”:网络钓鱼-感染-支付赎金
“我想,”斯图尔特说,“有一个办法可以解决这个问题。”他坐在房间的一端,坐在一张黑色的皮沙发上,身体前倾,伏在笔记本电脑前。几分钟后,他给我发了一行代码和指令,让我转发给麦克斯,就在那一刻,戴尔坐在他的火炉前,给我发送短信。斯图尔特的修补程序取代了麦克斯电脑操作系统中的一些代码,这样当恶意软件接触现已失效的亚马逊网络服务器时,它就会把手伸向斯图尔特的一台服务器,后者会确认收到了密钥,并给出了加密许可。换句话说,我的勒索软件供应商现在是斯图尔特。
就这样,在此基础上,我推出了我的反向工程傀儡勒索软件。过了一会儿,麦克斯收到了一封来自他信任的同事的电子邮件:“嘿,麦克斯,抱歉这么晚了,而且文件这么大,但这是草稿(附件)。让我知道你的想法!”他点击“草稿”,要是没有他的杀毒软件将其标记为病毒风险,并警告他不要打开它。(设计良好的计算机病毒,就像真正的病毒一样,将它们的有效载荷包裹在模糊的代码层中;我的病毒就像一个人在过海关时裤腿里流出了可卡因。)马克斯勇敢地打开了文件。
一开始什么都没发生。几分钟过去了,我们开始来回发短信,说要再试一次。“然后,我把目光从屏幕上移开一秒钟,”麦克斯回忆道,“突然间,出现了一条疯狂的信息。”虽然勒索软件的设计师往往选择一种温和的信息美学,但是我们的目标则是更疯狂的东西。
麦克斯的屏幕上满是烟雾,一只苍白的手从中间伸出,上面潦草地写着“你的文件被加密了”。麦克斯的维基解密下载,他的猫的照片,他的罗马尼亚专题论文,所有这些都变成了无用的数据。(神秘的是,米勒的报告并没有受到影响。)
麦克斯给我写了一封戏剧性的消息,满满的被背叛的愤慨。我用冷冰冰的专业口吻回应,告诉他赎金(100美元)和我的比特币钱包地址。如果我认为他在拖延时间的话,我可以给他一个最后期限,超过这个期限之后,赎金会增加,或者我直接毁掉解密密钥。
我一从我的加密货币应用程序中,得知他的付款正在处理的警报,我就用斯图尔特临时操纵的密钥给他发送了解密器。麦克斯按照指示运行了它,看着他的文件一个接一个地恢复正常。他拿回了他的数据,我拿到了我的钱。(按照约定,我最终还是把赎金还给了麦克斯。)但是,屏幕上那只苍白的手并没有消失。
最后,很难说我和我的勒索软件真的通过了测试。网络犯罪的奇点似乎是另一回事。
当我从默特尔海滩回来时,我在一个暗网论坛上联系了一位知识渊博,看上去很有帮助的人。他(或她)坚持一些基本规则,并采取各种步骤来核实我是谁,之后他(或她)才同意谈话。
他写道:“关于恶意软件的类型,我已经编码并使用了几乎所有你能想到的东西:后门程序、泄密程序、密码器、开假支票、数据毁坏器、CSRF和钓鱼网页、勒索软件等等。”
他对很多你能买到的东西不屑一顾--在他的描述中,最近勒索软件攻击的激增听起来就像是一场泡沫:“这些勒索软件项目中有很多都是垃圾,”他写道,业余程序员在软件开发平台GitHub上找到了一些东西,做一些表面上的改动,然后试图把它伪装成自己的东西。“最终,RaaS确实允许更多缺乏经验的人接触到勒索软件,但我所知道的,最成功的攻击仍然是由使用更多专用代码的极少数人做的。”
当然,一个缺乏经验的团伙发动不称职的勒索软件攻击,仍然会造成大量的损害。每一位大师都曾经是个脚本小子。当我给我的RaaS供应商发电子邮件,要求采访他们写这篇报道时,他们非常乐意与我交谈,尽管他们最终通常是在打官腔。约翰尼·布雷泽回复说:“我们是一个团队,我们都是18岁到26岁的青少年。”他们强调的一件事是,我用过的RaaS是个旧新闻了。这个团队已经在市场上推出了一种新的产品,他们承诺会这个产品会“好得多”。
译者:白兰芷
