黑客产业链:隐藏在暴风断网背后的故事

　　感谢金山毒霸为此文提供相关资料

　　引言：“暴风519断网事件”发生后，四家门户网站的姿态不尽相同。或许是考虑到“老门户”身份，新浪和搜狐用了一个相对比较中立的态度做出了正反两个方面的报道；腾讯或许是出于有同类产品的竞争，显得有些“暗地里落井下石”；网易则为了找回昔日门户的感觉，显得比较激进，就差直接将笔刀架在暴风的脖子上。四家门户报道内容量不可谓不大，内容不可谓不丰富，但大家似乎都对事件本身很在意，而忽略了事件背后的一个关键词：黑客产业链。

---

　　随着制造“暴风519断网事件”的黑客被抓，以及暴风网际科技公司“暴风门特别版”软件的发布，这一互联网热点事件正在慢慢地趋于平静。“但在事实上，隐藏在暴风断网事件背后的“黑客”与“黑客产业链”的问题依然存在”——这是金山毒霸反病毒工程师李铁军向ZOL记者道出的“暴风519断网事件”背后的故事。

金山毒霸反病毒工程师李铁军（右）

　　我没有专门研究暴风影音产品结构，产品本身是否有问题，不在我们这次采访范围内。但可以肯定的是，暴风是这次断网事件的受害者，而不是“施暴者”。真正的施暴者应该是制造断网事件的黑客黑手——李铁军

● 木马和病毒是两个名词 两个概念

　　采访一开始，李铁军先生就给笔者解释了一个认识方面的错误。他介绍说，木马的工作特点是“潜伏”，重要的特性一是基本不感染，二是不主动的进行传播，本身没有复制和向外传播扩大的功能，病毒则是通过潜伏的木马偷偷在系统里运行，以远程控制的指令来控制电脑，以达到某个目的，具有一定的威胁性和破坏性。他认为从这个角度上说，木马和病毒是两个名词，具有不同的概念。

　　“坦白的说，暴风断网事件和木马、病毒都没有关系，之所以背后有黑客黑手在行动，不是说黑客利用了暴风影音这款软件，虽然我没有专门对相应的版本进行研究，但可以肯定是，暴风是因为域名服务器受攻击而受到牵连。”李铁军说，“所以说，不能因为出现了连续不断的域名解析服务请求，就将责任放在暴风影音身上。真正的施暴者是幕后的黑客黑手。”

● 木马在疯狂增长 病毒在不断升级

　　从早期的系统安全，到2009年大家习惯上说的“互联网安全”，这其实是随着木马病毒的发展在演变的，或者说木马病毒的发展和变化使得安全厂商也在不断地重新定义着安全这个词的含义。

　　李铁军说，要想看清“暴风断网事件”的本质，最好是从隐藏在断网事件背后的黑客产业链入手，而要弄清黑客产业链则需要从木马病毒的变化谈起。

　　李铁军认为，从破坏性病毒往木马病毒（盗取用户私密资料）这个趋势前几年就有了。统计就发现，用户电脑中所中的恶意软件和木马病毒，从数量级来分析，90%以上都是木马，并且这些病毒的分布也已经发生了变化。

　　“如果我只是跟你说，木马在疯狂增长，病毒在不断升级，你可能感觉不到它们的存在和危险。”李铁军说，“你感觉不到，但是可以看到。”他向笔者列举了每天在互联网上发生的网络安全事件。

互联网上每天都在发生的网络安全事件

　　当黑客找到了系统漏洞或是软件漏洞后，他们会通过植入的木马控制机器，被植入木马的机器也就成了我们常说的“肉鸡”。“当一个肉鸡出现时，就意味着随后就会有大量肉鸡出现。”李铁军说。

　　起初，木马病毒制造者的出发点就是破坏，甚至还有人纯粹是为了好玩、炫耀。而当有人发现控制的肉鸡可以产生大量的“金钱”时，黑客产业链就慢慢的形成了。这种形成没有明显的阶段性标志，是在不知不觉中形成的——李铁军

● 木马病毒是由少数“有钱人的集团”控制的 

　　很多事物都是从无到有，从小到大，直至形成规模，形成一个涉及各个方面的产业链，木马病毒尤其如此。李铁军认为，木马病毒从早期的零星出现，到中期的大量散乱出现，直至现在出现的黑客产业链，这其中最为明显的标志就是“熊猫烧香”。他说，熊猫烧香的出现是“偶然中的必然，今天不出现明天也会出现。”

　　在ZOL记者向其求证更多内容，以获取更多信息时，李铁军先生反问了我三个问题：

　　一、熊猫烧香为何会在非常短的时间内大量演变、升级？

　　二、是什么样的“动力”在驱使熊猫烧香病毒制造者不断地升级和变化？

　　三、病毒研发和下载需要大量的资金和硬件（服务器）支持，他个人有能力拥有如此雄厚的资金吗？

　　李铁军认为，“这三个疑问如果你明白了，就能理解为何熊猫烧香如此的顽固，如此的让安全厂商措手不及了。“不过，熊猫烧香只是一个例子，当很多个大家知道和不知道的事情集合后，木马病毒就成了规模化，产业化。”李铁军说。

　　当一个又一个电脑成为肉鸡后，规模形成了。当规模形成到一个数量级后，一些非法利益集团向零散的黑客工作室和黑客成员购买其控制的肉鸡，这就形成了黑客产业链。

黑客产业链的构成

　　李铁军介绍说，从金山毒霸云安全中心监控到数据分析看，黑客产业链现在已经是“集团化操作和运行”了。“早期我们看到的木马都是少数人控制的，控制的计算机的数量比较有限。”他说，“几年前，公安部曾经破获过一些大案，一个木马的控制者能够通过木马程序控制几万台计算机，这已经称之为当时的大案，而现在来看不算什么了。随便找一些木马就控制了它，一种木马分布出去就能控制几十万、几百万台的机器。”

　　当木马病毒控制了庞大的肉鸡数量后，它需要不停的变种、升级，以达到“被免杀”的目的。“在这个过程中，也就是逃避杀毒软件的查杀，它就需要频繁升级，而频繁升级就需要大量带宽。”李铁军说，“据金山毒霸云安全中心监控的信息，他们的带宽流量很惊人，这么多的点客户端都要同时的下载，需要木马的控制者具有相当强的（经济）实力。”

　　李铁军说，为了保证木马病毒的正常运行，正常运转，一种是（木马病毒）入侵到某些大型公司的服务器，把木马放在上面，利用别人的带宽，还有一种就是集团化的商业运作，自己购买服务器，把木马放在那儿，让用户自动升级。

    一些小的工作室开始“变卖”木马软件，另外一些人培训教人怎么用木马，控制别人的机器，现在已经演变成大量的使用网页挂马攻击，这其中有一些在黑客产业链中产生的名词，或许可以看出一些端倪——李铁军

● 黑客产业链中的几个“关键字”

　　由于本身木马不能传播，不能通过自己复制，从这台计算机感染到另外的计算机，所以它需要通过其它的方式，在这个情况下，互联网网站具有“易传播，流量大”的特点被黑客集团看在眼里了。于是，黑客幕后集团将“网页挂马”当做了首选方式。在黑了网站之后，浏览者也就会在不知不觉中中招，被控制。采用这种方式传播木马的服务端，传播速度比以前快多了，特别是借助MSN和QQ发出带有木马的网页链接后，很多用户基本都是在“毫不知情”的情况下就被控制了。

　　为了更好的解释黑客产业链的构成，李铁军向笔者介绍了几个“关键词”，网页木马、木马下载器、流量等。他说，当你弄清楚这些关键词的联系后，你就能明白黑客产业链的经济利益了。

黑客产业链的几个关键词

　　李铁军以金山毒霸云安全中心监控的数据分析说，现在木马的传播手段和早期不太一样了，主要是挂网页挂马播。“挂马只是一个形式，据我们从监控数据分析，绝大部分的木马都是与盗号产业有关，网络游戏，帐户，有直接的关系。绝大部分都是这样的情况。”李铁军说。

黑客产业链的几个关键词：木马下载器

　　当木马下载器隐藏在某个网页后，一旦有用户浏览，该用户就在成为受害者的同时也成为了传播者。

网友挂马让用户成为受害者的同时也成为木马病毒传播者

　　金山毒霸云安全中心工程师李铁军向笔者展示了一个带有木马病毒的页面：

带有木马病毒的页面

　　就是上述这样的千千万万个带有木马病毒的页面被千千万万个用户点击后，木马病毒在千千万万个用户中流传、衍生、变种、升级，最终控制千千万万个用户。为黑客产业链提供了大量流量。

● 网页挂马的传播方式和几组咋舌数据

　　为了更好的向大家讲述网页挂马的传播方式，李铁军先生跟笔者分享了一个流程图。李铁军说，这个流程图是一个最基本的传播方式，即便是有木马病毒出现了一些新的传播形式，也是脱离不了这个基本方式。

　　在讲述网页挂马的流程时，李铁军透露了一组数据。据金山毒霸云安全中心监控的数据显示，在2009年3月份前，黑客产业链主要控制在“色情五月天集团”、“王晓峰集团”、“李宝玉集团”、“螃蟹集团”以及“成龙集团”等幕后组织手中。这几个非法的挂马集团的攻击次数超过总攻击量的90%！

挂马集团的一组统计数据

　　网页挂马中木马下载器的构成数字：

主流木马下载器的构成

　　明晰了木马病毒的构成、传播方式之后，黑客集团的工作流程和方式也就熟悉了。“现在他们的盗号数量非常的庞大，分工也非常很明确。”李铁军介绍说，“盗取帐号信息后，木马病毒制造者是没有那么多的人手和精力登录所有帐号，他们会将这些东西集中，然后再分发和销售，这部分工作就会由另外的一部分组织来做，环环相扣，把‘产品’卖给下家经营。”

　　金山毒霸云安全中心通过自己的源泉系统，会监测到某一个时间内，某一个恶意软件的分布情况。比如，传播了多少，传播到什么地区，分布到什么样的用户群中，感染了一些特性。根据收集到的零散信息，金山将梳理后的文件加入到系统分析库中，根据上报的功能、病毒源信息等做进一步的梳理工作。

　　李铁军表示，在这一套的繁杂的监控、收集、上报、分析、梳理归类的工作完成后发现，很多木马病毒、恶意软件的下载服务器其实都是相对固定的，长期监控分析就可以得到一个事实：木马病毒是控制在某几个利益集团手中的。

　　一个木马制造出来后，它自己不能传播，必须借助一些平台，这个平台就跟我们平常软件销售的平台渠道是一样的，这些人控制了木马的销售渠道，这个销售渠道就是指“网页流量商”——李铁军

● 黑客产业链趋向商业垄断

　　黑客制造病毒，然后卖给上家，上家再找买家，最后被少数的利益集团——这是一个简单的黑客产业链。那么，木马病毒是如何产生利益的呢？

　　ZOL记者：之前说的木马集团或者是木马产业链，我觉得这可能不是数量上有多少，比如说某一个公司，表面看是合法的公司，下面可能控制了一些木马工作室，金山监测了也多少个？木马利益集团有多少？

　　李铁军介绍说，据金山方面掌控的资料显示，利益集团并不是很多，数量相对较少，而且这个产业链正在趋向于“商业垄断”，所有的资源都控制在相当有实力，而是是极少数人的手里。

　　对于如何将木马病毒转化为“金钱收入”的问题，李铁军说，“一个木马制造后，它自己不能传播，必须借助一些平台，这个平台跟我们平常软件销售的平台渠道是一样的，这些人控制了木马的销售渠道。”

　　“这个销售渠道就是指网页流量商，它收购网页流量，某一个网站的PV值达到多少，他们就把它收购过来归他所有，没有经济实力的人根本就没机会想通过这个平台销售他的木马。”李铁军说，“这样就造成了黑色产业链本身有一种逐步的走向垄断或者集团化的特质，小的组织可能比较难得到这种资源，做出来的木马也很难传播出去。做的比较好的木马会被别人收购。”

　　据目前现有的资料表明，一个好的木马大概的传播量，月传播（控制）峰值超过了600万台！而这还只是一个家族系列中的一个木马，加上木马病毒的变种，控制峰值肯定将会有更高记录。　

　　通常情况下，当一个用户中招后，他的主机所感染的木马病毒肯定不是一个。当用户在浏览带毒页面后，木马下载器首先潜入系统，然后将服务器上多种木马病毒疯狂地下载到本地。

● 黑客只会紧盯“可利用程度高”的漏洞

　　微软操作系统的用户都会遇到一些提示，比如在系统更新时，系统会提示某某漏洞是一般的还是高危的。事实上，在黑客眼里微软所定义的“一般”和“高危”并一定就决定了“漏洞价值”的高低。在黑客制造者看来，“可利用性强的漏洞”才是最有价值的漏洞。

　　哪些漏洞容易被利用，方便木马病毒的入侵、潜伏、传播，黑客就会制造此类木马病毒，即便是某个漏洞被微软定义为“高危”，也未必会被黑客看中和利用。“有的漏洞出来之后发现很难被利用，需要很多种条件才能满足病毒运作，这些漏洞对于木马病毒制造者并不适用。”李铁军说，“系统存在漏洞可能有几百个，但是金山网盾监控的时候，发现大多数只有十几个（被木马病毒利用）”。

    李铁军举例说，假如说有100个漏洞，有商用价值有10个，但这10个漏洞并不代表高风险，或者说有些漏洞高风险，未必能带来一些价值，“利用起来比较复杂（的漏洞）黑客就不用了”。

编后话：

    采访结束时，李铁军告诉记者，很多网民中招不是点击了黄色非法网站，此类网站页面本身反而比较重视安全问题（不包括黄色网站中存在的第三方未知链接）。让人无法理解的是，地方政府的政府类网站却由于技术构成低，再加上地方政府领导对于网络安全的重视程度很低，此类网站反而是“高度危险”。

    据李铁军向笔者展示的一组数据显示，目前很多地方政府的网站漏洞很多，甚至可以用“千疮百孔”来形容。很多当地政府网站，稍微懂点技术的人用最初级的扫描工具都能扫出一大堆的漏洞。

    这也就是说，很多时候给木马提供资源的不一定是国外网站和服务器，而是国内的一些对于安全管理不够重视的国内网站。

    李铁军认为，政府机关、教育机构等在硬件方面没有太大问题，但是在软件安全和互联网安全方面，计算机管理水平却跟不上，这给木马病毒提供了“肥沃的土壤”。

    对于如何防范来自互联网上无孔不入的木马病毒，李铁军认为，除了各网站安全管理人员重视起来之外，可以借助一些针对性较强的反木马病毒类的工具软件，比如金山网盾，该软件具有体积小，占用资源少的特点，是一款专业的网页防挂马产品，也是是对杀毒软件的有益补充。