中国信息安全地下产业链调查

1诸葛建伟清华大学网络与信息安全实验室中国信息安全地下产业链调查CSDN泄露引发的中国互联网安全危机2CSDN泄露仅仅是个开始32011-12-21CSDN官方证实泄露2011-12-25天涯官方证实泄露2011-12-(22–29)大量关于中国互联网网站、大公司的用户信息泄露流言2012-1-11政府部门证实了三起泄露事件，否认其他2011-12-4“臭小子”通过乌云报告泄露2012-3-（16-22）京东、当当数百位用户账户被窃，余额和礼品券被盗刷2012-4-20案件宣告破获2012-3-20北京警方宣布破获CSDN案件2012-3-15三一五晚会曝光招商、农行等银行内部员工将用户详细信用资料通过地下产业链出售2012-3月-4月公安部严打公民信息泄露犯罪严查暗藏“内鬼”2012-4月底严打成果发布CSDN泄露案的一些细节4警方于2012年2月4日在浙江温州将嫌疑人曾某抓获承认2010年4月份通过网站漏洞攻破CSDN，对用户数据库进行“拖库”。将用户数据库通过地下黑市出售牟利CSDN及后续京东/当当案件：地下产业链驱动警方披露他们通过2010年9月份的一个发帖找到关键线索，并最终成功追溯到攻击者。个人隐私泄露：2012央视3155个人隐私泄露：2012央视3156个人隐私泄露：2012央视3157“晒贴”泄露隐私信息8当“自爆”隐私贴遭遇安全棒槌商家9酿成的后果10信息安全地下产业链结构调查研究11真实资产盗窃地下产业链12真实资产盗窃典型案件–“顶狐”案132009年央视三一五晚会曝光信用卡诈骗罪，主犯10.5-11.5年真实资产盗窃活跃案例：截图删除14XX主站-公开出售网银钓鱼程序XX网银-公开出售网银木马网络虚拟资产盗窃地下产业链15虚拟资产盗窃典型案件–重庆侦破“网络QQ盗窃”大案16202012年5月10日重庆公安局通报涉案人19名，1000万台电脑植入木马，非法获利600多万网络虚拟资产盗窃活跃案例XXXX基地-公开出售各类网游木马程序截图删除互联网资源与服务滥用地下产业链18恶意捆绑手机恶意代码恶意扣费现实利益安卓手机僵尸网络恶意吸费案件FishBot手机僵尸病毒安卓应用市场安卓智能手机FishBot手机僵尸托管控制服务器i.y****ng.com访问控制URL获取扣费控制指令：扣费代码,服务号码SP收费通道吸费扣费通知央视《每周质量报道》&新闻曝光20黑帽技术、工具与培训地下产业链21黑帽技术、工具与培训典型案件–”大小姐”木马案2009年2月“大小姐”系列木马团伙网络犯罪案“江苏水利网”政府网站被黑，牵出木马“大小姐”一网打尽，揭开黑帽产业链制作、传播“大小姐”系列木马团队-10人老板：王X；编写者：龙X；销售总代：周X占据我国木马盗号程序市场60%?，经王X供述，他生意最好的时候，曾经3个月就挣了3000万？！全国首例提供程序工具“非法侵入计算机信息系统罪”285条补充条款第3条起诉判罚“非法侵入计算机系统罪”第2、3条王X：1年2个月；罚金50万元龙X：1年，罚金10万元22黑帽技术、工具与培训活跃案例–“XX培训网”23截图删除中国信息安全地下产业链损失规模估算24从地下黑市来监测信息安全地下产业链25百度贴吧:“全球最大中文社区”基于关键字的贴吧组织结构只有在你懂得地下黑市行话时…你才能进入一个隐藏在阴暗角落中的神秘世界大量地下黑市出售、求购广告信息百度贴吧监测数据集：84:地下产业链行话129:地下黑市贴吧8：年监测数据2004-2011753K:消重后地下黑市帖子255K:地下黑市参与者从地下黑市来监测信息安全地下产业链(con’d)26腾讯QQ群监测数据集：2,738:地下黑市QQ群130:监测QQ群1Month:2012年3月份~43K:消重后的消息5K:参与者使用地下产业链行话来搜索出地下黑市QQ群使用破译行话和社工托辞，伪装成地下产业链参与者，才能通过验证加入QQ群监测地下黑市监测统计信息27平台期，为什么？地下黑市发帖数量月度统计280100002000030000400005000060000Jan/04Mar/04May/04Jul/04Sep/04Nov/04Jan/05Mar/05May/05Jul/05Sep/05Nov/05Jan/06Mar/06May/06Jul/06Sep/06Nov/06Jan/07Mar/07May/07Jul/07Sep/07Nov/07Jan/08Mar/08May/08Jul/08Sep/08Nov/08Jan/09Mar/09May/09Jul/09Sep/09Nov/09Jan/10Mar/10May/10Jul/10Sep/10Nov/10Jan/11Mar/11May/11Jul/11Sep/11Nov/11postthread波谷:1月-2月波峰：6月-8月地下黑市参与者月度数量统计290200040006000800010000120001400016000Jan/04Mar/04May/04Jul/04Sep/04Nov/04Jan/05Mar/05May/05Jul/05Sep/05Nov/05Jan/06Mar/06May/06Jul/06Sep/06Nov/06Jan/07Mar/07May/07Jul/07Sep/07Nov/07Jan/08Mar/08May/08Jul/08Sep/08Nov/08Jan/09Mar/09May/09Jul/09Sep/09Nov/09Jan/10Mar/10May/10Jul/10Sep/10Nov/10Jan/11Mar/11May/11Jul/11Sep/11Nov/11registeredparticipantanonymousparticipant2009年:仍保持快速增长~50%参与者结构的显著变化30百度地下黑市匿名参与者地理分布沿海互联网经济发达省份中部互联网经济欠发达人口大省31地下黑市中最流行的商品与服务百度贴吧数据集:•广告帖百分比:49%•SaleVs.Want2:1腾讯QQ群数据集:•广告帖百分比:14%•SaleVs.Want13:1网站访问流量黑帽技术培训32地下黑市参与者角色分布统计14,5248,34520,48629,91616,07814,25918,9454218,14011,43905,00010,00015,00020,00025,00030,00035,000•不需要掌握任何黑帽技术:容易入门•没有明确规定的法律条款:相对安全•从被盗网游/QQ账户中窃取虚拟资产出售:可盈利52%以上的参与者至少发布了一个广告帖33流行商品服务价格分析–网游“信封”RMB1-3元34流行商品服务价格分析–网站访问流量RMB100-300元/WIPs35流行商品服务价格分析–“肉鸡”RMB~0.1元Outlier:1元36流行商品服务价格分析–木马程序RMB100-1000元从各种流行商品看地下产业链的国际化特性绝大多数商品缺省是针对国内互联网少数标注了国内、国外属性中国信息安全地下产业链：内向型经济俄罗斯、尼日利亚（非洲最大英语人口国）：外向型经济37标注比例标注国内标注国外银行卡资料-“料”0.1%62.5%37.5%“肉鸡”0.3%72.5%27.5%受控服务器2.1%58.5%41.2%“流量”0.4%69.5%30.5%从各种流行商品看地下产业链的国际化特性38网络犯罪案件与地下黑市监测数据关联分析五个拥有法院审理卷宗和公开媒体报道的典型案件抽取出具有足够独特性（uniqueness）的关键信息网名/QQ号编写恶意代码、攻击工具名称网站域名在地下黑市监测数据中查询匹配帖子记录时间限制条件：在案件公开曝光日期之前39典型案件与地下黑市信息的关联分析40案件曝光时间关键信息帖子条数最早出现时间曝光前最后时间线索顶狐案2008-4-14Topfox982005-7-82008-2-26顶狐下载者32006-11-112007-8-15发布IP密码结巴2902004-1-122008-4-1发布QQ密码解霸3462004-2-262008-4-1银行账号狐狸王病毒62005-6-302007-7-5熊猫烧香案2007-2-1268956512007-1-232007-1-23号 地下黑市获得线索的实施中网络犯罪案例41地下黑市获得线索的实施中网络犯罪案例42开源情报采集技术WhoisGoogle/Baidu搜索博客、论坛信息挖掘社交网络追踪调查分析档案照片，真实身份，姓名联系方式教育和职业历程亲属朋友同谋人地下黑市获得线索的实施中网络犯罪案例243某网银大盗案例由于共知原因而删除地下黑市获得线索的实施中网络犯罪案例244XXX网银盗号木马团队销售网银及淘宝盗号木马域名注册人DNS注册商IP地址服务器托管网站网站删除删除论坛删除删除相关网站案例2：定位到现实世界中的人45域名注册信息反向查询查看同一邮箱注册了哪些域名XXX网银论坛交流站:***.com注册人邮箱：***@qq.com************网站RegistrantPhone:+86.1*********RegistrantEmail:***@qq.comGoogle：***学院,***,***XX（***），生日:***总结中国信息安全地下产业链调查与实证数据分析四大产业链数十条盈利链造成损失规模超过50亿实证数据分析显示地下产业链具有松散但高效的组织结构，并正在快速发展过程中验证监测地下黑市对网络犯罪调查的支持作用地下产业链的应对措施执法部门建立长效的地下黑市跟踪调查与响应机制“民间网际侦探社”-CyberDetective我们正在艰难的路上，也在寻觅志同道合者46Thanks欢迎讨论与合作新浪微博：@清华诸葛建伟Email:zhugejw@gmail.com4748参与者行为分析参与者活跃时间CDF图50%:0.01h~15%:34K1Khours~30%:68K1Khours~10%:22K1Khours10%49参与者行为分析(2)参与者发帖、消息数量CDF图参与者参与讨论线程数量CDF图10%50%:onesinglethread90%:lessthan8threads