网络犯罪集团Neosploit停止更新网络恶意软件开发工具

ZDNet安全频道原创翻译 转载请以文字链形式注明出处

作者：丹乔·丹切夫
 
Neosploit网络恶意软件开发工具已经停止开发了？RSA信息安全公司FraudAction研究中心最近对Neosploit的团队成员和他们的潜在客户之间正在进行的沟通的监测显示，结果好象就是如此。价格在一千到三千美金之间的Neosploit恶意软件套件是在2007年中出现的，和广受欢迎的MPack以及Icepack等同类软件相比，它的特色是客户支持和不断的更新，其中包括了新的JavaScript欺骗代码，以及多用户的管理和控制界面，还有改进的受感染主机数据过滤机制。

Neosploit是真的停止了么？可能是的，但这绝不意味着所有的网络恶意软件开发工具包都完蛋了：

“在七月中旬，有证据表明，Neosploit的商业运转遇到了问题。可能是Neosploit发现很难获得新客户，并且现有的客户不足以维持预定的发展速度。这些问题导致了很多负担，所以我们现在认为Neosploit的开发团队已经被迫放弃它们的产品。象任何一个负责任的业务一样，Neosploit的开发团队试图希望可以作为良好的开发商在某一天返回开发。我们的内线透露说，他们正在准备发布“停业报告”。大概内容如下：

“由于产品不能继续更新，我们对给你造成的所有不便感到非常的抱歉。但商业就是商业，花费大量时间在注定不能赢利的项目上是没有意义的。在过去几个月中，我们努力以满足你的需求，技术支持将会在几个月内停止。希望在相处的一年半时间里，为你的业务带来了好处。”

让我们来讨论一下他们的商业模式是如何被其它网络罪犯侵蚀并败坏了的，并且，最重要的是为什么利用常用的网络恶意软件开发工具包开展的这样一种商业活动模式似乎无法取得满意的投资回报率（ROI）。

简单的答案是：地下的盗版行为。他们过分乐观地假设的高利润率实际上缺乏长远的成长策略。下面我们来谈谈其中的一些要点：

你不可能将一个开放源代码的恶意软件工具包当做一个专有软件

象其它大多数的网络恶意软件工具一样，Neosploit也是开放源代码的，这就意味着客户可以添加新的功能和应用，享受软件套件的模块化。Neosploit团队的商业模式是依赖于专有的恶意软件套件可以收费数千美元的错误假设，这样的情况是不可能发生的。此外，根据他们的声明可以看出，在产品上花费大量的时间，意味着花费大量时间嵌入公开提供可以利用的最新脆弱性代码，而这个实际上是没有的。

此外，这个类似Zeus（一个Swing组件库，提供了一些有用的组件来使GUI开发变得比较容易）的犯罪工具包的编码器曾经尝试执行“许可协议” ，声称他们拥有该包的一切权利，这非常具有讽刺意味。特别是在他们利用相同的最终用户协议，禁止顾客恶意对编码进行逆向工程操作的时间。所以Neosploit工具包泄露了出去，被黑客们所利用，并嵌入了新的应用。

利用外语进行本地化对于是恶意软件套件的编码者来说并不适合

在逻辑上我们可以假设，如果俄罗斯的恶意软件编码器进入潜在的中国客户的眼里，它需要进行翻译，将恶意软件工具包的命令和控制接口文件转换为当地的语言。在实际运行的过程中，本地化工作已经作了，这样可以让网络犯罪变得更容易一些。举例来说，俄罗斯MPack和IcePack恶意软件包就在去年被中国黑客以中文进行了本地化。今年五月，Firepack也被本地化了。奇怪的是，在同一个月，IcePack被法语本地化了。

网络恶意软件开发工具包是一种商品

通常情况下，它们可以很方便地获得，使用起来也很容易，即使不了解俄语也没什么问题。Neosploit停止支持他们的恶意软件工具包的主要原因是不希望成为别人的垫脚石。但是，对于开放源代码的恶意软件工具包来说，大家都是利用公开的基础代码。这导致确定使用人数很困难，在特定的工具包中的漏洞情况也不好确定。

话说回来，当看到六点三七亿的谷歌用户在使用不安全的浏览器网上冲浪这样的新闻时，在已经过时而且已经修补的漏洞都可以达到如此高的感染成功率的情况下，为什么还要理会将零天漏洞引入工具包呢？

在今天，黑客渐渐开始国际化，而网络恶意软件开发工具则进一步本地化。Neosploit团队可能会放弃更新他们的恶意软件工具包，但这并不意味着他们会放弃使用目前的恶意软件。