全面揭秘“流氓流量皮条客”的商业模式

　　大多数网络犯罪份子对赚点“快钱”，提早退休的想法嗤之以鼻。这些人视网络犯罪为一种利润丰厚，可为之奋斗终身并实现自我终极价值的事业，他们很享受在暗地里的恶意活动，耐心地扩张他们的网络犯罪网络。在本篇博文中，我们将讨论犯罪网络如何只从每名受害者身上赚得一两块钱，然后通过让成千上万的网民受害，聚沙成塔，从而每年赚得上千万元的利润。而赚取这些网络黑钱的盈利模式，无外乎“流氓流量掮客”及诈骗知名品牌等方式。

　　网络犯罪份子的网络，通常是托管在世界各地不同数据中心中的上百台服务器。有些网络恶棍手上握有千万元的流动资产，这让他们能够对可带来高额报酬率的新型网络犯罪活动做可观的“风险投资”，这也意味着他们的活动往往会殃及大量网民。

　　图一是2010年3月到7月中某个特定傀儡僵尸网络的规模图表。如图所示，僵尸网络的规模在不同的时间中有所波动，目前有约15万的僵尸网络。这并不是规模最庞大的僵尸网络，但已能每年产生数百万美元的收益。

　　图1、傀儡僵尸网络规模

　　浏览器劫持型木马是恶意软件的一种，该软件会将受害者从他们想要进入的网站重新指向至其它网站。搜索引擎的搜索结果也常会被此类恶意软件挟持。在Google谷歌，Yahoo!雅虎，或Bing这类热门搜索引擎上所做的搜寻仍然有效，但当受害者点击搜寻结果，或点击赞助商链接时，就会被重导至其他网站，浏览器劫持者则利用“盗窃”来的点击赚取金钱。

　　浏览器劫持之所以热门，是因为点击搜索结果的流量质量很高。利用合法搜索引擎的成功来赚钱的手法既轻松又高利润。一个规模15万的僵尸网络就可以从劫持搜寻结果的手法上，每年为犯罪份子赚得数百万美元。点击盗窃的要价依据使用的关键词来定价。我们看过每个点击在0.01~0.02美元之间的报价，但如“SOHO赚钱机会”(home-based business opportunities)”或“贷款(loans)”等的键词或词组，则每个点击可超过2美元。僵尸网络每天能劫持超过百万的点击数量，从2010年7月20日的数据来看，其赚得的利润如下。

　　表1、单一浏览器劫持傀儡僵尸网络日收益

　　要将偷盗得的点击变现，挟持者通常会将骗得的点击收集贩卖给流量掮客(皮条客)。掮客再把流量重新转售给合法组织如Yahoo!雅虎，Google谷歌，或Ask.com。举例而言，我们就已看到Yahoo!雅虎的搜寻结果点击通过一名流量掮客中间人转卖回给Yahoo!另一个典型的例子则是将被偷盗的Google谷歌点击转卖给LookSmart。

　　不过要将偷盗来的流量卖给如Google谷歌，Overture(Yahoo!雅虎)，或LookSmart等合法组织并不是件轻而易举的事，因为这些公司皆备有先进工具来侦测诈骗。为此，多数流量劫持者都会利用掮客，这些掮客与劫持者合作让流量最大化及寻找最佳的买主。有些流量掮客不能被信任，他们本身也是诈骗骗局的一份子。例如一名位在俄国圣彼得堡的掮客“Onwa Ltd.”深谙转卖流量的诈骗之道，这名掮客为假搜索引擎撰写并贩卖后台软件，使之成为点击诈骗的道具。(Onwa Ltd.在英国及Seychelles塞席尔群岛皆设有空壳公司)。见图2范例。

　　图2、假搜索引擎

　　除此之外，Onwa Ltd.也设立了自己的假Google谷歌网站架构。这名掮客至少从2005年就已存在，也可能早在2003年就出现了。这个集团所使用的其它公司名称包括“Ottersearch”，“RBTechgroup”，及“Crossnets”。其中一家的公司网页如图3所示。

　　图3、流量掮客的网站

　　并非所有的流量掮客都像Onwa Ltd.一般无耻。为了把那些只跟合法对象交易的流量掮客也拉下水，Onwa Ltd.之类的流氓流量掮客通常会设立网站，让人以为他们长期经营合法企业。配套的假搜索网站也堂而皇之的建设好了。这些假搜索网站表面上给客户带来“真实的”的用户流量，但实际上只是僵尸网络网站点击诈骗的中间步骤。

　　假搜索引擎不会有正常的访客，广告主往往会发现，他们的Alexa排名有时会“人工”爬升。这是僵尸网络所为，它们会自动进入Alexa的URL来决定哪个网站需“注射”多大的用户流量。除此之外，流氓流量掮客往往会将骗得的流量化整为零，让流量看似来自许多不同的来源，而实际上绝大多数的点击只来自一小撮的僵尸网络。如果上游流量买主侦测到诈骗，流氓流量掮客就可以将责任转嫁到流氓网络联盟的某个成员，并关掉其中一两个渠道。网络犯罪集团因此只会失去一小部份的收益，而不是损失全部。

　　浏览器挟持是一款非常闹心的恶意软件，网民在目标网页被重新导向后，很快便会发觉事情不对劲。因此僵尸网络的平均寿命皆不长。图4显示的是根据趋势科技所收集的历史资料计算出的单一傀儡僵尸的寿命长度。在本个案中，任何一个单一傀儡僵尸的寿命波动通常在6到12天内。

　　图4、傀儡僵尸生存寿命

　　为了让僵尸网络保持一定的规模，主使者需要经常感染新系统。图5所示的是所讨论到的僵尸网络每日所增加的新系统数量。每日都有上万的新系统受到感染。在本年度已有超过2百万台的计算机被浏览器劫持软件感染，我们预期在今年底将会有高达4百万台的计算机受到感染。

　　图5、浏览器劫持软件每日下载/安装量

　　趋势科技所观测的浏览器挟持软件配备了额外的DNS域名系统变更组件，可变更系统的域名系统设置，使之指向外来的服务器。所使用的DNS域名系统服务器是牢牢植入(hard-coded)在恶意软件中的。我们发现犯罪团伙每天都会散播新的恶意软件样本来改变系统的DNS域名系统设置，将之设定到一对特定的国外服务器。

　　这一对服务器在机器受感染仅一周的时间内，便会开始将域名解析到恶意IP地址。我们相信这的举动旨在企图延长傀儡殭尸的寿命。当浏览器挟持组件从被感染的计算机中移除后，DNS域名系统变更组件仍存留，因此僵尸网络仍可利用变更DNS域名系统的手法来挟持流量，而其寿命也显著增长。

　　我们预期浏览器挟持软件在未来会更先进也更活跃。如今我们已经可以看到诸如用外来广告取代合法广告的升级手法。本部落格中所讨论到的僵尸网络在流氓DNS域名系统组件启动时，会将Double Click广告置换成Clicksor广告。对Double Click来说，这是一种隐形且极难检测出的点击诈骗手法。但在本个案中，我们相信Clicksor和网络犯罪份子间并无中间人的存在。我们认为Clicksor应该能够检测出这个诈骗。不过如果使用了流氓中间人，检测将变得非常困难。