石建兵

黑客市场与网络安全产业具有典型的共生关系。作为交易网络犯罪工具与被窃数据的场所，黑客市场的活动范围遍及全球各地且采用虚拟化或数字化的方式，各类网络犯罪产品和服务的买方、卖方、中介均集中在此。由于黑客市场是违法和非公开的市场领域，因此专门针对黑客市场的研究非常困难稀缺。本文通过对兰德公司《网络犯罪工具与被窃数据的市场》（Markets for Cybercrime Tools and Stolen Data》等报告的编译分析，从发展轨迹、主要特征、重点领域、趋势展望四个方面，对最近十年来全球黑客市场进行概述。

一、黑客市场近十年的发展轨迹

黑客市场的行为方式与传统市场并无本质区别，表现为利润驱动创新并与快速变化的技术发展保持同步，凡是创新的技术应用（如移动装置、云解决方案、新的社交媒体平台）都是新的攻击入口，在黑客市场也都能找到匹配的攻击工具。

一般来说，黑客市场有黑市和灰市之分，两个市场存在一定的重叠。其中，黑市是完全出于信息犯罪目的而组织运行的，它经营着漏洞攻击工具包、僵尸网络、分布式拒绝服务攻击、攻击服务以及犯罪成果（如偷来的信用卡号、被攻破的主机）；灰市仅限于交换漏洞和缺陷，发现和开发系统漏洞本身并非不合法，例如公司往往会花钱购买自身产品漏洞的信息），但由于这些漏洞的交易通常会被用于非法目的，因此在大多数国家灰市也被禁止。

黑客市场自20世纪80年代诞生，至2005年开始进入稳定发展并趋于成熟，期间经历了连续十几年的发展创新，吸引了几代数字高手，才发展到今天的局面。如今它已与传统市场或其他犯罪市场没有多大区别，买卖双方可以通过多种渠道沟通、下单并收货。买方主要是个人、犯罪组织和商业贩子，交易一般由中介人来确认产品和交易双方的有效性。

目前黑客市场上产品（黑客工具、数字资产）和服务（服务性黑客、数字资产处理）形形色色。产品包括帮助首次接触目标的工具、组成有效工具的部件和功能，以及影响目标的工具组合。服务则包括帮助扩大规模或交付工具的支持性服务，提供整个攻击周期的完全服务。此外还有支持和确保黑客产品和服务摆脱障碍的一些产品和服务，包括基础设施和密码分析服务。数字资产是黑客行为或黑客服务的产物（如金融信息、数据记录、账户、IP地址），包括网上洗钱和帮助销赃。比如在2013年美国零售巨头塔吉特的销售终端遭黑客恶意侵入，造成至少7000万用户的记录受损，包括姓名、卡号、期限及安全密码，数天之后这些记录就出现在黑客市场上。

黑客市场的规模和复杂程度也在日益发展。它在过去10年到15年间已经从单独行动的个人活动演变为有庞大财力推动的有组织活动。从某些方面来讲，它可能比非法毒品交易更有利润，因为它与全球终端用户的联系更加直接，且以电子方式来实现，几乎无需必备条件。比如，以漏洞攻击工具包为基础，越来越频繁地使用饮水地攻击（用户在那里访问流行而合法但缺乏抵抗力的网站）；嵌入在线广告的流氓软件越来越多，只要点击就会感染电脑，并招来开启另一个恶意软件，数据由此被窃并在黑市出售；黑市出租的僵尸网络对网站实施分布式拒绝服务攻击。

从参与者数量、交易数量和黑客报道的数量和规模等角度来看，可以说黑客市场经过近十年来的发展正在趋于成熟。这种成熟表现在以下几个方面：一是高度的应变力，能根据市场当前趋势进行快速适变；二是方便的可达性，进入成本低，介入相对容易，尤其在较低层次；三是高度的专门化，有着独特的定制化的产品、场所、参与者以及分工（见图1：黑客市场的参与者成分）；四是顽强的修复力，外部事件不影响市场，即使有影响也能快速恢复。

图1：黑客市场的参与者成分

二、黑客市场呈现的新特征

当前，全球黑客市场呈现出如下新的特点：

1.产品和服务使用率稳步上升

尽管黑客市场分多个接触层次，较高层次在进入前需经详细核查，甚至想知道它的存在也需要经资格认定，但点击工具和专题报告的日益广泛使用使新手更容易使用这些产品和服务。黑客市场的渠道原先主要是布告栏形式的网络平台、电子邮件以及支持私人通信或公开聊天室的即时通信平台，现在的重点已经转到了买家能选择所需产品、用数字货币支付、无需与卖方协商就能得到产品的在线商店。黑客市场向合法电子商务的转变，说明黑客市场的业务交易方式已日益成熟，买卖双方在渠道内的互动经验越来越丰富，方式也越来越创新，更多的使用匿名、加密和隐蔽方法。

2.服务类型日趋高级和专业

2005年之前，黑客市场主要是提供信用卡数据的产品和服务，随后扩展到电子商务账户、社交媒介等，现如今市场已经呈现多样化，有的仍专注于一个产品或一种服务，有的则为整个攻击期提供系列产品和服务；有的提供多种产品但不从事一站式销售。有的在多种产品和服务市场做广告；有的专盯几个在线平台。有些组织据称多达7到8万人，全球销售额达几亿美元（如曾经专门进行信用卡欺诈carder.su）。此外，市场沟通方式更为创新和安全，广泛使用加密和隐私机制，如信息不留记录和数字加密货币。交易平台的组织是高度结构化的，角色和责任普遍专门化。

3.产品和服务更有创意

这是技术高手越来越多的结果。卖方往往保证所售产品的使用寿命或价值——例如，保证某恶意软件运行10小时后才会被杀毒产品发现，或者保证信用卡内有一定数量的金额。有些甚至能够跟踪客户用产品在干什么，确保不违反“使用条款”。例如，买方如果侵袭太多电脑并产生太大影响，卖家就能锁住产品。此外，针对移动装置的恶意软件一直在发展，其中原因是攻击移动装置比攻击个人电脑赚钱更快。短信服务木马和虚假安装成为近年来最流行的移动恶意软件，占到2013年3月移动恶意软件的70%，而在2011年只有56%。

4.交易方式走向多样化

例如，买家可购买某软件或工具的精简版或者获得免费赠品，如果喜欢则可以加钱升级到完全版——所谓的“免费增值定价”。由于很难评估不同产品的发展走势，市场的产品/价格关系非常微妙，取决于诸多因素，如品牌、服务质量、租与买的比较。虽然价格范围很广，例如按照账户类型侵入账户的价格可以从16美元到325美元，但同类产品往往索取相同价格。漏洞攻击工具包价格的不同，取决于是直接购买还是临时租用、什么漏洞以及服务和产品的质量等。品牌的认可度也开始起作用。服务包括租赁服务器、发现通道、创建个性化工具组合和建立基础设施等。

5.买卖活动越来越谨慎

早期的黑客市场很少进行自我核查；市场参与者只要想介入就很容易被接纳。但由于近年来打击黑客市场的力度不断加大，较为成熟的市场开始实行严格的准入核查，甚至想知道它的存在也需要一定的资格。核查一般是成员担保或自我证明。经审核进入精英层次就能获得好的报酬，能接触需要的任何东西。此外，更多的交易被放到了虚拟的私网和暗网上进行，用匿名和加密来加以保护。买卖双方都在努力减少虚拟身份与真实身份之间的联系。因此，买卖双方通过名声、关系、中介来相互确认。卖方可以提供产品样本，支付行为虽然更难确认，但由于范围相对狭小，所以“不合格产品”至少在需要严格审核的精英层才会被发现。

6.整体生存能力变得更强

黑客市场在遭受打击后往往会迅速卷土重来，寻找“黑洞开发工具”或“丝路”的同类取代品也许需要几次更替，但一般替代品几天之内就会出现，比如，“自由储备”在线支付公司2013年5月被取缔后，即刻就有几种数字货币冒出来；黑洞攻击工具包相关人员2013年10月被捕后，几乎立刻出现了其他的漏洞攻击工具包；黑洞攻击工具包从2010年末发布到作者被捕，是最流行的服务性攻击工具包。2012年，半数以上的网站威胁据称来自黑洞。黑洞被取缔中没有真正的赢家，因为有很多可用的候选品；从事非法毒品交易的“丝路”2013年10月被取缔后，一个月后就出现了2.0版。原因一是各平台始终在争夺市场份额；二是所用的技术或工具还在。比如，漏洞工具包一般是无专利的，所有群体都能用它或泄露的源码来打造自己的工具包。事实上，打击取缔黑客市场的行为会给黑客市场上某些群体或个人带来益处，因为一旦取缔了流行的产品和服务，其他的产品和服务就能争夺释放出来的市场空间。

三、黑客市场的重点领域

最近十年来，全球黑客市场的核心产品主要是僵尸网络和零日漏洞。

1.僵尸网络

自2005年以来，僵尸网络始终是网络犯罪的最大支撑力量之一。它的存在对黑客市场影响深远。僵尸网络在2003年/2004年开始奠定市场基础，当时主要用来向在线聊天系统滥发垃圾邮件，关闭系统服务器就能取缔它。但僵尸网络变体的数量在2004年到2005年间翻了一倍，创建源码和图形用户界面均能在黑客市场上找到，这样低技能用户只要点击就也能创建僵尸网络。到2007年，出现更多使用对等协议的僵尸网络，其分布式控制使得它较难被取缔。2009年僵尸网络的最流行用途依然是滥发垃圾邮件，80%的垃圾邮件都是它发送的。之后由于联合取缔和打击以及反垃圾邮件保护措施的加强，僵尸网络运行者的兴趣从垃圾邮件转向了分布式拒绝服务攻击。

分布式拒绝服务攻击是僵尸网络另一个主要手段。2008年记录到19万次分布式拒绝服务攻击，是僵尸网络的第二大用途（仅次于滥发邮件）。过去10年，分布式攻击时起时落。分布式攻击的受雇服务始于2004年，在2008年/2009年有过衰落，因为防卫措施改进了。但随着分布式攻击技术越来越先进，其服务在2011年再次兴旺（但滥发邮件数量开始下降），一直流行到今天。

僵尸网络的发展推动了分布式拒绝服务攻击。僵尸网络的壮大也使密码破译更迅速更容易，能使信息罪犯在数小时内完成任务，而这在过去要花几年的时间。僵尸网络还有其他的用途：如网络钓鱼式攻击；点击欺诈；获取信用卡号和安全证书；向信息罪犯提供互联网匿名登录。在最近几年，罪犯开始利用僵尸网络主机作为代理，用骗人的信用卡购买物品；使用被偷信用卡同一地区的IP地址购买，买家就能逃避信用卡公司的交易分析。僵尸网络另一个流行作用是挖掘数字货币。目前最大的僵尸网络之一ZeroAccess专门攻击比特币和点击欺诈。

僵尸网络随着时间推移规模越来越大，技术也越来越先进，早期也许只能控制十几台机器，如今却可以控制几百万台机器。此外，僵尸网服务模式也越来越先进。一些高级服务模式推出限时僵尸网络登录，或允许客户以某些目标为基础创建自己的僵尸网络，或雇佣为特定目的建立的服务器，由表面合法的“网站托管”公司租给用户。这样的服务器比传统的多用途僵尸网络服务器要强大很多，因为提供者能确保每台机器只给程序控制者使用，而不用于其他任何目的。

尽管僵尸网络的技术和服务越来越先进，而其租用价格也随产品的不同而变化很大，例如，2009年分布式拒绝服务攻击24小时的价格从50美元到数千美元不等（取决于执行攻击的僵尸网规模），而且高端僵尸网络仍需很高的成本，但登录僵尸网络（尤其是为发动分布式拒绝服务攻击而登录）的总体成本却随着时间推移而降低了，因为市场上可供选择的很多。

2.零日漏洞

零日漏洞是指软件卖方没有意识到的、还没有出现补丁的但却可资利用的弱点。由于零日漏洞较难发现，工具制作较难，所以工具价格就很高。零日漏洞常被用来攻击公司或目标高度锁定的目标。零日漏洞在黑市和灰市都占有一席之地，所以近来越来越受关注。

目前黑客市场上更为流行的是“半日”软件，这是指软件制作者也许知道有缺陷，也有补丁，但用户很少知道，基本没有打补丁。这是因为大多数攻击并不一定需要零日软件，“半日”软件足以满足消费级的恶意侵入。

在黑客市场中，零日漏洞软件能被很好记录，这有助于中介人的确认，进而让人正式付钱。就像网络犯罪软件，零日漏洞软件的销售也由第三方在研制人员与公司（或政府）之间充当中介人，而第三方本身往往就是公司。

零日软件的价格从几千美元到几十万美元不等，主要看漏洞的严重性、利用漏洞的复杂性、漏洞的持续时间、卖方的产品以及买家的情况。零日软件的“单用途”性质使它的价格不低，且随买家的位置而波动，比如哥伦比亚的价格就低于美国。零日软件的流行是因为其价格远远高于公司为发现自身系统缺陷所付的奖金，一般能达到10倍到100倍。

随着零日软件市场的流行，恶意软件及其攻击可能会增多。调查显示，零日漏洞被披露后，利用这些漏洞的恶意软件变体的数量最多能增加8万倍，攻击数量最多能增加10万倍。这种趋势虽能调整价格，但在其他方面的作用也许是负面的，柏阔抽干安全厂商的资金，造成其他恶意行为者购买价格更合理的零日软件。

近些年来，人们开始讨论为零日漏洞建立合法漏洞市场（灰色市场）的可能性，主张政府和安全厂商主动购买零日漏洞软件以防其进入黑客市场。这样的市场如今已经存在，但对于零日软件买卖是否可以更开放尚无定论。近期一个趋势是，关于零日漏洞的相关报道文章增多了，处理零日问题的公司增加了，查漏奖金项目方兴未艾。由此带来的一个不利后果就是黑客市场各方开始团结起来，因为他们担心会丧失生活资源。

四、黑客市场的潜在走向

在巨大的利润驱使之下，黑客市场短期是不会消失的，只会随着大环境的变迁而变化和适应。近年来由于打击网络犯罪的力度不断加大，黑客市场已经发生了较大的变化。根据近年来的这些变化，大致可以推断出未来黑客市场的基本走向。

第一，随着更多的数据被数字化，被攻击的目标将会变得更多，而超级链接为攻击和利用漏洞打开了更多节点。现如今，字节构成了组织皇冠上的钻石。2003年对安全最重要的是保护好公司最有价值的情报或物品，而现在所有的东西全都放到了网上，甚至连保健记录也不例外，这就使得被攻击的可能性大大增加；预计到2020年，连接设备的数量将超过连接的人数，比率将是6：1。IPv6允许人机互连互访，从长期来看将会带来更大的安全，但在开始时会产生较大威胁，给自己电脑打补丁的人会忘记给其他联网设备打上补丁。

第二，更多活动会转入暗网，更多使用加密货币，恶意软件的匿名能力更强，更注意加密和保护交流和交易。从全球范围看，推特等工具可能会逐渐成为首选渠道；Tor和VPN服务的使用率会提高。另外，随着斯诺登事件之后更多人关注隐私，采取加密和保护措施，而对隐私、加密和保护的关注将进一步推动破解尝试。随着更多数据在途中加密，数据破译设备的价格将会提高。

第三，攻击能力有可能超过防卫能力。攻击者只需知道并利用某种攻击方法即可，而防卫者必须了解一切，不仅需要掌握技术知识，还需要掌握联网、软件、执法、心理学等知识。大型公司会有能力实现自我保护，但一般商家则可能受害，因为它们可能没有能力跟上新的安全要求。

第四，可供犯罪的网络空间日益增多和复杂，漏洞将继续存在，而人的因素仍是弱点。越来越多的交易取决于某种网络、数字或电脑设备，在补丁自动部署技术被开发并实施之前，未打补丁的漏洞继续存在于系统之中，网络钓鱼攻击活动将变得更为先进。

第五，攻击者将继续创新并改变策略。包括将出现更多双分叉或多级攻击（系列攻击），攻击变得更有创造性和误导性，看起来像分布式拒绝服务攻击，但实际上是潜越攻击；具有更持久破坏力，例如给个人文件加密、要求付钱才能打开的加密锁定型勒索攻击；多态性恶意软件，每次安装都有不同，从而避开杀毒厂商的检测；能逃过恶意软件分析师眼睛的虚拟感知型恶意软件以及整体窃取行为。

第六，将会有更多受雇性的黑客行为、服务黑客和经纪人。技术能力外包的概念大大减少了介入黑客市场的障碍。虽然服务性模式将继续发展，但可能会有变化——尤其是提供服务者储存数据、客户列表和记录的方式。

第七，社交网和移动设备将成为攻击重点。针对安卓系统的移动恶意软件（占移动攻击的70%）开发将将拓展到针对谷歌、设备制造商和服务供应商合作开发的升级和补丁方法。

第八，执法部门可能反而成为受害人。增加逮捕和取缔意味着增加媒体报导，从而使黑客更了解黑客市场所提供的机会，黑客对调查技术的了解也增加了执法的难度。另外，此前的执法是以过去限制较少的法律为基础的。考虑到斯诺登事件引发的隐私问题讨论，未来的法律也许会限制执法部门的行为（例如，如何取得搜查授权，如何收集信息）。

第九，一流黑客可能会离开黑市转而投身灰市。出于安全的考虑，一流的黑客可能会从黑市脱身，进入相对安全的灰色市场，而一般的黑客将继续留在黑市，有可能成为黑客市场的老大。

五、结 语

黑客市场过去是个人在自我标新立异的推动下形成的特殊网络，现在却成了高度有组织集团的“角斗场”，且往往与传统犯罪集团（如毒品卡特尔、黑手党、恐怖组织）有联系。这对全球网络安全构成严重危害，需要采取各种手段加以有预防、打击和取缔。近年来黑客市场的发展和变化也对企业、政府提出了进一步挑战，也由此形成了一些需要加以重点研究的课题，那就是怎么运用经济和法律手段引导和抑制黑客市场的发展。比如：安全技术机构和执法机制如何改变方式来阻止黑客市场的崛起？网络安全公司应该如何改进方法来阻止攻击？执法机构采取哪些策略才能最有效地追缉顶层和底层的黑客市场买卖双方？全球的行政与执法机构有没有可能在适当的时候进行国际合作，在抓捕、起诉和引渡方面达成共识？是否应该强制对终端加密，强制规定具有更安全更有力口令和用户证书的储存行为，实施加密银行卡？怎样使合法公司设立悬赏项目或提高报酬和奖励，使人才和交易脱离非法市场进入合法企业？是否值得建立假冒的信用卡商店、平台和场所，用冒牌产品淹没黑客市场？在打击毒品和武器买卖犯罪上有哪些经验教训可以用于信息犯罪市场？这一系列问题仍有待进一步调查研究，相信这些问题一旦得到解决，黑客市场的发展势头将会得到有效遏制。