SaaS的阴暗面：网络攻击武器化、平民化

你不一定懂编程，甚至都看不懂几行代码，但依然能成为杀伤力十足的黑客，这就是现阶段不少网络攻击的特点：不需要掌握娴熟的技术或代码，仅仅利用成熟的武器化工具，就能通过简单的“一键操作”，对目标输出成吨伤害。

显而易见，这其中暗藏了巨大的商业市场，吸引了无数黑客组织团体前来分一杯羹。为了能够做到可持续化运作，他们开始借助SaaS（软件即服务）平台的优势：价格便宜、灵活性强、易于拓展，进而衍生出网络钓鱼即服务（PhaaS）、勒索软件即服务（RaaS）等模式。

在这些模式下，由黑客组织负责勒索软件出售、订阅给用户，并获得一定比例的攻击收益分成，自己则主要负责最新变种的开发。可以说，通过以业务为驱动，结合技术研发+出售+运营的模式，成为其运作的标准方式。

随着新冠疫情带来的持续性影响，全球产业更加高度依赖网络，基于SaaS的网络攻击已经能够积极顺应这一变化趋势，快速商业化、武器化，成为了一种较为成熟的软件商业模式。

人人解释黑客的时代似乎将在未来出现。当黑产走向SaaS化之后，技术门槛将不再是挡在众人面前的障碍，“黑客”这一名词将失去它的光环。亦或者说，这群人将不配被称为“黑客”，只能称之为“黑产”，以追逐现金收益为最终目的。

这对于全球企业来说无异于当头一棒，未来面临的网络攻击威胁将成倍增加。如同热武器降低了破坏的门槛，各种恶意SaaS化平台的出现降低了作恶的门槛，毕竟，从普通人手中射出的子弹同样无比致命，网络空间也是如此。

一、网络钓鱼即服务（PhaaS）

网络钓鱼即服务是一种较新的服务类型，PhaaS
组织可提供从模板创建、托管和整体编排的全流程钓鱼攻击业务模块，能让攻击者不必具备构建或接管基础设施以托管网络钓鱼工具包（模拟各种登录页面）的技术知识，从而显著降低了攻击门槛。根据Palo
Alto Networks Unit 42的一份调查研究报告，从 2021 年 6 月到 2022 年 6 月，SaaS的滥用攻击行为暴增了11倍。

2021年6 月到 2022 年 6 月，网络钓鱼活动中基于SaaS 的滥用行为迎来暴增

为了更加商业、规范化，同时最大程度吸纳客户，一些PhaaS已经由过去只在暗网推广逐渐走向前台，拥有自己公开的门户网站。

不同于一些勒索软件即服务（RaaS）需要参与到具体的攻击行动中，比如其运营团队参与赎金谈判，PhaaS往往更加纯粹于钓鱼服务的出售，因此在一些国家，如果要起诉PhaaS平台将较为困难，因为他们本身不会进行任何攻击，即使具体购买服务的攻击者被警方捕获，PhaaS也可以不受影响继续销售其服务或产品。

1、BulletProofLink——规模庞大的PhaaS平台

2021年，微软曾曝光过一个大规模的PhaaS平台——BulletProofLink，该组织自2018年以来就一直活跃，拥有 100
多个模仿已知品牌和服务的可用网络钓鱼模板，并以每月800
美元的价格在自家门户网站上销售。为了推广，他们利用YouTube和Vimeo等平台提供教学视频，在黑客论坛或其它网站进行营销，目前被多个客户团体以一次性或按月付费的模式使用。

当客户花费800美元购买服务后，BulletProofLink的功能将十分强大，包括设置一个网页来托管钓鱼网站、安装钓鱼模板、为钓鱼网站配置域名、向目标受害者发送实际的钓鱼邮件、从攻击中收集凭证等。如果要变更某项服务或模板，还可在BulletProofLink经营的在线商店后买，价格从80美元道100美元不等。

BulletProofLink经营的在线商店

微软表示，BulletProofLink经常使用被黑网站来托管网络钓鱼页面，在某些情况下还观察到其团伙破坏了被黑网站的DNS记录，以便在受信任的网站上生成子域来承载钓鱼网页。在一次活动中，BulletProofLink使用了大量新创建和独特的子域，单次运行数量超过300000个，可见该服务的规模十分巨大。

2、Caffeine——针对中国用户

与大多数针对西方国家不同，近期，被称为“Caffeine”（咖啡因）的PhaaS平台被专门用来针对中国和俄罗斯。Mandiant
的安全分析师发现，Caffeine入门门槛很低，但功能却很丰富，仅需创建账户后，就可访问后台面板，其中包含创建网络钓鱼活动所需的工具和数据面板。

Caffeine提供的服务套餐根据功能不同分为每月 250 美元、三个月 450 美元或六个月 850 美元三档，虽然价格是一般PhaaS 订阅的 3-5
倍，但Caffeine试图通过提供反检测和反分析系统以及客户支持服务来让客户觉得“物有所值“。

在网络钓鱼选项方面，该平台提供的一些高级功能包括：自定义动态 URL
模式机制，以协助动态生成预填充受害者特定信息的页面；第一阶段的活动重定向页面和最终诱饵页面；用于地理封锁、基于 CIDR 范围的封锁等的 IP
封锁列表选项。Caffeine 提供了多种网络钓鱼模板选项，包括 Microsoft 365 以及针对中文和俄语平台的各种模板。

针对中国用户的钓鱼邮件

3、EvilProxy——一键反向代理

Resecurity 研究人员在今年5月首次发现了一个新型PhaaS平台 EvilProxy，能够使用反向代理与 Cookie
注入来绕过双因素认证。反向代理是指位于受害者和合法身份验证窗口之间的服务器，当受害者连接到网络钓鱼页面时，反向代理会显示合法的登录页面，并转发、返回合法页面的请求或相应。但当受害者将其凭证和双因素验证输入到钓鱼页面后，会被转发到受害者实际登录平台的服务器并返回会话Cookie。由于反向代理位于中间，因此可以窃取含有身份验证令牌的会话cookie，并使用该身份验证cookie以用户身份登录网站，从而绕过已配置好的双因素身份验证保护。

反向代理工作原理

EvilProxy为客户提供了一个简洁易用的后台管理面板，可以在其中设置和管理网络钓鱼活动。EvilProxy给出了10天150美元、20天250美元、30天400美元的订阅方式而针对一些高价值，例如谷歌账户的的窃取，费用会有所上浮。在EvilProxy自身的宣传资料中，宣称可窃取多家知名企业或平台的用户账号，包括Apple、Google、Facebook、Microsoft、Twitter、GitHub、GoDaddy等。

很明显，PhaaS平台的出现助长了钓鱼攻击的气焰。

这些PhaaS平台的出现极大地降低了钓鱼攻击的门槛，其中包括规避电子邮件安全系统的检测、享受高可用性以及无需学习编写代码来创建看似合法的网站。此外，由于
SaaS 平台简化了创建新站点的过程，攻击者可以轻松切换到不同的主题、扩大或多样化其运营。

更糟糕的是，安全专家们普遍认为，阻止这些PhaaS平台的滥用非常困难，这也是 SaaS如此适合网络钓鱼活动的原因所在。

例如上文介绍的EvilProxy平台，使用了反向代理绕过
MFA控制，从通过恶意代理网络钓鱼站点连接的用户那里获取有效Cookie。这样，攻击者就可以绕过使用用户名/密码或MFA令牌进行身份验证的需要。

二、勒索软件即服务（RaaS）

“简单！低成本！一夜暴富！不需要花多年时间浸淫代码编写或软件开发技艺。只需要下载我们简单的勒索软件工具包，就能让您钱财源源而来——享受在家办公的舒适与弹指坐听比特币落袋声的双重快乐。”这是来自某基于RaaS的勒索软件平台颇具吸引力的推广介绍。

与PhaaS类似，RaaS构建的在线平台几乎涵盖了勒索软件攻击所需的所有功能，客户支付一定费用后即可访问平台后端并开展勒索攻击，平台方则坐收受害者的赎金分成。安全公司Unit
42已经发现至少56 个活跃的RaaS 组织，其中一些从2020 年新冠疫情爆发以来便一直在运作。

而随着RaaS模式的发展，其运作方式也开始出现一些新的特征。过去勒索方式需要犯罪者“亲力亲为”，即勒索团伙需要自己发送钓鱼邮件或者自己寻找目标系统漏洞来植入勒索软件，这样大大消耗了时间和精力，RaaS组织需要更加直接的“大门”或者中间人去做入侵，于是Initial
Access Brokers (IAB)业务就变得活跃起来。

IAB（Initial Access Brokers-
初始访问代理业务）是指攻击者通过多种方式获得的受害者网络资产初始化访问权限，而后将其出售给犯罪组织实施犯罪的中间人行为，犯罪组织通常为勒索软件团伙或其附属机构。

这些组织的存在以及RaaS 模式的发展大大降低了实施网络勒索的门槛，扩大了网络勒索软件的传播范围和负面影响。

1、REvil——曾经最普遍且活跃的RaaS组织之一

REvil不仅是市场上最普遍的勒索软件之一，也是较早采用RaaS模式盈利的组织，首次攻击实施于2019年4月17日，利用OracleWebLogic服务器中的漏洞CVE-2019-2725实施了攻击活动。两个月后，XSS论坛上开始出现该组织售卖勒索软件服务的广告。

REvil的运作模式为：购买其服务的攻击者负责访问受害目标网络，下载有价值的文件并部署勒索软件，而REvil组织本身则负责与受害者谈判、勒索及分发赎金。这种模式带来了丰厚的利润，根据REvil的说法，一个会员的收入甚至可达到3万美元，而另一家RaaS勒索组织在与REvil联手后仅六个月内就达到了每个目标约700万美元至800万美元的赎金收益。

在针对某计算机巨头的攻击中，REvil开出5000万巨额勒索赎金

在去年10月的多国联合执法行动中，REvil的服务器被查，今年1月初，俄罗斯联邦安全局 (FSB)
在该国多地进行突袭后，逮捕了多名组织核心成员。就在大家以为REvil会因此彻底绝迹时，今年5月，疑似新版本的REvil被安全人员捕获，并显示其正在积极开发过程中。这为REvil的再次复出提供了可能性。

2、Conti——擅用跨平台编程语言

该勒索软件被发现于2019年，主要是在地下论坛以RaaS形式运营，并广泛招收附属组织，某些附属组织能够访问Conti勒索软件的Linux变体，这些变体支持各种不同的命令行参数，附属组织可以利用这些参数进行更加定制化、更具有针对性的攻击。

Conti一大特点是善于利用Rust 或
Golang等跨平台编程语言编写勒索软件，使之能够方便地将勒索软件移植到其他平台。相比于由普通C语言编写，安全分析人员若要破解由跨平台二进制文件编写的恶意软件将会更加困难。

Conti主要通过钓鱼邮件、利用其他恶意软件、漏洞利用和远程桌面协议（RDP）暴力破解进行传播，组合利用多种工具实现内网横向移动，并利用匿名化Tor建立赎金支付与数据泄露平台，采用“威胁曝光企业数据+加密数据勒索”双重勒索策略发动攻击。自2020年7月29日公布第一个受害者信息以来，截至2021年12月15日，Conti共计公布了631个受害者信息，其中，仅在2021年就影响了全球范围内超过470个组织机构。

3、Lockbit——加密速度最快的RaaS

LockBit是近期风头正盛的勒索软件组织，自2019 年 9
月作为RaaS首次出现以来，便一直活跃，目前已迭代至LockBit3.0版本。LockBit号称是世界上加密速度最快的勒索软件，采用自己设计的AES+ECC算法和多线程加密，每次仅加密每个文件的前4KB。根据其洋葱网络上的博客数据显示，Lockbit以每秒373M的速度位列所有勒索软件榜首，加密100GB的文件仅需要4分半钟。

Lockbit背后的运营组织十分重视对自身勒索软件的开发，为此也同时开发了支持它的所有必要工具和基础设施，例如泄露站点和赎金支付门户。他们将这些解决方案提供给其他使用该勒索软件的分支机构，甚至包括额外的服务，例如赎金谈判。在执行实际攻击中，LockBit分支机构会将勒索软件感染并部署到目标中，作为回报，他们会获得受害者支付的20%的赎金。