賽門鐵克地下經濟活動報告

大概從上個月開始，就一直留意Symantec什麼時候要出ISTR 14期報告。以過往的經驗而言，這次算是嚴重dealy，不過Symantec倒是在昨天出版了Symantec Report on the Underground Economy，針對這一年來的地下經濟交易活動進行了分析，另外在報告後面也有一小段提及軟體盜版的問題。為了方便沒時間細讀的朋友，資安之眼重點整理如下：

自2007/07/01到2008/06/30的地下經濟交易情形統計，文中金額皆為美金：

‧ 論壇和IRC是買家和賣家的主要媒介
‧ 最常出現的地下交易類別前三名為信用卡號碼(供31%；需24%)、金融帳號(供20%；需18%)，及垃圾郵件和釣魚資訊(供19%；需21%)
‧ 若以單一項目區分，最常被拿來銷售的是銀行帳號資訊(18%)，其次是具有驗證碼(CVV2)的信用卡號(16%)，第三名為一般信用卡號(13%)
‧ 銀行帳號資訊通常最具價值，每筆約為$10~$1000。金額高低視其帳戶餘額、特定銀行、所在區域及類型而定。例如企業帳號高於個人，歐洲帳號高於美國
‧ 為了取信購買者，銷售者最常拿來公開展示的樣品前三名都與信用卡有關，分別為CVV2(23%)、卡號(18%)、信用卡有效日期(15%)
‧ Symantec預估在此報告週期內，地下經濟交易總額超過$2.76億，其中信用卡佔了59%、個資佔了16%，而伺服器帳號為10%，第十名為線上遊戲帳號，只有不到1%
‧ 各類攻擊工具及服務也是地下經濟交易的主力之一
‧ 以攻擊工具而言，均價前三名為Botnet ($225)、Autorooter($70)、SQL injection工具($63)
‧ 垃圾郵件及釣魚方面的工具均價前三名：釣魚主機($10)、釣魚網頁($10)、垃圾郵件軟體($9)
‧ 惡意程式均價：Binders($27)、Packers($24)、Trojans($24)、Keystroke loggers/password stealers($23)
‧ 可利用之漏洞均價前三名：金融網站漏洞($740)、遠端檔案載入(一次交易500個網站的價格為$200)、Shopadmin (50個能夠用以存取電子商務網站管理平台的漏洞為$150)
‧ 最常使用的付款方式：線上貨幣服務(例如e-gold)(63%)、交易其他商品/服務(24%)、線上付款服務(9%)

IRC伺服器及頻道

‧ 統計用於進行地下經濟交易的IRC伺服器，就其平均存活週期而言，36%小於一週、41%介於一週到一個月間，而21%介於一個月到半年間
‧ IRC伺服器分佈區域：46%位於北美、38%位於EMEA(歐洲、中東和非洲)、12%位於亞太及日本、%5位於拉丁美洲
‧ 若以國家區分，前三名分別為美國(41%)、羅馬尼亞(13%)和德國(11%)。亞太地區只有澳洲(4%)及南韓(2%)分列第六及第八名

軟體盜版問題

這個部分要注意的是，統計週期為2008年7~9月間，同時僅針對P2P部分的活動進行採樣，也就是說不包含像是FTP等管道。

‧ 以檔案類型區分，前三名分別為遊戲(49%，估計價值$8,062,000)、桌面應用程式(16%，估計價值$2,573,000)，及多媒體應用程式(11%，估計價值$53,098,000)。另外商業應用軟體雖然僅佔5%，但估計價值達$8,671,000
‧ 以上傳者所在的國家區分，前四名分別為美國(19%)、英國(7%)、加拿大(6%)及西班牙(5%)。其中若單獨計算遊戲及商業類軟體，西班牙則大幅領先其他國家