深入暗网(与人为伍)

admin
admin
admin
138858
文章
114
评论
2024年7月17日12:03:34评论112 views字数 2051阅读6分50秒阅读模式

深入暗网(与人为伍)

了解网络犯罪分子在暗网论坛上的行为 - 他们购买和出售什么服务、他们的动机是什么,甚至他们如何互相欺骗。

明网、深网和暗网#

威胁情报专家将互联网分为三个主要部分:

  • 清晰的网络- 可以通过公共搜索引擎查看的网络资产,包括媒体、博客以及其他页面和网站。

  • 深网- 搜索引擎未索引的网站和论坛。例如,网络邮件、网上银行、企业内部网、围墙花园等。一些黑客论坛位于深网中,需要凭证才能进入。

  • 暗网 -需要特定软件才能访问的网络资源。这些资源是匿名且封闭的,包括 Telegram 群组和仅限受邀者参加的论坛。暗网包含 Tor、P2P、黑客论坛、犯罪市场等。

深入暗网(与人为伍)

卡托网络公司首席安全策略师 Etay Maor 表示:“我们发现犯罪分子的通信和交易方式发生了变化,从冰川顶部转移到了冰川底部。冰川底部的安全性更高。”

聚焦:什么是 Tor?#

Tor 是一个基于开源的免费网络,允许匿名通信。虽然 Tor 最初是由美国海军研究实验室开发的,但它已成为一种越来越流行的非法活动解决方案。

在 Clear Web 上进行这些活动可能会导致执法部门监控,并可以追溯到罪犯。但通过 Tor,通信经过三层加密,每跳一个节点就会被剥离,直到退出网络。监控 Tor 的执法机构看不到罪犯的 IP,但能看到 Tor 出口节点,这使得追溯到原始罪犯变得更加困难。

Tor 通信架构:

深入暗网(与人为伍)

Etay Maor 补充道:“21 世纪,数字能力的天体排列促进了犯罪活动的发展。首先,暗网出现了。然后,通过 Tor 出现了隐藏且安全的服务。最后,加密货币实现了安全交易。”

暗网上提供的犯罪服务#

以下是过去暗网上提供的服务的几个例子。如今,其中许多服务已被关闭。相反,犯罪分子正转向 Telegram 消息平台,因为它具有隐私和安全功能。

例如 -

贩卖毒品:

深入暗网(与人为伍)

虚假身份服务:

深入暗网(与人为伍)

深入暗网(与人为伍)

深入暗网(与人为伍)

深入暗网(与人为伍)

供应商搜索市场,包括有关网络钓鱼尝试的警告:

深入暗网(与人为伍)

如何管理犯罪论坛?在不可信的环境中建立信任#

攻击者试图利用漏洞并入侵系统以牟利。就像任何其他商业生态系统一样,他们使用在线论坛来买卖黑客服务。然而,这些论坛需要在成员之间建立信任,而它们本身却建立在犯罪之上。

一般来说,此类论坛最初的设计是这样的:

  1. 管理员——管理论坛

  2. 托管- 促进会员之间的付款

  3. 黑名单——解决付款和服务质量等问题的仲裁者

  4. 论坛支持——各种形式的援助,鼓励社区参与

  5. 主持人——不同主题的小组负责人

  6. 经过验证的供应商- 经过担保的供应商,不同于一些骗子的供应商

  7. 常规论坛成员- 群组成员。他们在进入论坛之前会经过验证,以过滤掉诈骗者、执法机构和其他不相关或有风险的成员。

深入暗网(与人为伍)

从恶意软件感染到暗网企业数据泄露的路径#

让我们通过一个用于窃取信息以进行勒索的恶意软件示例,看看暗网上攻击的不同阶段是如何表现的:

事件发生前阶段:

1. 数据收集-威胁行为者在全球范围内开展信息窃取恶意软件活动,并窃取受损凭证和设备指纹的日志。

深入暗网(与人为伍)

2. 数据供应商-威胁行为者向暗网市场提供数据,这些市场专门从受恶意软件感染的计算机中获取凭证和设备指纹。

3. Fresh Supply - 日志可在暗网市场购买。日志的价格通常在几美元到 20 美元之间。

活跃事件阶段:

4. 购买- 专门从事初始网络访问的威胁行为者购买日志并渗透到网络以提升访问权限。购买的信息很多时候不仅包括凭证。它还包括 cookie 会话、设备指纹等。这允许模仿受害者的行为来绕过 MFA 等安全机制,使攻击更难被发现。

5. 拍卖——访问权限在暗网论坛上拍卖,并由熟练的威胁团体购买。

Etay Maor 指出:“拍卖可以以竞赛或‘闪电拍卖’的形式进行,这意味着威胁行为者可以立即购买,而无需竞争。严重的威胁团体,尤其是那些受到民族国家支持或属于大型犯罪团伙的团体,可以利用这种方式投资其业务。”

深入暗网(与人为伍)

6. 勒索– 该团体实施攻击,在组织中放置勒索软件并进行勒索。

深入暗网(与人为伍)

这条路径突出了犯罪生态系统中各个专业领域。因此,通过操作威胁数据推动的多层方法可以发出警报并可能预防未来的事件。

人力情报的作用#

自动化解决方案对于打击网络犯罪必不可少,但要全面了解这一领域,还需要人力情报 (HUMINT)。这些是网络犯罪官员,来自执法机构的人员登录论坛并像贸易参与者一样行事。参与是一门艺术,也必须是一门艺术——可操作、可靠和及时。

让我们看一些网络犯罪官员追踪的论坛的例子以及他们如何回应。

在此示例中,攻击者正在出售 VPN 登录信息:

深入暗网(与人为伍)

网络犯罪官员将尝试参与并了解这属于哪个 VPN 或客户端。

另一个例子中,攻击者正在向英国的 IT 基础设施解决方案和服务提供商出售 Citrix 访问权限。

深入暗网(与人为伍)

网络犯罪官员可能会联系潜在买家并索要样品。由于卖家是从经济角度出发,而且可能财务状况不佳(来自前苏联国家),他们会愿意寄送样品以促进销售。

防范网络攻击#

暗网是一个经济生态系统,有买家、卖家、供应方和需求方。因此,要有效防范网络攻击,就需要针对攻击的每个阶段(无论是事件发生前还是整个事件过程中)采取多层次的方法。这种方法包括使用自动化工具以及 HUMINT(一种通过模仿网络罪犯的运作方式,在线与网络罪犯接触以收集情报的艺术)。

原文始发于微信公众号(KK安全说):深入暗网(与人为伍)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月17日12:03:34
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   深入暗网(与人为伍)http://cn-sec.com/archives/2964890.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息