暗网是存在于暗网上的万维网内容：使用互联网但需要特定软件、配置或授权才能访问的覆盖网络。通过暗网，私人计算机网络可以匿名通信和开展业务，而无需泄露用户位置等身份信息。暗网是深网的一小部分，深网是网络搜索引擎未编入索引的部分，尽管有时深网一词被错误地用来专指暗网。

构成暗网的暗网包括小型的朋友对朋友网络，以及由公共组织和个人运营的大型流行网络，例如Tor、Freenet、I2P和Riffle 。暗网用户将常规网络称为Clearnet ，因为它具有未加密的性质。Tor 暗网或洋葱乐园在网络顶级域后缀.onion下使用洋葱路由的流量匿名化技术。

明网、深网和暗网#

威胁情报专家将互联网分为三个主要部分：

• 明网- 可以通过公共搜索引擎查看的网络资产，包括媒体、博客以及其他页面和网站。

• 深网- 搜索引擎未索引的网站和论坛。例如，网络邮件、网上银行、企业内部网、围墙花园等。一些黑客论坛位于深网中，需要凭证才能进入。

• 暗网 -需要特定软件才能访问的网络资源。这些资源是匿名且封闭的，包括 Telegram 群组和仅限受邀者参加的论坛。暗网包含Tor、P2P、黑客论坛、犯罪市场等。

卡托网络公司首席安全策略师 Etay Maor 表示：“我们发现犯罪分子的通信和交易方式发生了变化，从冰川顶部转移到了冰川底部。冰川底部的安全性更高。”

聚焦：什么是 Tor？#

Tor 是一个基于开源的免费网络，允许匿名通信。虽然 Tor 最初是由美国海军研究实验室开发的，但它已成为一种越来越流行的非法活动解决方案。

在明网上进行这些活动可能会导致执法部门监控，并可以追溯到罪犯。但通过 Tor，通信经过三层加密，每跳一个节点就会被剥离，直到退出网络。监控 Tor 的执法机构看不到罪犯的 IP，但能看到 Tor 出口节点，这使得追溯到原始罪犯变得更加困难。Tor 通信架构：

Etay Maor补充道：“21世纪，数字能力的天体排列促进了犯罪活动的发展。首先，暗网出现了。然后，通过Tor出现了隐藏且安全的服务。最后，加密货币实现了安全交易。”

由于暗网网站只能通过Tor 浏览器等暗网浏览器访问，因此最佳暗网网站、最佳洋葱网站和最佳 Tor 网站都是同一个。而且由于无法通过 Google 或 Bing 搜索，因此洋葱网站列表是帮助用户在暗网上找到所需内容的重要路线图。

暗网市场

商业暗网市场调解非法商品交易，通常使用比特币支付。这些市场吸引了大量媒体报道，首先是丝绸之路和Diabolus市场流行起来，随后被执法部门查封。丝绸之路是2011年出现的首批暗网市场之一，允许交易武器和身份欺诈资源。这些市场对其用户没有任何保护，当局随时可能关闭。尽管这些市场已经关闭，但仍有其他市场取而代之。截至2020年，活跃的暗网市场至少有38个。这些市场类似于eBay或Craigslist，用户可以在市场上与卖家互动并留下对市场产品的评论。

人们尝试研究暗网市场与现实生活或万维网上的价格差异，以及暗网上商品的质量。一项此类研究针对Evolution进行，它是2013年1月至2015年3月期间最活跃的加密市场之一。 尽管研究发现隐藏方法和发货国家等数字信息“似乎准确”，但研究发现 Evolution 出售的非法药物质量存在问题，指出“非法药物的纯度与各自清单上显示的信息不同。”人们对消费者进入这些市场的动机以及与其使用相关的因素知之甚少。暗网市场还出售泄露的信用卡，可以免费下载或购买用于非法活动。

比特币服务

由于货币的灵活性和相对匿名性，比特币是暗网市场中使用的主要加密货币之一。有了比特币，人们可以隐藏自己的意图和身份。一种常见的方法是使用数字货币兑换服务，将比特币转换成网络游戏货币（例如魔兽世界中的金币），然后再将其转换回法定货币。Tor上通常提供诸如混币器之类的比特币服务，而某些服务（例如Grams）提供暗网市场整合服务。ESSEC研究员 Jean-Loup Richet与联合国毒品和犯罪问题办公室联合开展的一项研究强调了使用比特币混币器进行洗钱的新趋势。

由于其在数字世界中的重要性，比特币已成为用户诈骗公司的热门产品。自 2014 年比特币出现以来，DDOS“4”等网络犯罪团伙已对公司发动了 140 多起网络攻击。这些攻击导致了其他网络犯罪团伙以及网络勒索的形成。

黑客组织和服务

许多黑客以个人或团体形式出售其服务。此类团体包括xDedic、hackforum、Trojanforge、Mazafaka、dark0de和暗网市场TheRealDeal。其中一些团体以追踪和勒索明显的恋童癖者而闻名。暗网上还提供针对金融机构和银行的网络犯罪和黑客服务。各种政府和私人组织都尝试监视此类活动，在《Procedia 计算机科学》杂志上可以找到对所用工具的检查。暗网还使用了互联网规模的 DNS 分布式反射拒绝服务 ( DRDoS ) 攻击。还有许多诈骗 .onion 网站，最终提供感染了木马或后门的工具供下载。

最近，2023 年约有100,000名被盗 ChatGPT 用户的登录信息在暗网上出售。此外，研究人员认为，日志显示，大多数被盗的 ChatGPT 密码已被数据窃取病毒 Raccoon 提取。

暗网上提供的犯罪服务#

以下是过去暗网上提供的服务的几个例子。如今，其中许多服务已被关闭。相反，犯罪分子正转向 Telegram 消息平台，因为它具有隐私和安全功能。

例如 -贩卖毒品：

虚假身份服务：

供应商搜索市场，包括有关网络钓鱼尝试的警告：

如何管理犯罪论坛？在不可信的环境中建立信任#

攻击者试图利用漏洞并入侵系统以牟利。就像任何其他商业生态系统一样，他们使用在线论坛来买卖黑客服务。然而，这些论坛需要在成员之间建立信任，而它们本身却建立在犯罪之上。

一般来说，此类论坛最初的设计是这样的：

1. 管理员——管理论坛
2. 托管- 促进会员之间的付款
3. 黑名单——解决付款和服务质量等问题的仲裁者
4. 论坛支持——各种形式的援助，鼓励社区参与
5. 主持人——不同主题的小组负责人
6. 经过验证的供应商- 经过担保的供应商，不同于一些骗子的供应商
7. 常规论坛成员- 群组成员。他们在进入论坛之前会经过验证，以过滤掉诈骗者、执法机构和其他不相关或有风险的成员。

从恶意软件感染到暗网企业数据泄露的路径#

让我们通过一个用于窃取信息以进行勒索的恶意软件示例，看看暗网上攻击的不同阶段是如何表现的：

事件发生前阶段：

1. 数据收集-威胁行为者在全球范围内开展信息窃取恶意软件活动，并窃取受损凭证和设备指纹的日志。

2. 数据供应商-威胁行为者向暗网市场提供数据，这些市场专门从受恶意软件感染的计算机中获取凭证和设备指纹。

3. Fresh Supply - 日志可在暗网市场购买。日志的价格通常在几美元到 20 美元之间。

活跃事件阶段：

4. 购买- 专门从事初始网络访问的威胁行为者购买日志并渗透到网络以提升访问权限。购买的信息很多时候不仅包括凭证。它还包括 cookie 会话、设备指纹等。这允许模仿受害者的行为来绕过 MFA 等安全机制，使攻击更难被发现。

5. 拍卖——访问权限在暗网论坛上拍卖，并由熟练的威胁团体购买。

Etay Maor 指出：“拍卖可以以竞赛或‘闪电拍卖’的形式进行，这意味着威胁行为者可以立即购买，而无需竞争。严重的威胁团体，尤其是那些受到民族国家支持或属于大型犯罪团伙的团体，可以利用这种方式投资其业务。”

6. 勒索– 该团体实施攻击，在组织中放置勒索软件并进行勒索。

这条路径突出了犯罪生态系统中各个专业领域。因此，通过操作威胁数据推动的多层方法可以发出警报并可能预防未来的事件。

人力情报的作用#

自动化解决方案对于打击网络犯罪必不可少，但要全面了解这一领域，还需要人力情报 (HUMINT)。这些是网络犯罪官员，来自执法机构的人员登录论坛并像贸易参与者一样行事。参与是一门艺术，也必须是一门艺术——可操作、可靠和及时。

让我们看一些网络犯罪官员追踪的论坛的例子以及他们如何回应。

在此示例中，攻击者正在出售 VPN 登录信息：

网络犯罪官员将尝试参与并了解这属于哪个 VPN 或客户端。

另一个例子中，攻击者正在向英国的 IT 基础设施解决方案和服务提供商出售 Citrix 访问权限。

网络犯罪官员可能会联系潜在买家并索要样品。由于卖家是从经济角度出发，而且可能财务状况不佳（来自前苏联国家），他们会愿意寄送样品以促进销售。

防范网络攻击#

暗网是一个经济生态系统，有买家、卖家、供应方和需求方。因此，要有效防范网络攻击，就需要针对攻击的每个阶段（无论是事件发生前还是整个事件过程中）采取多层次的方法。这种方法包括使用自动化工具以及 HUMINT（一种通过模仿网络罪犯的运作方式，在线与网络罪犯接触以收集情报的艺术）。

监管暗网#

虽然有人认为暗网提倡公民自由，如“言论自由、隐私、匿名”，但是各国都在探索对暗网的监管，毕竟在暗网中发生的事情负面的内容占了其绝对的比例。欧美一些检察官和政府机构担心暗网是犯罪活动的避风港。深网和暗网是互联网必不可少的功能的应用，旨在提供隐私和匿名性。警务涉及针对被视为非法或受互联网审查的私人网络的特定活动。

在调查网络嫌疑人时，警方通常使用个人的 IP（互联网协议）地址；然而，由于 Tor 浏览器可以实现匿名，这种策略变得不可能实现。因此，执法部门采用了许多其他策略来识别和逮捕那些在暗网上从事非法活动的人。 OSINT或开源情报是一种数据收集工具，可以合法地从公共来源收集信息。OSINT 工具可以专门用于暗网，帮助警察找到一些信息，从而让他们更多地了解暗网上正在发生的互动。

2015 年，国际刑警组织宣布将提供专门的暗网培训计划，其中包含有关 Tor、网络安全和模拟暗网市场打击的技术信息。2013 年 10 月，英国国家犯罪局和政府通信总部宣布成立“联合行动小组”，专注于网络犯罪。2015 年 11 月，该小组将负责打击暗网上的儿童剥削以及其他网络犯罪。 2017 年 3 月，国会研究服务处发布了一份关于暗网的详尽报告，指出暗网上的信息获取和呈现方式正在发生变化；由于其未知性，研究人员、执法部门和政策制定者对暗网的兴趣日益浓厚。2017年8月，据报道，专门代表银行和零售商监控和研究暗网的网络安全公司会定期与美国FBI和其他执法机构分享有关非法内容的调查结果，“在可能和必要时”。俄语地下组织提供的“犯罪即服务”模式被认为尤为活跃。

原文始发于微信公众号（河南等级保护测评）：明网、深网和暗网#深入暗网