记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

暗网系列之“好公司更需要一个暗网中的情报站”

2017-07-18 08:45

前情提要

最近,关于暗网(Dark Web)的人都知道,最大的专门销售非法产品的在线市场AlphaBay关闭了。根据国外媒体的报道,AlphaBay关闭的原因是由于受到了三个国家的联合打击。打击行动发生在美国、加拿大和泰国,执法时间是7月5日,同一天AlphaBay站点关闭。

暗网真的“暗黑无底”吗?

提起暗网,大多数人脑海里会浮现出下面这张图:

然而,暗网真的是“暗黑”且“深不可测”的吗?

对于目前公开的、开放的互联网而言,暗网的创建及运行机制,使其天生具有隐蔽性,而人类天生会对不了解的事物心怀恐惧,加上社交媒体的夸大宣传,这些都会让“暗网”更加黑暗。

然而,互联网的阴暗面其实并没有那么大,媒体报道常常喜欢夸大其辞,高估暗网的规模,甚至认为一切通过搜索引擎访问不到的都属于暗网,其中也包括了企业内网、有密码防护措施的网站(如在线论坛、银行网络和电子邮件平台)等。

走进暗网

根据联邦调查局的统计,全世界只有大约 800 个互联网犯罪论坛,虽然它们的影响力可能很大,不过它们的用户数量相对而言对很少。

2015年通过PunkSpider Web漏洞扫描器对匿名的Tor 网络进行扫描,发现的大约7000个Tor网站中,只有大概2000个站点是活跃的,而且这些活跃的站点并非都是由犯罪分子经营的,那些生活在专制政府的持不同政见者、具有安全意识的机构和公司以及非常关心个人隐私的用户也会使用 Tor 、Freenet和吴克俭的互联网项目或 I2P。

“贩卖人口、毒品交易以及类似这种事情,占据了暗网中交易市场的很大一部分”。暗网俨然已经成为网上非法交易的重要场所,对于某些机构和企业而言,他们会利用暗网来收集更多的情报数据。 例如Sonatype是一家软件供应链管理公司,核心资产是 120多万个开源数据包,一旦这些数据被泄漏,对公司的打击是致命的,所以 Sonatype 对网络上的信息严密监控以便于及时感应到敏感数据泄漏或共享问题,监控的对象就包括暗网。

对暗网保持关注的企业的信息安全专业人士,并非对暗网中所有的违法犯罪站点都感兴趣。Trend Micro 曾对暗网中的站点进行过扫描,从中发现了大约8000个可疑站点,其中三分之一的站点与公共网络上恶意软件下载页面相关联,不到三分之一的站点是帮助用户绕过学校、公司或政府过滤的代理网站,四分之一的站点与儿童色情相关,只有不到5%的站点与黑客相关。

趋势科技公司的首席安全官Ed Cabrera提到:“有些站点已经被拿下了,其他的站点也变得越来越细分化和专业化”,在执法部门高调的采取了打击行动之后,很多暗网运营者也加强了他们的安全,“必须通过审查才能进入论坛”。

根据Terbium实验室的调查,暗网中企业网络安全专业人员感兴趣的论坛数量在不断增加,从2015年的几十个,增加到如今的几百个,其中很多都是高度专业的站点。尽管很多人认为公共网络对于暗网而言只是冰山一角,吸引安全研究人员注意的网站数量也在不断增长中,但仍在合理可控的范围之内。

在暗网中建立暗桩

“一个公司可以在一天内建立一个暗网数据挖掘平台,让其成为生产力的一部分”SurfWatch实验室的创始人和首席架构师Jason Polancich说到,“对大多数企业而言,建立一个低成本、高回报的暗网情报运营平台的资源是充沛的,公司内部的IT和专业安全团队就可以完成这项任务”。“很多大型企业,要么已经开始这么做了,要么已经这么做了”。尽管如此,ThreatQuotient公司的Couch认为:“对于大多数公司而言,请第三方来挖掘这些数据,可能更好。从执法的和其他角度考虑,在暗网中进行交易存在很多风险”。

一个更安全、有效的方法是使用专业安全情报厂商提供的检测、索引或告警服务,帮助企业应对暗网中的威胁、保持领先位置。对于企业而言,很难完全禁止有人会把公司的敏感数据、商业计划或软件的漏洞信息在暗网中进行交易,获得监控和报警能力,才能及时采取有效的应对措施。

专业的安全情报厂商会采用专业的工具,帮助客户收集、筛选有用的数据,并且潜入犯罪社区内部以获得更多情报资源。此外,这些专业的安全情报供应商对这类事件有更广泛、更充分的了解,因为他们服务于大量的客户,他们的技术人员专注于挖掘暗网中的数据,随时跟进暗网中的最新动向,解析犯罪市场的变化趋势“这家商店排名上升了、这家商品排名下降了、这家网站改变了他们的网址、这家网站被执法机构掀底了、这个网站的业务分成了多个小站点”,暗网中的一切都是人为操作的(可能更机敏或者说更狡猾),跟现实世界一样都在不停的流动中,“有的时候,一个站点的关闭,只是为了欺骗顾客、骗取虚拟币等”。

和罪犯进行交易,是一件冒险的事。一些暗网中的交易市场会把自己定位为值得信赖的经纪人的角色,提供代管账户的服务以保证商品的交付和付款,他们拥有的用户越多,他们代管的钱财就越多,也许,在某个时候,运营商看着自己的银行账号,就卷起所有的钱,一走了之了。

切记一句古老的谚语:“There’s no honor among thieves.”(盗贼没有荣誉可言/贼间无道)

与此同时,运营商可能会改头换面,建立一个新的网站从新开始新一轮布局,也可能由其他竞争对手来填补这一空白。

如果一个由1000个用户的市场突然关闭,那么这些用户势必要去其他某个站点。专业的安全情报公司会手工收集这些新兴市场的信息,通过一段时间的观察看看他们与旧站点之间是否由一定的牵引或关联。如果新兴站点得到了牵引并开始呈现增长趋势,安全人员会使用自动化的工具,开始对其进行挖掘。一旦熟悉了这套流程,依次做过10次、15次、100次甚至更多次之后,安全情报人员就会知道如何从自动化的角度、流量分析的角度来看待和分析问题,工作效率会更高。

某家安全情报公司花费两年的时间,开发了一款使用自然语言处理情报数据的工具,并将分析报告及时提供给客户。“例如,我们看到暗网中在流传一家公司的用户账户和密码,这些数据被多人购买,然后你就能看到针对该公司发生了一系列的攻击”。这只是一种经过刻意简化的描述,实际上要完成一份专业的安全情报分析报告,需要的专业的人员、全面的数据收集和精准的分析能力,无疑是一项复杂的工作。

“越快的发现数据泄漏,反应就能越及时,受到的破快就越少”

公司可以利用安全情报公司的搜索和分析能力,及时获取到与企业相关的数据泄漏。比如,如果扫描显示结果数据发布在合法的站点上,企业就可以请求将这些数据撤销;如果涉及银行卡/信用卡号码、用户账户密码等信息,在被犯罪份子利用之前,企业可以主动采取防范措施;如果被检测到公司资产存在一些安全漏洞,企业可以尽快的关闭漏洞,以避免造成更大的损害。

企业还可以通过建立基础指纹库的方式来监控已经部署的硬件和软件的安全情况,在暗网中检索新的系统漏洞、公司和员工的账户信息、IP地址或邮箱地址信息。

不得不说,上面提到的检测方法,实施起来变得越来越困难,因为犯罪份子花费了更大的精力和智力用以掩盖自己的行踪,试图尽可能的逃避检测。犯罪分子们也都渐渐明白了,几乎所有的大公司都以某种方式(凭借自己和/或第三方供应商)在暗网中进行数据挖掘。Recorded Future的高级总监Andrei Barysevich提到:“现在,我们极少能够看到真正公开的、有价值的信息了”。

取而代之的,犯罪分子更倾向于通过一对一的交易建立信任,然后再不断的扩展业务。

安全情报公司的分析师和代理商们深深根植于这些社区,他们从卖家哪里得到直接的信息,卖家会通知他们有哪些信息在出售。

【更多资料】

https://www.reddit.com/r/DNMSuperlist/wiki/superlist

https://dnstats.net

https://www.reddit.com/r/onions/

http://hiddenwikitor.org

https://torhiddenwiki.com

https://grams7enufi7jmdl.onion.to

https://ahmia.fi

知识来源: www.mottoin.com/104099.html

阅读:166630 | 评论:0 | 标签:安全报告 AlphaBay 情报站 暗网

想收藏或者和大家分享这篇好文章→复制链接地址

“暗网系列之“好公司更需要一个暗网中的情报站””共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云