人力情报:深入探索暗网
本文主要探索网络犯罪分子在暗网论坛中的行为方式——他们买卖哪些服务、动机是什么,甚至他们如何相互诈骗。
明网、深网与暗网
威胁情报专业人员将互联网分为三个主要部分:
· 明网——可以通过公共搜索引擎查看的网络资产,包括媒体、博客以及其他网页和网站。
· 深网——搜索引擎未索引的网站和论坛。例如,网络邮件、网上银行、企业内联网、“围墙花园”等。一些黑客论坛存在于深网中,需要凭证才能进入。
· 暗网——需要特定软件才能访问的网络资源。这些资源是匿名且封闭的,包括Telegram 群组和仅限受邀的论坛。暗网包含 Tor、P2P、黑客论坛、犯罪市场等。
据Cato Networks 的首席安全策略师埃泰·莫尔(Etay Maor)表示:“我们看到犯罪分子的沟通和业务开展方式发生了转变,从冰川顶部转移到了底部。底部能提供更高的安全性。”
焦点:什么是Tor?
Tor 是一个基于开源构建的免费网络,允许进行匿名通信。虽然 Tor 最初是由美国海军研究实验室开发的,但它已成为非法活动越来越受欢迎的解决方案。
在明网上进行这些活动可能会导致执法部门的监控,并能够追溯到犯罪分子。但是通过Tor,通信在每一个节点跳转时都会经过三层加密,直到离开网络。监控 Tor 的执法机构看不到犯罪分子的 IP,而只能看到 Tor 的出口节点,这使得追溯到原始犯罪分子变得更加困难。
Tor 通信架构:
埃泰·莫尔补充道:“在 21 世纪初,数字能力的星象排列推动了犯罪活动。首先,暗网出现了。然后,通过 Tor 出现了隐藏和安全的服务。最后,加密货币实现了安全交易。”
暗网上的犯罪服务
以下是过去暗网上提供的一些服务示例。如今,许多此类服务已被取缔。相反,由于其隐私和安全特性,犯罪分子正转向Telegram 消息平台。
示例包括:
· 毒品销售
· 伪造身份服务
· 供应商搜索市场,包括有关钓鱼尝试的警告
犯罪论坛如何管理?在无信任环境中建立信任
攻击者试图利用漏洞并入侵系统以谋取利润。就像任何其他商业生态系统一样,他们使用在线论坛买卖黑客服务。然而,这些论坛需要在成员之间建立信任,尽管它们本身建立在犯罪基础上。
一般来说,此类论坛最初的设计如下:
1.管理员——管理论坛
2.第三方托管——促进成员之间的支付
3.黑名单——解决支付和服务质量等问题的仲裁者
4.论坛支持——各种形式的援助,以鼓励社区参与
5.版主——不同主题的小组负责人
6.已验证供应商——已获担保的供应商,不像一些是诈骗者的供应商
普通论坛成员——该群体的成员。他们在被允许进入论坛之前经过验证,以过滤掉诈骗者、执法机构和其他不相关或有风险的成员。
让我们通过一个用于窃取信息以进行勒索软件攻击的恶意软件示例,来看看攻击的不同阶段在暗网中的表现:
事件发生前阶段:
1. 数据收集——威胁行为者在全球范围内开展信息窃取恶意软件活动,并窃取被入侵的凭证日志和设备指纹。
2. 数据供应商——威胁行为者将数据提供给暗网市场,这些市场专门从事来自受恶意软件感染计算机的凭证和设备指纹交易。
3. 新货源——这些日志在暗网市场上可供购买。一份日志的价格通常从几美元到 20 美元不等。
事件发生阶段:
1. 购买——专门从事初始网络访问的威胁行为者购买这些日志,并渗入网络以提升访问权限。很多时候,购买的信息不仅仅包括凭证。它还包括 Cookie 会话、设备指纹等。这使得可以模仿受害者的行为来规避多因素身份验证(MFA)等安全机制,使攻击更难被检测到。
2. 拍卖——在暗网论坛上对访问权限进行拍卖,由一个技术娴熟的威胁组织购买。 埃泰·莫尔(Etay Maor)指出:“拍卖可以作为竞争进行,也可以作为‘闪电式’进行,这意味着威胁行为者可以无需竞争立即购买。严重的威胁组织,特别是那些有国家支持或大型犯罪团伙支持的组织,可以使用此选项来投资他们的业务。”
3. 勒索——该组织实施攻击,在组织内植入勒索软件并进行勒索。 这条路径突出了犯罪生态系统内的各个专业领域。因此,通过运用威胁数据推动的多层方法可以发出警报,并有可能预防未来的事件。
人力情报(HUMINT)的作用
自动化解决方案对于打击网络犯罪不可或缺,但要全面了解这个领域,也需要人力情报(HUMINT)。这些人是网络犯罪官员,即来自执法机构的人员,他们登录论坛并扮演交易参与者的角色。参与是一门艺术,也必须是“ART”——可操作、可靠且及时。 让我们来看一些网络犯罪官员追踪的论坛示例以及他们的应对方式。 在这个例子中,一名攻击者正在出售虚拟专用网络(VPN)登录信息: 网络犯罪官员会尝试参与并了解这属于哪个 VPN 或客户端。 在另一个例子中,一名攻击者正在向英国的一家 IT 基础设施解决方案和服务提供商出售思杰(Citrix)访问权限。 网络犯罪官员可能会以潜在买家的身份联系,并要求提供样本。由于卖家是从经济角度出发,并且可能经济状况不佳(来自前苏联国家),他们会愿意发送样本以促进销售。
防范网络攻击
暗网作为一个经济生态系统运作,有买家、卖家、供需关系。因此,有效防范网络攻击需要针对攻击的每个阶段采取多层方法,包括事件发生前和整个事件过程中。这种方法包括使用自动化工具以及人力情报(HUMINT)——通过在线与网络犯罪分子接触,模仿他们的操作方式来收集情报的艺术。
文章来源:https://thehackernews.com/2024/07/humint-diving-deep-into-dark-web.html,由网安加社区编译。
![微信咨询 -](javascript:Site.hoverQrCode("//32048438.s21i.faiusr.com/2/ABUIABACGAAglcH4sAYowPzElAYwmgY4nQY.jpg",this,{"tips":"微信扫一扫,添加客服"});){kind=link}