深渊探秘:暗网价值利用之威胁情报

深渊探秘:暗网价值利用之威胁情报

一.概览

近些年来,关于暗网(Dark Web)的传说有很多:小到枪支毒品、色情交易,大到人口贩卖、买凶杀人,这样一个暗黑版的“淘宝市场”无疑成为了网络犯罪分子聚集的“虎狼之穴”。

深渊探秘:暗网价值利用之威胁情报

暗网可以大致分为三个等级:

浅层网:通过特定浏览器(最常使用的是Tor浏览器)就能进入,这里的内容一般为黄赌毒和一些重口味的信息。著名的丝绸之路就位于浅层网。

中层网:这里就不是普通用户可以进入的了,一般只有通过特定的方式或被邀请才能进入,其间活跃的多为邪恶势力,如恐怖分子、黑客组织。

深层网:极少有人能够进入探索过,据说隐藏了一些见不得光的政府机密文件。

无论是哪一层暗网,都需要一定的技术手段才能访问,显然并不像浏览日常的明网那样方便。

暗网中存在成千上万个网站以及海量的信息,这些都符合“大数据”的概念。这些数据通常是完全加密的,被黑客用来进行非法活动。但若能进入暗网,获取其中的有效信息,那么这些数据都是可以为我所用的。虽然这些数据难以处理,但是这些数据中所蕴含的信息可能会揭示更大的真相,也可能带来更大的价值。无论是个人企业,还是国家政府,都可以尽可能得采取主动措施,有针对性的改善整体网络防御能力,甚至用于目标进攻。

深渊探秘:暗网价值利用之威胁情报

二.对暗网认知的常见误区

并非100%匿名

使用 Tor 浏览器访问暗网的确难以追踪,但并非完全无法实现。执法部门会监控Tor浏览器的下载情况,甚至在必要的情况下亲自创建暗网网站来吸引犯罪分子。所以说,在暗网中也并非是完全隐身的。

美国联邦调查局已投入资源开发可以危害服务器的恶意软件,来确定Tor的某些用户。据报道,自2002年以来,美国联邦调查局一直在使用“计算机和互联网协议地址验证器(CIPAV)”来“识别使用代理服务器或Tor等匿名服务伪装其位置的嫌疑人,包括黑客、在线性侵犯者、勒索者和犯罪者”。据报道,执法部门还在与一些公司合作开发额外的技术,以调查犯罪行为,并在黑暗网络上识别受害者。

暗网的价值取决于使用目的

关于暗网,常常与血腥、暴力等词联系在一起。的确,这样的内容大量充斥在暗网论坛、市场上,但暗网中并非100%全是犯罪行为,浏览暗网的用户也并非都是违法犯罪分子,有的也与你我一样,只是出于好奇罢了。

在一些国家,上网行为会受到限制,有些人为了避免审查,就在暗网中传播并分享一些可能敏感的信息;一些记者通过暗网来保护或存储信息来源。据说“纽约时报”甚至还有一个安全保险箱用于存储爆料者提供的信息或其他新闻源;一些需要政府保护的异见人士会通过暗网与外界交流;有调查还发现,甚至有些学者会在暗网中详细记录自己的学术研究成果……

三.暗网资源对威胁情报的价值

深渊探秘:暗网价值利用之威胁情报

由于暗网中充斥着大量隐秘的信息,包含最新的恶意软件、新黑客攻击技术以及犯罪分子动向,因此这里也成为了安全研究人员寻找威胁情报的新阵地。毫无疑问,关注暗网动态,搜集攻击者从策划攻击到实施攻击后的一系列行为,将搜集到的信息转化成智能化威胁情报,有助于研究人员在攻击发生之前预测攻击者的意图和行为。

例如,医疗机构可以借助暗网识别被盗的病人记录;金融机构可以分析被窃取的付款信息以并减轻未来潜在的欺诈指控。

在之前一个案例中,某跨国软件公司通过暗网消息成功阻止尚未发布的企业软件的高度敏感源代码出售。经过调查,发现犯罪分子竟然就是该公司内部人员。他偷窃了代码,并试图以5万美元的价格在地下市场出售。

在另一起案件中,一名东欧的网络犯罪分子渗透了一项政府资源系统,试图将他查明的漏洞卖给敌对国家的威胁行为者。执法机构再一次通过暗网监控确认了这一犯罪事实,并及时阻止了交易。

从以上案例可以看出,如果组织机构被入侵,敏感信息被盗,那么在攻击发生之前,它很有可能已经出现在暗网市场上了。这样,就给受害者提供了宝贵的应急反应事件,能够尽可能挽回损失。这些信息是安全团队下一步行动的基础,也是制定网络安全投入的依据。相关威胁行为的当前目标,以及被利用的具体漏洞,都可以通过分析而从这些信息中获得。

1.发现漏洞

从暗网市场收集来的情报有可能揭示安全防御中容易忽略的未知漏洞。这一信息有助于优化网络安全程序,确定各安全要素的优先级。举例来说,如果有10个安全补丁要打,了解到其中一个漏洞正是当下黑客们利用的热点,那这一信息就可能帮助我们预防一次安全事故。除了自身的漏洞,暗网信息也可被用于调查分析同一行业内的其他受害者。结合自身实际情况,提前做好预防,在漏洞被利用时,避免成为下一个受害者。

2.掌握犯罪分子动向

前文提到过暗网上也并非100%匿名,网络犯罪分子也会留下蛛丝马迹。这些线索包括他们的行为模式、动机、尝试过的攻击方式等。通过分析这些信息,就能更好地评估自身当前的安全态势,基于活跃威胁的相关性采取主动调整。

四.暗网情报与企业

脚本小子们可以利用常见漏洞发动简单攻击,而大型企业的重大安全事件是精心策划和执行的,这样一些策划通常会在互联网上留下痕迹。成立于2015年的以色列网络安全公司IntSights曾就金融服务行业遭受攻击做过相应的调查研究,结果发现暗网上出售的相关产品增长与真实攻击增长吻合。

该公司分析了暗网上出售的两类数据:市场上出售的公司或消费者数据和钓鱼邮件目标清单。发现2017年上半年每家美国银行平均遭遇207次攻击,截止到2018年前六个月,该数量已增长至520,增长了151%。这些数字和暗网黑市的情况类似:出售的金融数据实例年增长率达到135%、钓鱼目标清单上的企业邮件地址数量增长91%、企业凭证泄露次数增长40%,而被盗银行卡信息数量增长149%。基于这种分析,IntSights 公司发现金融组织机构是遭受攻击最多的行业。现实也与这一分析结果吻合,NIC 亚洲银行于2017年11月被盗440万美元、远东银行于2017年10月被盗6000万美元、俄罗斯后苏联银行被盗1亿美元。

深渊探秘:暗网价值利用之威胁情报

案例一:酒店集团数据被盗

2018年8月28日,国内第一家多品牌酒店集团、全球酒店20强企业——华住集团发生了骇人听闻的数据泄露事件。在暗网中文论坛上,发帖人宣称出售华住旗下所有酒店数据,包括知名的汉庭、桔子等连锁酒店。数据量高达141.5G,约4.93亿条数据,内容主要包括三大类:用户在华住官网注册所用的真实姓名、手机号、邮箱、账号密码;入住酒店的时间、登记身份证、家庭住址等;在华住集团旗下酒店的开放记录及消费内容、金额等。

发帖人称,这一庞大的数据库脱库时间为2018年8月14日,以8个比特币的价格打包出售,折合人民币约37万(即时汇率)。由于警方及时掌握了并利用暗网消息,最终再犯罪嫌疑人得逞之前就将其抓获。

深渊探秘:暗网价值利用之威胁情报

案例二:快递公司数据被盗

2018年6月19日,有人在暗网以1个比特币的价格公开出售某快递公司近10亿条数据。这份数据并不是最新的数据,而是2014年以前的数据,被售卖的数据包含寄件人和收件人的姓名、电话、地址等快递必有的基本详细信息。

而在之后不久,也就是7月18日,另一家快递公司近3亿条信息在暗网以2个比特币的价格出售。这些数据为快递物流的详细信息,包含收寄件人的姓名、地址和电话等。虽然实际的验货数据只给出6万余条,但经过验证,这些信息基本上真实有效。

五.暗网情报与政府

对于政府机构来说,暗网数据中蕴藏的信息则显得更有价值。暗网是一些犯罪分子用来传播犯罪信息、进行犯罪活动的“天堂”。通过更先进的数据挖掘技术,执法部门、安全机构可以利用这些信息提取情报,提前发现犯罪活动。这对于防止意图瘫痪国家重大经济项目的恶意网络攻击来说非常有用。

在2018年平昌冬奥会和2016年里约奥运会期间,日本相关机构曾受到网络攻击。日本警视厅担忧2020年东京奥运会和残奥会也会出现类似事态,将力争强化安全防范。为保护拥有重要基建项目与最尖端技术的企业免受网络攻击,日本警视厅打算通过暗网预先获取对企业的攻击或系统脆弱性相关的威胁信息并采取对策。

深渊探秘:暗网价值利用之威胁情报

据警察厅称,2018年夏天已与东京的信息安全相关公司签订了业务合同,着手收集威胁信息。信息安全相关公司在暗网上调查黑客互通信息的“黑客论坛”等,一旦发现威胁信息就通报警察厅。据悉已有警方对所提供信息进行分析后提醒基建企业等有关方面加以注意的事例。

虽然分析暗网数据难度很大,但是这样做的意义无疑非常重要。之前这些数据只是由政府安全机构和IT技术爱好者发掘和分析。然而,大数据技术正在成为很多企业用来获得竞争优势的重要手段,如果将暗网数据利用起来,竞争优势会更加明显。随着暗网数据被越来越多的人接触后,暗网会变得越来越透明,暗网数据可以被开发利用的程度也会越来越高。

反恐方面

暗网情报对支持反恐预警、控制恐怖舆论传播、为涉恐案件侦查提供线索及证据、指导反恐行动资源优化配置等方面具有重要意义。

恐怖分子为了隐蔽的进行恐怖活动,利用互联网的隐蔽、普及等特性,隐身其中,将网络开辟为其“第二战场”。为了有效利用网络进行反恐,许多国家政府建立了网络反恐体系。网络反恐不仅指防范恐怖分子对网络发动的恐怖袭击,而且还指阻止恐怖分子对网络的利用,以网络为战场反击恐怖主义。2014年6月,当伊拉克政府阻止Twitter和Facebook作为其应对日益增长的ISIS情况的一部分时,该国的Tor使用量激增。

暗网的隐蔽性和数据的庞大且复杂,决定了其作为反恐情报的巨大价值却难以轻易获取的特性,功能强大的分析软件和“特殊”搜索引擎的开发便成为了各国反恐研究领域关注的焦点。

Memex源于美国国防部高级研究项目局(DAPRA)于2015年4月正式宣布开发的Memex项目。该软件是一款以打击恐怖主义犯罪为目的而研发的暗网搜索引擎,基于开源数字可视化搜素和分析技术,能够按照用户的要求对相关内容进行抓取,并进行复杂的计算和数据分析,从而有效识别在线数据中的模式和关系,捕获隐藏在暗网中的网站。能够辅助执法人员跟踪非法活动,并迅速对嫌犯实施抓捕。

深渊探秘:暗网价值利用之威胁情报

我国百度公司启动的“阿拉丁计划”,旨在开发一款能够自动对暗网数据进行深度检测的搜索引擎,目前已取得重大突破。沃民高新科技(北京)公司自主研发的暗网数据实时检测与智能分析系统,能够获取暗网数据,对恐怖事件进行跟踪溯源、分析和预警。

随着暗网逐渐成为恐怖组织和极端分子宣传仇恨、暴力的工具及其快速、匿名的交流方式,暗网恐怖主义已成为国家政治稳定、经济安全、社会安定的重大威胁,因此如何利用暗网来进行反恐情报信息分析是未来研究的重点。

执法方面

正如犯罪分子可以利用暗网的匿名性一样,执法部门也可以。执法部门可以利用这一点进行在线监视和诱捕行动,跟踪匿名线索。尽管个人可能进行匿名行动,但一些人猜测,执法部门仍可以通过某种方式追踪恶意活动。

除了开发技术渗透和消除Tor等服务的匿名性之外,执法部门还可以依靠更传统的打击犯罪技术,比如说执法部门可以利用犯罪分子的错误或技术上的缺陷来打击他们。例如,2013年,美国联邦调查局关闭了当时暗网上最大的黑市——丝绸之路(Silk Road)。据报道,网站运营商的“失策”导致了网站的灭亡。联邦特工发现了用于丝绸之路网站代码中的弱点,并利用这些弱点侵入服务器,迫使它们暴露其独特的识别地址。

在联邦特工解散丝绸之路不到一个月后,另一个网站(丝绸之路2.0)上线。在发现网站所有者犯了严重错误—-使用个人电子邮件地址注册服务器之后,联邦特工又一次关闭了丝绸之路。虽然执法部门的目标可能是从技术上击败在暗网中活跃的犯罪分子,但执法部门还可以要求收集用户身份信息的实体组织提供信息。2015年3月,联邦调查人员“向Reddit发出传票,要求该网站交出r/darknetmarkets论坛(一个匿名在线销售毒品、武器、被盗金融数据和其他违禁品的论坛)的5名用户的个人数据集”。

六.结论

从暗网中收集的威胁情报不仅可以提供有关威胁的信息,还可以揭示这些攻击背后的动机、使用的TTPs、使用的攻击载体等等。尽早识别漏洞、主动监控针对不同目标的威胁也很重要。

将暗网做为威胁情报来源有很多好处,但挑战来自于如何在暗网中找到可信的情报来源。暗网的每一个角落都有可能存在威胁情报,从这些受到高度保护的地下犯罪论坛和市场中提取有效信息、消除误报就是目前面临的挑战。暗网没有地域限制,也就是说一个暗网站点可以出现全球任何角落。因此不同的暗网市场或论坛使用着不同的语言,有时甚至用方言,这使得我们很难理解真正的威胁和目标,即使现在机器翻译水平越来越高。

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/sole/view/134088.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code