在暗网——互联网的隐蔽空间中可以找到许多东西,从敏感的被盗数据到出售的攻击工具,暗网对企业来说是一座充满风险的宝库。以下是浏览暗网时需要了解和安全访问的10件事。
暗网指的是搜索引擎未索引的网页。在匿名的掩护下,网络犯罪分子和威胁行为者可以操作,出售各种工具和服务,用于对组织造成严重破坏。对于首席信息安全官(CISO)来说,有很多需要掌握的东西,以下是浏览暗网时需要了解的10个要点。
一、每天都会涌现新的暗网服务
根据康卡斯特商务的网络安全专家伊万·谢弗林(Ivan Shefrin)的说法,暗网上的网络犯罪服务的种类和数量不断增加。这包括僵尸网络、易于部署的商品、被窃取的凭证、简单的漏洞以及复杂的漏洞,例如对特权系统(如Active Directory)的访问和未公开的零日漏洞利用。
由于僵尸网络价格便宜且易于使用,因此它们继续是暗网上最常见的网络犯罪商品之一。谢弗林说:“这些大规模的感染计算机和物联网设备的网络可以用于各种恶意网络活动,包括分布式拒绝服务(DDoS)攻击、电子商务点击欺诈、勒索软件和加密货币挖矿。由于现在相对容易将僵尸网络用于不同类型的攻击方式,这导致了僵尸网络的黑市的形成。”
被窃取的凭证已经取代了漏洞作为获得对内部环境的初始访问的最常见方法,这影响了暗网上的需求。谢弗林说:“最受欢迎的是用于远程桌面访问的有效凭证,这在COVID-19大流行期间大幅增加。暗网是每个人获得对受害者网络初始访问的首选来源。”
二、有些领域只能通过邀请进入
暗网上存在一个用于销售针对企业系统漏洞和攻击的整个生态系统,其中许多是仅限邀请的,这是经验丰富的暗网研究员和Searchlight Cyber首席技术官加雷斯·奥温森(Gareth Owenson)的说法。
运作方式是,犯罪分子对客户和目标网络进行一些侦察,了解他们使用的系统和网络,然后前往暗网。当他们找到与那些特定系统相关的漏洞时,他们会付出一定价格以获得针对这些漏洞的攻击工具。
存在一种供应链,用于设计针对企业网络的攻击,犯罪分子将从其他行为者(其中一些是个人,其他是严格组织的犯罪团伙)那里购买不同的服务和技术产品。奥温森说:“攻击背后的行为者可能不会直接访问组织的网络,他们可能会支付其他人来执行,因为那个人已经在暗网上购买了针对漏洞的攻击工具,以获取访问权限。”
根据WatchGuard Technologies的入侵分析师Ryan Estes的说法,要获得对仅限邀请的论坛的访问,通常最常见的方法是认识合适的人或付费获得访问权限。他说:“您还可以与这些小组或论坛的成员建立信任,但这通常是执法人员卧底操作的内容。”
Blackbird AI的情报分析师Rennie Westcott说,通常通过第三方数据提供商来访问仅限邀请的地方。她说:“大多数组织不会容忍员工访问仅限邀请的深层暗网论坛。”
然而,具有高风险容忍度的组织中的经验丰富专业人员当然可以通过搜索深层网论坛来获取诸如暴露的凭证和与其组织安全基础设施相关的TTP等信息。她补充说:“研究人员通常会创建适合访问的网站的假身份 – 这是语言技能和能够融入边缘社区的能力至关重要。”
三、暗网存在一些不良内容,执法行动导致难以信任
执法机构可能会渗透到这些组织中,搜集足够的细节来识别运营该网站的组织或组织成员可能犯错,并在现实世界中发布他们的电子邮箱地址,从而被识别和逮捕。
然而,执法机构在打击这些组织时面临的挑战之一是,它们不断更换其基础架构。最近的一次执法行动看到对许多服务器的协同关闭,因为如果他们遗漏一个服务器,整个系统仍会继续运行,欧文森说:“因此,如果所有执法机关都追捕一个服务器,他们在世界各地都会有服务器自动填充和替代那些被关闭的服务器。”
许多国家的执法机构,包括澳大利亚联邦警察(AFP),通过先进的技术手段、有针对性的行动以及新的执法权力(例如网络活动和数据中断令)积极监管暗网。他们的目标是打击非法出售个人数据、恶意软件和网络犯罪工具的开发和销售,以及“网络犯罪即服务”。AFP的一位发言人表示:“目标是在国内外合作执法行动的框架下,确定、打击和起诉国内的网络犯罪分子。”
发言人表示:“联合国内和国际执法行动已经导致大规模逮捕和非法资产的查封和没收,增强了澳大利亚互联网环境的安全和保障。”
一些重大行动包括关闭了“Genesis Market”,该市场提供了被窃取的凭证和受感染设备的访问权限,以及关闭了“DarkMarket”,该市场拥有近50万名用户、2400多名卖家和超过32万笔交易。
执法机构还需要建立专门的任务队来监视和减少对敏感和个人可识别信息(PII)的滥用,例如“Guardian行动”,该行动是与各州和领土警察以及澳大利亚网络安全中心合作成立的,以应对发生在Optus、Medibank和Latitude等澳大利亚重大安全漏洞后的事件。发言人表示:“Guardian行动致力于打击犯罪行为,包括在暗网上潜在出售PII的行为,并追究责任。”
四、暗网上有很多东西出售
也许不是所有东西,但几乎所有非法和违法商品都可以在暗网上找到,包括毒品、枪支和毒药,以及漏洞、漏洞利用、访问权限、工具、技术和被盗的数据都是在暗网上出售的商品。
据未来市场研究高级研究分析员尼尔米特·比斯瓦斯(Nirmit Biswas)说,数据是暗网上出售最常见的商品。他说:“帐户凭证、信用卡信息、地址和社会保障号码都曾被黑客攻破。有些人甚至可能没有意识到他们的帐户被黑客攻破,但他们的公司和员工信息可能已经被出售。”根据Privacy Affairs暗网价格指数,攻击者可以从被窃取的个人信息中获得大量利润,包括信用卡和Netflix账户的信息。目前,具有高达1000美元余额的被窃取信用卡信息的市场价格仅为70美元,而具有高达5000美元余额的信用卡价格为110美元。Biswas说:“该指数显示了在暗网上获取数据的成本是多么便宜。”
五、暗网里存在特定领域
如市场研究未来的高级研究分析师尼尔米特·比斯瓦斯所说,原本是互联网上一个小而不知名的领域已经发展成为一个强大的力量,攻击者正在不断创新以领先于防御者的“猫鼠游戏”。暗网的一个增长兴趣领域是勒索软件攻击,这正在推动暗网上的犯罪活动。
网络犯罪团体将发布被窃取的数据,如果不支付赎金,他们还会让其他犯罪分子更容易地搜索该数据以获取员工和客户的电子邮件。这旨在增加对组织的声誉损害,从而增加他们支付赎金的可能性。
Biswas说:“因为勒索软件素材非常受欢迎,黑客们会从勒索软件集合和僵尸网络日志文件中获取照片,然后发布它们,以增加他们的声誉和知名度。”许多市场卖家还提供零日漏洞利用,这些漏洞尚未被发现或公开。他说:“在其他情况下,当公司披露软件漏洞时,操作性漏洞就会在暗网论坛和市场上提供。”
另一个增长领域是市场引导数据库,尽管这些数据库在暗网上一直都有,但近年来其数量大幅增加。尽管这些数据可能是在社交媒体或商业目录上公开可用的,但它们被抓取并重新发布。而且它们甚至可能不是100%准确。他说:“但它仍然使大量个人面临网络钓鱼欺诈、公司欺诈和社会工程攻击的风险。”
数据泄漏的标准化变得越来越普遍,Blackbird AI的情报分析师Sarah Boutboul解释说,这有助于恶意行为者更有针对性地搜索他们在暗网上寻找的特定信息。这意味着在黑客论坛、聊天应用程序和粘贴站点中,数据泄漏活动变得更有组织。Boutboul说:“威胁行为者越来越多地要求和分享符合特定类别的数据,从而导致了非法数据交易的更有组织化的格局。”
六、您可以在暗网上购买,从而进入更多的暗网
不出所料,暗网也出售设置另一个暗网所需的技术工具和信息。BlackFog的威胁情报副总裁道格拉斯·卢班(Douglas Lubhan)说:“已经有很多暗网存在。”他说:“基本上,任何不对互联网搜索引擎进行搜索并限制访问的网络都是暗网。如果您愿意的话,您可以将一个层叠在另一个上面。”
七、暗网的使用正在增加
根据Tor度量数据,2023年传输中继的用户数量和传输中继的数量都有所增加,这表明暗网的使用正在上升。
WatchGuard的Estes说,一些众所周知的论坛提供漏洞和漏洞利用的拍卖、易货或销售,其中包括俄罗斯匿名市场(RAMP)、Exploit.in和Xss.is。
Estes说,这些论坛也是勒索软件团伙招募的途径,还提供出售黑客技巧。他说:“在某些情况下,用户会出售组织的访问信息,这被称为初始访问代理(IABs)。暗网是一个混杂的网络犯罪商业。”新的域名也在不断涌现。“我们每个月观察到几个新的双重勒索页面,有时这些是以前已知的勒索软件组的重新品牌。因此,随着一些网站关闭,其他网站会涌现(重新品牌)。暗网域名的数量一直保持不变,尽管最近的总体流量增加了。”Estes说。
八、暗网有很多使用是合法的
Estes认为,使用像Tor这样的匿名工具是有正当目的的。在某些情况下,一些组织会同时创建明网和暗网域名。Estes引用了FBI和X(前身为Twitter)作为两个例子,他说:“这样做的最明显的原因是允许不能访问这些网站(国家拦截原因)的用户使用Tor访问他们的网站。”
在恶意站点方面,曾经有一些勒索软件团伙创建了一个拼写错误的域名或暗网域名,与受害者的网站相似。“然后他们提供指示或更多的勒索尝试,以进一步迫使受害者付款。ALPHV/BlackCat和Lorenz就是这些的例子,”Estes说。
像Tor这样的匿名技术的正当使用包括,当记者、活动家和其他人需要匿名托管内容并保护其通信免受政府或压迫政权的干扰时。Owenson承认,Tor在隐私和绕过审查方面有正当用途,但他的研究表明,绝大多数活动都具有犯罪性质。
Owenson认为问题在于那些运行Tor网络的人,尽管容纳了非法活动,但由于其对匿名的意识形态承诺,他们不积极管理站点。“他们曾表示,他们不感兴趣对暗网的任何部分进行审查。”
九、暗网仍在模仿企业世界
暗网在各个领域,如黑客、招聘和技术服务方面越来越像企业。网络犯罪分子会创建类似的移动应用程序、网站和高管和公司社交媒体资料,看起来与真实情况完全相同。
Blackbird AI的Boutboul说:“它可能是一个看起来像您的银行但实际上不是的银行应用程序。如果您下载它或访问一个站点并提交您的用户名和密码,您将受到影响。如果是一个假的社交媒体资料,网络犯罪分子可能会分享操纵的信息,从而影响公司的品牌和股价。”
此外,由于执法行动的加剧,暗网论坛采用了类似企业的更严格的访问控制。Boutboul说:“管理员会仔细审查新来者,要求提供引荐和验证令牌。一些平台要求提前支付大量加密货币。”Boutboul说:“网络犯罪分子正在响应执法活动的增加,加强他们自己的安全措施。”
十、企业如何应对暗网带来的威胁
有一系列工具和服务可以扫描暗网,寻找企业的威胁和漏洞,但这是一个不断变化的目标。Biswas说:“暗网监视是一个不断变化的领域,需要不断更新和调整以保持成功。”
有效的暗网监控系统应该在不必进入暗网的情况下为企业提供对暗网的广泛视野。他说:“这可以防止管理员用户置身于危险中,或暴露于煽动性内容。解决方案应突出显示与您的企业相关的关键字。然后,您可以观察威胁的演变,以做出相应的反应。”
Biswas说:“没有适用于所有用例的暗网监控解决方案;有些是完全自动化的,有些需要专家团队来管理,有些依赖机器学习和人工智能提供准确和相关的信息。”
本文是关于如何应对暗网威胁以及访问暗网的一些重要事项。希望这些信息对您有所帮助。如果您有任何其他问题,欢迎提出。