北京2020年6月11日 /美通社/ -- 雖然公共安全措施已經逐步放松,但是伴隨新冠病毒大流行而來的惡意軟件激增仍然是網絡安全新聞的頭條。正如最近的一項研究[1]指出的那樣,黑客已經創建了不少于13萬個與COVID-19相關的新電子郵件域名,以實施分析人員現在所說的fearware攻擊。這些域名和已發現攻擊中的很多域名都與同一來源相關:暗網。
從銷售疫苗和假藥到簡單地散布恐慌,暗網已成為許多與新冠病毒大流行相關威脅的“宿主”。然而這些攻擊只是暗網常規活動的最新變化之一,其它活動包括但不限于特洛伊木馬程序、鍵盤記錄程序、漏洞利用程序、訪問憑據和個人數據、網絡釣魚工具和高級網絡釣魚教程、受保護的知識產權和財務數據和商業秘密、一般系統漏洞及特定零日漏洞、僵尸網絡及其命令和控制服務器、與加密貨幣相關的市場和挖礦業務以及其他惡意軟件,此類活動對企業資產和聲譽將造(zao)成嚴重影響。為(wei)了(le)幫助大眾了(le)解(jie)來自(zi)互聯網的威脅如(ru)何影(ying)響公(gong)司或客戶(hu),天地和興近期發布了(le)如(ru)����下內容(rong),深入分(fen)析了(le)“暗網”的概念及其運(yun)作:
一、 暗網塑造網絡犯罪
什么是暗網?
無論是普通(tong)(tong)的(de)用戶還是安全專(zhuan)家(jia),大多(duo)數人都以(yi)同樣的(de)方式上(shang)網:與幾個流行的(de)網站和(he)(he)聊������天(tian)客戶端捆綁在一起,或者通(tong)(tong)過搜索引擎瀏(liu)覽頁面。這項由傳統(tong�����)瀏(liu)覽器和(he)(he)應用程序完成的(de)活動,幾乎占據了絕大多(duo)數內容。
但(dan)(dan)是,盡管這(zhe)些內容看起(qi)來很(hen)豐富,但(dan)(dan)它只是互聯網所能(neng)提供(gong)內容的(de)(de)一小部(bu)分。根據CSO Online的(de)(de)數據,該(gai)部(bu)分只有(you)4%。剩下的(de)(de)呢?沒(mei)有(you)索引的(de)(de)網站(zhan)、私人(ren)頁面和隱蔽的(d������e)(de)網絡(luo)的(de)(de)巨大集合,這(zhe)些都是常(chang)規搜索引擎無法�������檢測到的(de)(de),具有(you)“深層(ceng)網絡(luo)”的(de)(de)通用名(ming)稱。
深(shen)層網������(wang)絡幾乎(hu)涵蓋(gai)了任何隱(yin)藏在公(gong)眾(zhong)視線之外的(de)東西(xi),包括(kuo)獨(du)家和(he)付費(fei)內(nei)容、私人(ren)存(cun)儲庫、學術期刊(kan)、醫療(liao)記(ji)錄、公(gong)司機密數(shu)據等(deng)等(deng)。從(cong)廣義(yi)上講,即使是(shi)電(dian)子郵件服務器的(de)內(nei)容也是(shi)深(shen)層網(wang)絡的(de)一部分。
然而,深層網絡的某些部分有明顯的不同。如果深網通常是不能通過傳統方式找到的內容,那么暗網就是其中不想被發現的那部分。
黑暗網(wang)絡通過��������(guo)使(shi)用互聯網(wang)作為支持的(de)專用網(wang)絡存(cun)在(zai),但(dan)需要訪問(wen)特(te)定軟件以及其他配置或授權。雖(sui)然(ran)暗網(wang)只是深網(wang)的(de)一小部分,但(dan)據稱它仍然(ran)占整(zheng)個互聯網(wang)的(de)5%左右,并且還占了其惡(e)意活動的(de)大(da)部分。
由(you)于無法直(zhi)接訪問暗網,因此(ci)用������戶需要(yao)使用特殊的(de)軟件,例如(ru)Tor瀏覽(lan)器(qi),I2P或Freenet。Tor,也(ye)稱為(wei)The Onion Router,可能是(shi)訪問暗網的(de)最(zui)著名(ming)方式,因為(wei)它(ta)既用作(zuo)網關又用作(zuo)安(an)全措施(限制(zhi)網站與用戶系(xi)統的(de)交互)。雖然(ran)協議本(ben)身最(zui)初(chu)是(shi)由(you)海軍部門開發(fa)的(de)�������,然(ran)后(hou)才成(cheng)為(wei)開源,但(dan)該項目目前由(you)非政府組織管理。
I2P(Invisible Internet Project)專門(men)致力于允許通過安(an)全協議匿名創建和托管網站(zhan),從而直接促進(jin�������)了(le)暗網的發展。
在這一點上,值得指出的(de)是,許多暗網(wang)絕沒有任何(he)惡意(yi),并且出于安全原(yuan)因(新聞網(wang)站適(shi)用(yong)(yong)于審查猖獗(jue)的(de)國家,私(si)人(ren)聊天室適(shi)�������用(yong)(yong)于受(shou)創(chuang)傷(shang)影響的(de)人(ren)等(deng)等(deng))。同(tong)樣值得注意(yi)的(de)是,諸如(ru)Tor之類的(de)平(ping)臺本身(shen)并不是惡意(yi)軟件,其(qi)技術也(ye)被許多合法(fa)公司(si)所(suo)使用(yong)(yong)。但是,暗網(wang)為(wei)其(qi)用(yong)(yong)戶提供了兩個非常(chang)強(qiang)大的(de)功能,這些功能都很(hen)容(rong)易(yi)被濫(lan)用(yong)(yong)。
這些能力完全是匿名和不可追溯的(de)(de)。不幸的(de)(de)是(shi)(shi),只有在Silk Road(當時(shi)可(ke)能是(shi)(shi)世界上最大的(de)(de)非法�������(fa)在線市場)關(guan)閉之后(hou),他們的(de)(de)危(wei)險才顯現出(chu)來。巨大的(de)(de)Alphabay的(de)(de)關(guan)閉也產生了類(lei)似的(de)(de)連鎖反應,這(zhe)是(shi)(shi)對Silk Road的(de)(de)更全面的(de)(de)后(hou)續行動。
匿名的危險
事實是,眾所周知,暗網上幾乎銷售任何東西。所(suo)有這些都不受網(wang)站所有者(zhe)或政府部門的(de)任何(he)實際控制,并且全部受加密保護。早在2015年,一(�����yi)項研(yan)究就對2700多(duo)個暗網(wang)的(de)內容(rong)進(jin)行了分類,發現不少于57%的(de)網(wang)站托管了非法材料。
顯然,這(zhe)促使(shi)政府采取(qu)了行動(dong)。一些(xie)執法機構已(yi)開(kai)始監視Tor下載,以將(jiang)其與(yu)可疑活動(dong)相關(guan)聯,而(er)其他(ta)機構(例如FBI)則在黑網上(shang)建(jian)立了自己的假非(fei)法網站,以抓獲(huo)違(we�����i)法者。
即使采取了這些措施,暗網的增長也遠沒有停止。實際上,它的流量在COVID-19大流行以及該技術誕生20周年前后增加了。到(dao)2019年,有30%的美國人(ren)會定期(qi)訪問暗(an)網(wang),盡管(guan)大多數不是(shi)出于惡意目的。此外(wai),隨著大型社交網(wang)絡(luo)增加其內容過(guo)濾,以及隨著“表(biao)層網(wang)絡(luo)”上(shang)網(wang)絡(luo)監視的日益普及,暗(an)網(wan�������g)正(zheng)逐漸(jian)成為(wei)某些聲音群體(ti)的意識形態逃避渠道(dao)。
雖然這(zhe)些數字可(k�������e)(ke)以讓事(shi)情(qing)看得(de)更清(qing)楚,但來(lai)自(zi)企業組織和(he)MSSP的許多安全(quan)專(zhuan)家可(ke)(ke)能會(hui)問:“好(hao)吧,但這(zhe)和(he)我的公司(si)有什(shen)么關(guan)系呢?為什(shen)么我要監視暗(an)網?”
基于這些疑問,以下內容將會深入(ru)解析:哪些暗(an)網威脅會直接針對(dui)企(qi)業,以及暗(an����)網可能對(dui)企(qi)業資(zi)產和聲譽造成什么樣(yang�������)的影響。
二、 暗網監控勢在必行
網絡攻擊者的秘密基地
薩里大學Michael McGuires博士(shi)在(zai)2019年的(de)一項名為《走進獲(huo)利(l�������i)的(d�����e)網絡》研究中表示,自2016年以(yi)來,可能損害(hai)企(qi)(qi)業利益的暗(an)網列表(b�������iao)數量增加了20%。實際上,除藥品銷售(shou)之外,所有現(xian)有列表(biao)中有60%可能危害(hai)企(qi)(qi)業。對(dui)于網絡安全社區而(er)言,這確實是一個(ge)嚴(yan)峻的消息。
除了支持不受管制的產品交易外,暗網還為那些希望購買被盜數據的人提供了一個新興市場,這是網絡攻擊者最好的藏身之處之一。這個問題變得如此普遍,以至于現在人們認為75%的漏洞在發布到NVD(美國國家漏洞數據庫)之前都是(shi)在暗網(wang)上披露(lu)的。
然而漏洞(dong)只是冰山(shan)一角(jiao),以(yi)下是隱藏在暗網內的一些危險:
特洛伊木馬程序、鍵盤記錄程序和漏洞利用程序可輕(qing)松出售給任何攻擊者。作為安全專家了解他們(men)的存在是很重要的,這樣才能保護客戶和公(gong)司(si)。�������在某種(zhong)程度(du)上,暗網甚至建(jian)立了一個(ge)專門的市場,只出售“高質量(liang)的漏洞”。
由于已知或未知的數據泄露而導致的訪問憑據和個人數據泄露。即(ji)使到了(le)現在(zai),Equifax漏洞的數據仍然可(ke)以在(za���������i)暗網上(s������hang)找到,而就在(zai)上(shang)個月,一次泄密事件導致60萬個地址以同樣的方式出售(shou)。
網絡釣魚工具和高級網絡釣魚教程,尤其是由于許多黑客團體都將(ji�����ang)暗(an)網用作培訓營(ying)。暗(an)網還是獲(huo)取此類服(fu)務(wu)(包括用于企業間(jian)諜活動(dong)的(de)(de)服(fu)務(wu))的(de)(de)門戶。
受保護的知識產權、財務數據和商業秘密,通常會因數據泄露(lu)事件(jian)而泄露(lu),現在賣(mai)給出價最高的人。
一般的系統漏洞,但也有系統特定漏洞,例如(ru)某些大公(gong)司基礎(chu)設施中的(de)零日漏洞(dong)或漏洞(d����ong����)。
僵尸網絡及其命令和控制服務器也可以托管在暗(an)網中,不(bu)受外部檢查和掃描的影響。
與加密貨幣相關的市場和挖礦業務也在暗網上蓬勃(bo)發展,特別����(bie)是因為(wei)加密貨幣不������受州法(fa)律的(de)監管。這也包(bao)括(kuo)傳播加密劫持軟件。
廣泛的惡意軟件集合,從模仿(fang)合法網站������(zhan)的欺詐相(xiang)關腳本到按需DDoS攻擊或(huo)自(zi)定義惡意軟件。
這(zhe)意(yi)味著,當忙于處(chu)理(li)來(lai)自常規來(lai)源的無數警報和潛在(zai)攻擊時(shi),可能(neng)會在(zai)暗網(wang)中開發(fa)出未檢測到���(�����dao)的新惡意(yi)軟件,從而可以對基(ji)礎設施使用零日漏洞。更糟糕的是,過(guo)去可能(neng)曾(ceng)發(fa)生過(guo)數據泄露的情況,而無法(fa)知道(dao)是否有人已經在(zai)暗網(wang)上使用了這(zhe)些數據。
暗網威(wei)(wei)脅(xie)可(ke)能會(hui)威(wei)(wei)脅(xie)到企業的(de)基礎設施、數據(ju)和運營,也可(ke)能威(wei)(wei)脅(xie)到品���牌聲(sheng)譽。這(zhe)就是(shi)為什么監控是(shi)必不可(ke)少的(de)。
暗網監控的力量
企業需(xu)要(yao)專門(men)的軟(ruan)件來(lai)密切關(guan)注暗(an)(an)(an)網(wa����ng)的動(dong)態,同(tong)時(shi)還(huan)需(xu)要(yao)嚴謹的內部知(zhi)識(shi)。越(yue)(yue)來(lai)越(yue)(yue)多的威(wei)脅(xie)情報服務(wu)提供了暗(an)(an)(an)網(wang)監視功能,使安(an)全(quan)團隊可以完(wan)全(quan)了解暗(an)(an)(an)網(wang)情況并為此做好準備,而不必(b�������i)自(zi)己去尋(xun)找隱藏(zang)的網(wang)站。暗(an)(an)(an)網(wang)監控(kong)可以掃描互聯(lian)網(wang)的遠端,尋(xun)找危害的基本(ben)指標,還(huan)可以尋(xun)找即將(jiang)到來(lai)的威(wei)脅(xie)。這種服務(wu)的功能通常包括:
- 搜索公司或客戶的PII(個人身份信息),并在黑暗的網站上報告這些信息的任何痕跡。
- 搜索可能泄漏的公司資產,包括知識產權、訪問憑據(泄露的密碼)和銀行帳戶。
- 搜索與漏洞或潛在攻擊有關的任何提及公司的信息。
- 搜索現有合作伙伴與惡意暗網活動之間的任何連接。
- 提供對最新和最少研究的威脅因素及其方法的廣泛看法。
- 預期針對公司或行業部門的攻擊,或確定潛在的DDoS攻擊的來源。
- 不僅要了解攻擊者的方法,還要了解他們的意圖,并讓安全團隊增強防御能力。
這(zhe)些(xie)技術用于生成易于理(li)解(jie)的(de)威脅情報(bao)反饋、安(an)全(quan)警報(bao)或電子(zi)郵件警報(bao)。加(jia)上強(qiang)大(da)的(de)網(wang)絡安(an)全(quan)套件和數據加(jia)密,它(ta)們可以被證明是對(dui)抗源自(zi)黑暗網(wang)絡的(de)威脅的(de)強(qiang)大(da)盟友(you)。憑(ping)借其(qi)所(suo)有的(de)加(jia)密和保密性(xing),暗網(wang)的(de)安(an)全(quan)性(xing)可以而且已(yi)經受到多次破壞(huai),特別是執(zhi)法(fa)機(ji)構已(yi)經嚴格控制了它(ta)的(de)一些(xie)參與者。此外,使(shi)它(ta)變得安(a���������n)全(quan)的(de)相同技術(加(jia)密連接、無法(fa)追蹤(zong)和無法(fa)索引的(de)網(wang)站)也使(shi)其(qi)變得非常(chang)緩(huan)慢(man)且分散,從而允許合適的(de)工具隨時(shi)收(shou)集有價(jia)值的(de)信息。
參考資源:
