在駭客天堂,網路犯罪的避難所-暗網(Dark Web),企業可以發掘哪些資安情報?

自從執法單位在2013年將Slik Road地下市場關閉之後,深網(Deep Web)的深度與廣度就越來越引人興趣了。這一塊網路有很大程度從大眾眼前消失,這是駭客可以交流、分享惡意程式碼和攻擊手法的地方,並且可以在這裡將網路攻擊中竊來的資料拿來換錢。

根據所收集的資訊,深網(Deep Web)內含藏著驚人的資料量 – 7,500TB,與表層網路的19TB比起來是令人難以置信。因為這些年急劇增加的網路犯罪活動,網際網路的這塊陰暗部分包含了比表層網路還多達550倍以上的公開資料量。趨勢科技經過兩年對深網(Deep Web)的分析,發現了576,000筆不重復網址,收集超過3,800萬筆單獨事件的詳細資料。

雖然深網(Deep Web)稱為駭客活動的天堂,但這並非是它唯一的目的。透過研究深網(Deep Web)、它的使用者類型、所分享的流程和資料,讓企業可以對整體威脅環境有更好的認識 – 而且可以更加充分準備好對抗新出現的安全漏洞和攻擊。

從基礎開始:什麼是深網(Deep Web)

在我們要進一步探討網路的這一塊可以教給我們什麼前,先了解深網(Deep Web)到底是什麼非常重要。多數人是在Ross Ulbricht被捕後才知道了深網(Deep Web),它在Silk Road地下社群所用的名字是Dread Pirate Roberts。趨勢科技指出Ulbricht打造了價值數十億美元的數位市場,裡面充斥著洗錢和非法毒品。因為這些活動,Ulbricht被控販毒和電腦駭客等犯罪行為,被判了兩個無期徒刑。

這個吸引人的故事造成許多人對深網(Deep Web)的深切關注,許多個人和企業都盡可能地從網路這一塊無法用傳統方法存取的地方學習。如同趨勢科技在“水面之下:探索深網(Deep Web)”所指出,深網(Deep Web)或有時也被稱為暗網(Dark Web),一開始的建立目的是提供使用者免於審查,可以自由發言的安全空間,它最終成為網路犯罪的避難所。

DARK web, deep web

“深網(Deep Web)擁有超過20萬個網站,5,500億筆文件。”

 

槍支僱用契約駭客甚至殺手….深網 (Deep Web) 內還有什麼? Continue reading “在駭客天堂,網路犯罪的避難所-暗網(Dark Web),企業可以發掘哪些資安情報?”

黑吃黑:黑暗網路(Dark Web)內的駭客攻擊活動

黑暗網路上那些鮮為人知的網站,經常成為網路犯罪地下集團的溫床。這些架設在 Tor 洋蔥路由器網路上需要透過 Tor 瀏覽器存取的網站,充斥著各式各樣的地下市集販賣著琳瑯滿目的商品,包括:網路貨幣洗錢服務、惡意程式代管平台、盜用或偽造的身分資料。趨勢科技已撰寫過多篇相關的報告,比如「 表面之下:探索深層網路 (Deep Web)」。

然而關於「黑暗網路」(Dark Web) 內部的駭客攻擊活動,卻少有人著墨。這些網站是否也會遭到駭客入侵或是分散式阻斷服務攻擊 (DDoS) 攻擊?黑暗網路內部的攻擊規模和性質又是如何?出乎我們意料,我們發現這些攻擊在黑暗網路當中還算相當頻繁,而且駭客經常是手動進行這類攻擊,其主要目的是要暗中破壞或監視其他網路駭客所經營的服務。

趨勢科技與法國通訊系統研究所 EURECOM 研究員 Onur Catakoglu 以及 Davide Balzarotti 教授合作,發表了一篇名為「黑暗網路對 Tor 犯罪生態體系隱藏式服務的衝擊」(Dark Web Impact on Hidden Services in the Tor-based Criminal Ecosystem),並且在第 32 屆 ACM 應用運算研討會 (Symposium on Applied Computing) 上提出這些議題。最近,我們又在APWG eCrime 2017 電子犯罪研究研討會 (Symposium on Electronic Crime Research) 上發表我們的研究結果。

架設誘捕陷阱來吸引網路犯罪分子

趨勢科技的研究目的是希望深入了解黑暗網路內部的駭客犯罪手法,並且看看網路犯罪集團會不會入侵那些架設在 Tor 網路 (如 .onion 網域) 上的網站與隱藏式服務。尤其,我們很想知道歹徒會不會刻意攻擊和入侵其他犯罪集團或犯罪份子所經營的服務。

為了達成研究目的,趨勢科技架設了多個誘捕陷阱( honeypot)在 Tor 網路上成立一個假的網路犯罪集團。每個陷阱都刻意暴露一個或多個漏洞讓駭客可以入侵。在遭到感染之後,我們會自動蒐集所有記錄檔,並且將環境復原至乾淨的狀態。

我們的誘捕陷阱包含以下幾種:

  1. 一個僅供受邀會員交易的封閉黑市。
  2. 一個專門為黑暗網路提供客製化服務和解決方案的部落格。
  3. 一個僅供註冊會員登入的地下論壇,此外,要成為會員還需要保證人。
  4. 一個存放敏感文件的私人檔案伺服器,提供 FTP 和 SSH 連線。

圖 1:我們架設的假地下論壇 (誘捕陷阱 #3)。 Continue reading “黑吃黑:黑暗網路(Dark Web)內的駭客攻擊活動”

法國網路犯罪論壇防警方臥底, 廣設「羞恥榜」

有別於多數,法國地下市集的服務對象比較偏向小型隨身武器的買家、安樂死/自殺套件、信箱萬能鑰匙、假鈔、偽造收據、偽造車輛登記與檢驗、銀行開戶服務以及駕照點數。

每個論壇/市集都有一個所謂的「羞恥榜」(hall of shame) 來公告一些不誠實和有詐欺行為的成員。法國網路犯罪集團不但要擔心雷厲風行的執法機關,還要擔心論壇/市集當中是否有警方派來臥底的分子假扮系統管理員或成員。

不信任感讓法國地下市場瀰漫著猜忌

圖 1:法國網路犯罪地下市集獨特的一點是所謂的「autoshop」,這是一種由供應商自行經營的小型購物商店。由於 autoshop 在法國非常受歡迎,因此某些網路犯罪集團專門提供 autoshop 架設服務來賺取費用 (如上圖)。
圖 1:法國網路犯罪地下市集獨特的一點是所謂的「autoshop」,這是一種由供應商自行經營的小型購物商店。由於 autoshop 在法國非常受歡迎,因此某些網路犯罪集團專門提供 autoshop 架設服務來賺取費用 (如上圖)。

現在我們知道法國網路犯罪集團絕大多數都在深層網路 (Deep Web) 活動,尤其是在所謂的「黑暗網路」(Dark Web)。不過每隔一陣子,網路犯罪集團就會浮上表層網路 (Surface Web) 刷一下存在感。例如,目前已經消失的網路犯罪市集「當駭客們互駭 – 在法國地下世界上演的戲碼」前一陣子就在 YouTube 上刊登廣告。而巴西北美的地下市集則是利用社群媒體平台來宣傳自己的非法業務。那麼法國有何獨特之處?

若要說法國地下市集有何獨特之處,那就是瀰漫著一股極端謹慎的氛圍。所有論壇/市集的經營者都對新進成員保持戒心。任何有興趣進入論壇/市集的人,都必須先繳交一筆蠻大的會費,甚至要接受一番調查。新進成員獲得的待遇有別於已獲同儕信任的成員。論壇的系統管理員只允許取得一定聲望值的人積極參與活動。會員所從事的網路犯罪交易越成功,其聲望值就越高。

這種瀰漫在市集間的不信任感,也助長了成員之間的猜忌。因此,第三方代管 (Escrow) 服務是確保交易順利進行的必要機制,如同俄羅斯和德國的市集一樣。挺諷刺的是,每個論壇/市集都有一個所謂的「羞恥榜」(hall of shame) 來公告一些不誠實和有詐欺行為的成員。法國網路犯罪集團不但要擔心雷厲風行的執法機關,還要擔心論壇/市集當中是否有警方派來臥底的分子假扮系統管理員或成員。

圖 2:有別於大多數的市集,法國地下市集的服務對象比較偏向小型隨身武器的買家 (如上圖)、安樂死/自殺套件、信箱萬能鑰匙、假鈔、偽造收據、偽造車輛登記與檢驗、銀行開戶服務以及駕照點數。
圖 2:有別於大多數的市集,法國地下市集的服務對象比較偏向小型隨身武器的買家 (如上圖)、安樂死/自殺套件、信箱萬能鑰匙、假鈔、偽造收據、偽造車輛登記與檢驗、銀行開戶服務以及駕照點數。

Continue reading “法國網路犯罪論壇防警方臥底, 廣設「羞恥榜」”

法國黑暗投注站:下注2016歐洲杯

 

跟許多國家一樣,法國有自己的網路犯罪地下市場和論壇,幾乎所有的法國地下網站都放在深層網路(Deep Web),特別是在被稱為「黑暗網路(Dark Web)」的地方 – 也就是說大多數人從來沒有瀏覽過或聽過的網際網路一角。它只能使用特定網路來經由受信任的端點進行連線,黑暗網路所使用的系統包括了TOR 洋蔥路由器、Freenet和Invisible Internet Project。

網路犯罪市場放在黑暗網路並不少見,因為這裡不會出現在搜索引擎上,也讓它們更難被找到,待在黑暗網路可以提供他們的使用者多一層的匿名性。一般來說,這些網站的網址只在惡意分子間互相交流,從未想過要公開發表。

 

黑暗網路出現在YouTube上?

所以可以想見當趨勢科技看到法國最大的黑暗網路市場在2016年7月1日透過YouTube公開宣傳時有多驚訝。(該影片已經因為版權聲明而被下架。)

 

圖1、法國黑暗網路的YouTube影片截圖

Continue reading “法國黑暗投注站:下注2016歐洲杯”

即便只是在黑暗網路(Dark Web)購買一支便宜的iPhone,你也參與了網路犯罪經濟

網路犯罪世界已經在黑暗網路(Dark Web)中找到肥沃而豐饒的新大陸,它的存取性讓客戶群呈現指數性的上升。然而如果你是客戶,你不該抱持任何僥倖的想法,即便只是購買一支便宜的iPhone,你也參與了網路犯罪經濟,並且幫助了網路罪犯洗錢。

 Dark  web 地球 黑暗網路 earth

來看看新作法;就跟舊作法一樣

作者:趨勢科技全球安全研究副總裁Rik Ferguson

黑暗網路(Dark Web)已經被網路犯罪份子當作更安全進行各種交易的市場了。在這裡論壇內的供應商和買家,跟開放網路內的舊式或成熟論壇內的是否一樣,還是有所不同?

網路犯罪已經在未公開但可被公開存取的網路留言板內運作多年。隨著時間過去,這些論壇已經穩步地成為較為封閉的社群,往往需要現有成員介紹或經由某種形式的意圖確認才能進入。這主要是因為成功執法行動所產生的結果,然而,它們仍然是網路犯罪分子的主要活動地點。

其中一個看來幾乎已經完全地遷移到黑暗網路(Dark Web)的地下市場是個實體商品的交易市場;偽鈔、偽造文件、ATM盜錄硬體、武器、毒品或是用偷來的信用卡所買的實體商品。這可能是因為買賣雙方甚至是網站主機的匿名性所產生的吸引力。畢竟,有許多犯罪論壇被執法單位成功地滲入而揭露出了數名成員。也有可能是因為網站的形式,它並不是論壇的架構,而是網路商店的形式,讓它的實體商品買賣更加有吸引力。不管是什麼原因,結果就是它讓一個完全的新手可以去逛黑暗網路內的地下犯罪貨物大街,只要花上一點時間去將TOR裝起來,而哪裡的東西已經比較少會出現在地下論壇了。當然,那裡還有一個更大的潛在市場提供「便宜」的電子商品,而不只是竊來的身份認證,開放性是做到這些的關鍵。

在另一方面,傳統的地下論壇仍然是用合宜價格來販賣竊取資料的場所,比黑暗網路(Dark Web)內的價格要低得多;被盜的信用卡在黑暗網路的價格平均會比犯罪論壇要貴上40美元。而個人身份資料也會以更大數量的包裝卻更少的價錢來交易。

傳統論壇對於使用電子貨幣的腳步也比較緩慢,長時間以來都堅持使用更傳統的支付服務,像是西聯匯款或封閉式貨幣(如Perfect Money和WebMoney),雖然比特幣也慢慢地在成為那裡所能選擇的貨幣之一。職業罪犯很可能會比較精明地看待比特幣所謂的「不可追踪性」和「匿名性」。比特幣的每一筆交易都會被加到一個公開存取的記錄內,而Bitcoin交易會遵守適當的執法要求來披露資訊。只要在營運安全上有一點點不小心,就可能會因為可追蹤貨幣而暴露了你整個陰暗的過去,如果你沒有小心地使用新地址來進行每一項交易。

總之,網路犯罪世界已經在黑暗網路(Dark Web)中找到肥沃而豐饒的新大陸,它的存取性讓客戶群呈現指數性的上升。然而如果你是客戶,你不該抱持任何僥倖的想法,即便只是購買一支便宜的iPhone,你也參與了網路犯罪經濟,並且幫助了網路罪犯洗錢。

@原文出處:Meet the New School; Same as the Old School