黑暗網路(Dark Web,簡稱暗網)上那些鮮為人知的網站,經常成為網路犯罪地下集團的溫床。這些架設在 Tor 洋蔥路由器網路上需要透過 Tor 瀏覽器存取的網站,充斥著各式各樣的地下市集販賣著琳瑯滿目的商品,包括:網路貨幣洗錢服務、惡意程式代管平台、盜用或偽造的身分資料。趨勢科技已撰寫過多篇相關的報告,比如「 表面之下:探索深層網路 (Deep Web)」。
然而關於「黑暗網路」(Dark Web,簡稱暗網) 內部的駭客攻擊活動,卻少有人著墨。這些網站是否也會遭到駭客入侵或是分散式阻斷服務攻擊 (DDoS) 攻擊?黑暗網路(Dark Web,簡稱暗網)內部的攻擊規模和性質又是如何?出乎我們意料,我們發現這些攻擊在黑暗網路當中還算相當頻繁,而且駭客經常是手動進行這類攻擊,其主要目的是要暗中破壞或監視其他網路駭客所經營的服務。
趨勢科技與法國通訊系統研究所 EURECOM 研究員 Onur Catakoglu 以及 Davide Balzarotti 教授合作,發表了一篇名為「黑暗網路(Dark Web,簡稱暗網)對 Tor 犯罪生態體系隱藏式服務的衝擊」(Dark Web Impact on Hidden Services in the Tor-based Criminal Ecosystem),並且在第 32 屆 ACM 應用運算研討會 (Symposium on Applied Computing) 上提出這些議題。最近,我們又在APWG eCrime 2017 電子犯罪研究研討會 (Symposium on Electronic Crime Research) 上發表我們的研究結果。
架設誘捕陷阱來吸引網路犯罪分子
趨勢科技的研究目的是希望深入了解黑暗網路(Dark Web,簡稱暗網)內部的駭客犯罪手法,並且看看網路犯罪集團會不會入侵那些架設在 Tor 網路 (如 .onion 網域) 上的網站與隱藏式服務。尤其,我們很想知道歹徒會不會刻意攻擊和入侵其他犯罪集團或犯罪份子所經營的服務。
為了達成研究目的,趨勢科技架設了多個誘捕陷阱( honeypot)在 Tor 網路上成立一個假的網路犯罪集團。每個陷阱都刻意暴露一個或多個漏洞讓駭客可以入侵。在遭到感染之後,我們會自動蒐集所有記錄檔,並且將環境復原至乾淨的狀態。
我們的誘捕陷阱包含以下幾種:
- 一個僅供受邀會員交易的封閉黑市。
- 一個專門為黑暗網路(Dark Web,簡稱暗網)提供客製化服務和解決方案的部落格。
- 一個僅供註冊會員登入的地下論壇,此外,要成為會員還需要保證人。
- 一個存放敏感文件的私人檔案伺服器,提供 FTP 和 SSH 連線。
圖 1:我們架設的假地下論壇 (誘捕陷阱 #3)。
圖 2:刻意暴露的漏洞之一 (Local File Inclusion)。
圖 3:我們誘捕帳號所收到的註冊電子郵件。
圖 4:我們的誘捕陷阱架構。含有漏洞的應用程式或伺服器會在一個受到監控的控制環境當中執行。每天,我們的自動化系統會蒐集各種潛在攻擊的相關資訊,然後該環境會利用虛擬技術 (快照) 還原至乾淨的狀態。
表層網路與深層網路
我們的誘捕陷阱運作了大約六個月。下圖顯示平均每天收到的試圖攻擊次數 (POST 請求數量)。
圖 5:誘捕陷阱1 至 3 每日收到的攻擊次數。請注意,在 Tor2web 過濾功能開啟之後攻擊次數銳減。
部署完成之後的兩個月,我們就開始發現,黑暗網路(Dark Web,簡稱暗網)並非如一般人想像的隱密。一些 Tor 代理器 (如 Tor2web) 讓 Tor 上的隱藏式服務變得無須任何特別設定就能從公共網路存取。我們的誘捕陷阱會自動讓傳統搜尋引擎可以搜尋得到,這等於成了自動化漏洞攻擊腳本的目標。因此,我們的誘捕陷阱在五月份每天都會收到 170 次以上的攻擊。
這些來自公共網路的攻擊相當成功。我們的私人市集十次有九次會被入侵成功。這些攻擊大部分都是在伺服器上新增一些網站指令檔 (web shell),如此駭客就能在我們的設施上執行系統指令。也就是說,駭客可新增一些其他檔案,例如網頁郵件程式、放話網頁、網路釣魚套件等等。
駭客所使用的攻擊技巧各有不同,來自公共開放網路的駭客偏愛使用自動化攻擊工具,但來自黑暗網路(Dark Web,簡稱暗網)的駭客則傾向採用手動攻擊,因為他們通常較為謹慎,而且從容不迫。例如,歹徒一旦透過網站指令檔進入了某系統,就能先蒐集伺服器相關的資訊,例如:列出目錄清單、查看資料庫內容、擷取組態與系統檔案。
圖 6:駭客上傳的一個密碼保護的網站指令檔範例,通常用來潛藏在已入侵的系統內。
圖 7: 駭客用來產生 Tor 網路釣魚郵件的郵件程式。
圖 8:我們的誘捕陷阱遭駭之後被植入的 SQL 資料隱碼漏洞掃描工具。
這些從事手動攻擊的駭客通常會刪除其植入我們誘捕陷阱的檔案,但有些會刻意留下一個訊息給我們 (例如「歡迎來到誘捕陷阱!」),表示他們知道這是一個陷阱。
有趣的是,駭客似乎知道黑暗網路(Dark Web,簡稱暗網)上那些遭到入侵的隱藏式服務根本就是一座座的金礦,因為駭客所發動的 DDoS 攻擊或垃圾郵件攻擊會因為 Tor 的關係而無法追查到來源。
駭客彼此互相攻擊
我們所發現的一項重點是:在黑暗網路(Dark Web,簡稱暗網)上做生意的集團似乎也會彼此互相攻擊。我們的誘捕陷阱刻意設計得像一個地下服務網站,例如:VIP 市集以及由不肖個人或機構所經營的論壇。從黑暗網路(Dark Web,簡稱暗網)攻擊我們誘捕陷阱的駭客經常會做以下幾件事:
- 在我們的誘捕網站放話,意圖阻礙我們的生意,或者推銷競爭對手的網站 (或許就是由該駭客所經營)。
- 試圖攔截或監聽進出我們誘捕陷阱的通訊流量。
- 從我們的 FTP 伺服器竊取機密資料。
- 登入我們的 IRC 聊天平台以監聽對話內容。
- 手動攻擊我們用來經營地下論壇的客製化應用程式。
以下就是一些遭駭客攻擊之後的畫面:
圖 9:競爭對手在我們網站上放話的範例。
圖 10:駭客注入一些連結來推銷自己的網站。
圖 11:駭客注入一些連結來推銷自己的網站 (原始碼)。
圖 12:試圖存取私密金鑰的攻擊。
結論
我們沒料到架設在 Tor 網路上的隱藏式服務也會遭到駭客攻擊。顯然我們料想錯了,而且還不只一次。
首先,我們很訝異 Tor 代理器 (Proxy) 會讓黑暗網路(Dark Web,簡稱暗網)其實並不像一般人想像得那麼隱密。因此,我們開始在誘捕陷阱上過濾掉這類流量。
我們以為這樣就可以防止進一步的攻擊,但我們又錯了。我們依然持續遭到攻擊。結果是,有駭客專門在尋找其他競爭對手的服務,然後以手動方式加以攻擊。由於在黑暗網路(Dark Web,簡稱暗網)上並無很方便的搜尋引擎可用,因此,顯然這些犯罪集團投注了相當的人力物力來設法搜尋並破壞競爭對手的網站。
這一點也不令人意外,因為盜賊原本就無道德可言。
以下是本文作者在 APWG eCrime 2017 研討會上演講的投影片:
黑暗網路(Dark Web,簡稱暗網)對 Tor 犯罪生態體系隱藏式服務的衝擊 (Dark Web Impact on Hidden Services in the Tor-based Criminal Ecosystem) ,趨勢科技 Marco Balduzzi 博士
