在駭客天堂,網路犯罪的避難所-暗網(Dark Web),企業可以發掘哪些資安情報?

自從執法單位在2013年將Slik Road地下市場關閉之後,深網(Deep Web)的深度與廣度就越來越引人興趣了。這一塊網路有很大程度從大眾眼前消失,這是駭客可以交流、分享惡意程式碼和攻擊手法的地方,並且可以在這裡將網路攻擊中竊來的資料拿來換錢。

根據所收集的資訊,深網(Deep Web)內含藏著驚人的資料量 – 7,500TB,與表層網路的19TB比起來是令人難以置信。因為這些年急劇增加的網路犯罪活動,網際網路的這塊陰暗部分包含了比表層網路還多達550倍以上的公開資料量。趨勢科技經過兩年對深網(Deep Web)的分析,發現了576,000筆不重復網址,收集超過3,800萬筆單獨事件的詳細資料。

雖然深網(Deep Web)稱為駭客活動的天堂,但這並非是它唯一的目的。透過研究深網(Deep Web)、它的使用者類型、所分享的流程和資料,讓企業可以對整體威脅環境有更好的認識 – 而且可以更加充分準備好對抗新出現的安全漏洞和攻擊。

從基礎開始:什麼是深網(Deep Web)

在我們要進一步探討網路的這一塊可以教給我們什麼前,先了解深網(Deep Web)到底是什麼非常重要。多數人是在Ross Ulbricht被捕後才知道了深網(Deep Web),它在Silk Road地下社群所用的名字是Dread Pirate Roberts。趨勢科技指出Ulbricht打造了價值數十億美元的數位市場,裡面充斥著洗錢和非法毒品。因為這些活動,Ulbricht被控販毒和電腦駭客等犯罪行為,被判了兩個無期徒刑。

這個吸引人的故事造成許多人對深網(Deep Web)的深切關注,許多個人和企業都盡可能地從網路這一塊無法用傳統方法存取的地方學習。如同趨勢科技在“水面之下:探索深網(Deep Web)”所指出,深網(Deep Web)或有時也被稱為暗網(Dark Web),一開始的建立目的是提供使用者免於審查,可以自由發言的安全空間,它最終成為網路犯罪的避難所。

DARK web, deep web

“深網(Deep Web)擁有超過20萬個網站,5,500億筆文件。”

 

槍支僱用契約駭客甚至殺手….深網 (Deep Web) 內還有什麼?

在Silk Road地下市場進行的毒品交易並非深網(Deep Web)裡唯一的犯罪活動。再怎麼說,擁有超過20萬個網站及5,500億筆文件後,很明顯地深網(Deep Web)不僅可以用來交易非法物品。

經過分析,趨勢科技發現駭客許多其他的活動,包括:

  • 販賣和購買槍支。
  • 取得詐騙用的竊取身份資料。
  • 透過製造惡意軟體來發動網路犯罪活動。
  • 僱用契約駭客甚至殺手。

透過這方式而建立的活動和交易都相當的危險。

企業外洩資料的交易場所

今天,我們所關心的是會危害企業的活動,特別是被竊資料的竊取和出售。當公司網路發生資料外洩事件,駭客的目的通常是竊取盡可能多的資料。這可能包括了商業智產和實體資產的詳細資料,還包括員工和客戶的資料,如銀行、醫療和其他身分認證資料。竊取了資料以後,駭客在地下市場尋求管道來出售,而深網 (Deep Web)就是進行這些交易的最佳場所。

更重要的是,網路犯罪分子可以選擇自己想要的方式出售竊取資料。這包括可以根據單筆檔案或是整批文件來標價,以竊來的信用卡號為例,可以論件或是整包販賣。在某些情況下,駭客更喜歡收集盡可能多的資料來建立個人資料檔案。這通常偏好用於身分竊取,因為它有姓名、身分證字號、居住和電子郵件地址以及其他細節來完善個人資料檔案。

 

CryptoLocker利用深網(Deep Web)犯案的勒索病毒家族

除了銷售外洩事件收集來的資料,駭客還會出售引發外洩事件的病毒。了解這些活動特別有用,因為可以幫助研究人員和企業管理者了解駭客的新趨勢。舉例來說,找出目前深網(Deep Web)內的暢銷惡意軟體可以讓企業主動運作來防範目前網路犯罪交易所可能產生的特定風險。

趨勢科技發現,不僅是惡意軟體會在深網(Deep Web)內買賣,有些甚至會利用這塊網路來支援其所發動的攻擊。一個例子是銀行惡意軟體VAWTRAK,它會透過網路釣魚(Phishing)散播。這惡意軟體會用內建的TOR站點來跟特定C&C伺服器進行通訊,以發送竊取的資料。

CryptoLocker是另一個會利用深網(Deep Web)的惡意軟體家族。這勒索病毒十分危險,因為它的勒贖通知可以根據受害者位置不同來呈現不同的語言。

趨勢科技指出,VAWTRAK和CryptoLocker代表的是可能會延續到未來的一種犯罪模式。

“不幸的是,因為將基礎設施放到TOR隱匿服務可以帶給網路犯罪分子的好處,我們相信將會在未來看到更多惡意軟體家族轉移到深網(Deep Web)”,趨勢科技表示。

The Deep Web includes platforms for the sale and purchase of dangerous malware samples.

深網(Deep Web)包括買賣危險惡意軟體樣本的平台。

 

除了銷售和發動大型企業攻擊所需的惡意軟體外, Deep Web也提供攻擊知名人士必要工具

經過廣泛的研究,趨勢科技還發現,當談到網路攻擊,沒有任何一個使用者或實體被認為可以豁免。除了銷售和發動大型企業攻擊所需的惡意軟體外,深網(Deep Web)也提供攻擊知名人士必要的工具,像是明星、政府領導人和其他高調的人。而且惡意活動不會停在這裡。

趨勢科技的資深威脅研究員Marco Balduzzi解釋道,為了最佳的研究深網(Deep Web)內所發生的網路犯罪,研究人員在TOR網路利用數組蜜罐系統來模擬惡意組織。這些蜜罐系統會暴露些漏洞,讓駭客在這建立的環境內活動。

研究人員有了幾個重要的發現,包括深網(Deep Web)並不如某些人認為的那樣受到保護,儘管模擬環境只提供給受邀的會員,趨勢科技發現駭客們可以透過搜尋引擎找到蜜罐系統。

更重要的是,網路犯罪分子開始攻擊自己的圈子。

“我們的私人市場十次中被入侵了九次,”Balduzzi說道。“大多數攻擊會將Web Shell加到伺服器上,讓攻擊者可以執行我們蜜罐系統上的指令。這可以加入其他檔案,如Web郵件程式,塗改網頁和放置網路釣魚工具包。我們的主要發現是暗網(Dark Web)內運作的組織似乎會互相攻擊。“

 

從深網(Deep Web)獲得的重點:防護企業

整體而言,深網(Deep Web)有許多關於安全的資訊值得企業了解:

  • 從攻擊到獲利的方式:有些人很難理解駭客進行惡意行為的動機。但是深入檢視深網(Deep Web)有助於解開此一問題的金融部分,包括網路犯罪分子如何進行惡意軟體、竊取資料等一大堆物品的交易。深網(Deep Web)提供一個地方讓駭客購買發動攻擊所需的病毒程式碼,還有販賣從攻擊中所獲取資料的平台。
  • 惡意軟體的交易趨勢:因為惡意軟體市場在深網(Deep Web)中到處都是,加以研究可以幫助企業更好地保護自己。比方說勒索病毒的販賣趨勢,可以證明需要加強對此類攻擊相關可疑活動的監控防護。
  • 引起執法單位注意:回到Silk Road的故事,不檢查深網(Deep Web)惡意活動的日子已經過去。現在,世界各地的執法單位都更加注意深網(Deep Web)內從事非法和危險活動的惡意份子。

從企業的角度來看,深網(Deep Web)是發掘威脅情報有價值的地方,就如Dark Reading作者Jason Polancich所指出。

“換句話說,暗網(Dark Web)可以想成是個放滿珍貴魚類的釣魚場,可以讓組織用來強化其防禦能力,”Plancich寫道。“找出什麼被竊或會可以用來對付你,以便關閉入侵漏洞以加強整體安全狀態。”

 

@原文出處:What Can The Dark Web Teach Us About Enterprise Security?