Dark Web - 資安趨勢部落格

地下市場:只要3美元,就能存取企業遠端桌面（RDP）伺服器!

2018 年 01 月 02 日2017 年 12 月 27 日趨勢科技 TrendMicro

安全研究人員發現有好幾個「黑暗網路」(Dark Web) 的地下市場在販賣能夠存取企業遠端桌面（RDP）伺服器的憑證，只要賣3美元。該報告揭示一個名為Ultimate Anonymity Services（UAS）的著名地下市場販賣來自醫療產業、教育和政府等組織的 RDP 帳號。

值得一提的是總共提供了3.5萬筆暴力破解來的RDP帳號，其中有7,200筆來自中國，6,100筆來自巴西，3,000筆來自印度，1,300筆來自西班牙，900筆來自哥倫比亞。UAS服務商還出售了300個位在美國的RDP帳號，分別來自加州、俄亥俄州、奧勒岡州和維吉尼亞州。價格介於3美元到10美元間。研究人員指出，跟競爭對手（如xDedic）以高達100美元價格銷售類似產品相比，UAS的較低價格是因為它在網路犯罪分子間越來越受歡迎。

這份報告解釋了最近所發生的一連串資料外洩和勒索病毒相關事件，因為能夠進入這些系統和網路讓網路犯罪分子和惡意份子可以竊取資料或將資料當作人質。舉例來說，暴力破解RDP是Crysis勒索病毒的主要感染媒介和進入點。即使是像MajikPOS這樣的銷售端點病毒也結合了入侵的RDP帳號和遠端存取木馬來竊取信用卡資料，然後在地下論壇販賣。

[延伸閱讀：你的資料如何被用來對付你?]

的確，地下市場遍布著非法商品及遭竊資料和惡意軟體，供應商經常會根據需求來調整售價。但以中東和北非地下市場為例，它們的貨幣價值也會受到參與者的獨特文化所影響。

事實上，許多惡意軟體和對某些系統和網路的連線服務在中東和北非地下市場是免費提供。包括了加密程式、鍵盤側錄程式、SQL注入工具、惡意軟體產生器到資料採集與監控系統（SCADA）端口號碼。RDP只賣8美元，而電子商務憑證售價僅1美元。繼續閱讀

黑吃黑：黑暗網路(Dark Web,簡稱暗網)內的駭客攻擊活動

2017 年 07 月 24 日2021 年 06 月 29 日趨勢科技 TrendMicro

黑暗網路(Dark Web,簡稱暗網)上那些鮮為人知的網站，經常成為網路犯罪地下集團的溫床。這些架設在 Tor 洋蔥路由器網路上需要透過 Tor 瀏覽器存取的網站，充斥著各式各樣的地下市集販賣著琳瑯滿目的商品，包括：網路貨幣洗錢服務、惡意程式代管平台、盜用或偽造的身分資料。趨勢科技已撰寫過多篇相關的報告，比如「 表面之下：探索深層網路 (Deep Web)」。

然而關於「黑暗網路」(Dark Web,簡稱暗網) 內部的駭客攻擊活動，卻少有人著墨。這些網站是否也會遭到駭客入侵或是分散式阻斷服務攻擊 (DDoS) 攻擊？黑暗網路(Dark Web,簡稱暗網)內部的攻擊規模和性質又是如何？出乎我們意料，我們發現這些攻擊在黑暗網路當中還算相當頻繁，而且駭客經常是手動進行這類攻擊，其主要目的是要暗中破壞或監視其他網路駭客所經營的服務。

趨勢科技與法國通訊系統研究所 EURECOM 研究員 Onur Catakoglu 以及 Davide Balzarotti 教授合作，發表了一篇名為「黑暗網路(Dark Web,簡稱暗網)對 Tor 犯罪生態體系隱藏式服務的衝擊」(Dark Web Impact on Hidden Services in the Tor-based Criminal Ecosystem)，並且在第 32 屆 ACM 應用運算研討會 (Symposium on Applied Computing) 上提出這些議題。最近，我們又在APWG eCrime 2017 電子犯罪研究研討會 (Symposium on Electronic Crime Research) 上發表我們的研究結果。

架設誘捕陷阱來吸引網路犯罪分子

趨勢科技的研究目的是希望深入了解黑暗網路(Dark Web,簡稱暗網)內部的駭客犯罪手法，並且看看網路犯罪集團會不會入侵那些架設在 Tor 網路 (如 .onion 網域) 上的網站與隱藏式服務。尤其，我們很想知道歹徒會不會刻意攻擊和入侵其他犯罪集團或犯罪份子所經營的服務。

為了達成研究目的，趨勢科技架設了多個誘捕陷阱( honeypot)在 Tor 網路上成立一個假的網路犯罪集團。每個陷阱都刻意暴露一個或多個漏洞讓駭客可以入侵。在遭到感染之後，我們會自動蒐集所有記錄檔，並且將環境復原至乾淨的狀態。

我們的誘捕陷阱包含以下幾種：

一個僅供受邀會員交易的封閉黑市。
一個專門為黑暗網路(Dark Web,簡稱暗網)提供客製化服務和解決方案的部落格。
一個僅供註冊會員登入的地下論壇，此外，要成為會員還需要保證人。
一個存放敏感文件的私人檔案伺服器，提供 FTP 和 SSH 連線。

圖 1：我們架設的假地下論壇 (誘捕陷阱 #3)。 繼續閱讀

什麼是深層網路 (Deep Web) ?與黑暗網路(Dark Web) 的區別

2016 年 03 月 31 日2022 年 10 月 19 日趨勢科技 TrendMicro

想買毒品的人會在一般的瀏覽器上輸入關鍵字來搜尋嗎？
想避開政府監控的異議爆料者如何避免在網路留下證據？
他們會透過一些 IP 位址無法被追查的網路來做這件事。而毒販也不會想將他們的網站架設在可被執法單位透過 IP 位址逮人的地方。
除此之外,販賣護照及信用卡等非法犯罪服務，也需要這種能夠確保匿名性的網路。
如果說所有可搜尋的內容都位於地表的話，那麼地底下的部分就是所謂的深層網路：不見天日、不易進入、外表也看不出來。

黑暗網路是深層網路最深邃的部分，需要以特殊的工具或設備才能進入。它們位於地下網路深層的地方，比一般深層網路的內容更需要隱密性。

暗網 Dark web 30元就讓你銀行存款瞬間蒸發的地方 — 深層網路與黑暗網路卻不能畫上等號，因為黑暗網路(Dark Web) 只是深層網路的其中一環。

所謂的深層網路，就是像 Google 這類搜尋引擎基於某種因素無法建立或沒有建立索引、因而搜尋不到的網路內容。可歸納在此定義之下的內容包括：動態網頁、封鎖的網站 (如必須輸入頁面上動態產生的文字才能進入的網站)、未連結的網站、私密網站 (如有密碼保護的網站)、非 HTML內容、周邊輔助內容、程序碼 (script)，以及限制存取的網路。

所謂「限制存取的網路」是指一般標準網路組態下存取不到的資源及服務。歹徒可透過這類網路來暗中活動，讓執法機關很難或根本無法追查，例如一些在不受「網際網路名稱與號碼指配機構」(ICANN) 管轄的 DNS 頂層機構 (root) 下註冊的網域。它們經常使用非標準的頂層網域名稱 (TLD)，因此需透過特殊的 DNS 伺服器才能正確解析出位址。還有一些是完全註冊在另類 DNS 系統 (而非正統 DNS 系統) 的網域名稱，例如我們討論過的比特幣網域 (Bitcoin Domain)。另類網域不僅完全不受 ICANN 的規範，其非集中化而分散的特性，讓它們很難被圍捕 (必要的話)。

此外，架設在這些限制存取網路上的，通常都是黑暗網路 (Darknet) 或是一些需要特殊軟體 (如 TOR) 才能存取的網站。而一般大眾對深層網路的興趣，也大多圍繞在黑暗網路內的活動。

有別於深層網路上的其他內容，搜尋引擎在進行地毯式搜索時並不會涵蓋限制存取的網路，但原因並非技術上的限制，事實上，像 tor2web 這類閘道服務就提供了一個網域來讓使用者存取隱藏在這類網路上的服務。

繼續閱讀