小百科,大世界
首页 / 计算机 / IT资讯

带你了解网络犯罪分子在暗网论坛中的行为方式 繁體

了解网络犯罪分子在暗网论坛中的行为方式——他们买卖什么服务,他们的动机是什么,甚至他们如何互相欺骗。

明网 vs. 深网 vs. 暗网

威胁情报专业人员将互联网分为三个主要组成部分:

  • Clear Web – 可以通过公共搜索引擎(包括媒体、博客和其他页面和网站)查看的 Web 资产。
  • Deep Web – 未被搜索引擎索引的网站和论坛。例如,网络邮件、网上银行、公司内部网、围墙花园等。一些黑客论坛存在于深网中,需要凭据才能进入。
  • 暗网 – 需要特定软件才能访问的 Web 源。这些来源是匿名和封闭的,包括 Telegram 群组和仅限邀请的论坛。暗网包含 Tor、P2P、黑客论坛、犯罪市场等。

Cato Networks首席安全策略师Etay Maor表示:“我们看到犯罪分子的沟通和开展业务的方式发生了变化,从冰川顶部转移到了冰川的下部。下部提供更高的安全性。

聚焦:什么是 Tor?

Tor 是一个建立在开源基础上的免费网络,允许匿名通信。虽然 Tor 最初是由美国海军研究实验室开发的,但它已成为越来越受欢迎的非法活动解决方案。

在Clear Web上进行这些活动可以导致执法监控,并允许追溯到罪犯。但是通过Tor,通信在三层中加密,这些层在每次节点跳跃时都会剥离,直到退出网络。监控 Tor 的执法机构不会看到犯罪分子的 IP,而是 Tor 出口节点,这使得追溯到原始犯罪分子变得更加困难。

Tor 通信架构:

Etay Maor补充说:“在2000年代,数字能力的天体排列助长了犯罪活动。首先,暗网出现了。然后,通过 Tor 隐藏和安全服务。最后,加密货币允许安全交易。

暗网上提供的刑事服务

以下是过去在暗网上可用的服务的一些示例。今天,其中许多已被拆除。相反,犯罪分子正在转向 Telegram 消息传递平台,因为它具有隐私和安全功能。

例子包括:

贩卖毒品:

虚假身份服务:

用于供应商搜索的市场,包括有关网络钓鱼尝试的警告:

如何管理刑事论坛?在不受信任的环境中建立信任

攻击者试图利用漏洞并闯入系统作为获利的一种方式。就像任何其他商业生态系统一样,他们使用在线论坛来买卖黑客服务。然而,这些论坛需要在成员之间建立信任,而它们本身是建立在犯罪之上的。

一般来说,此类论坛的最初设计如下:

  1. 管理员 – 主持论坛
  2. 托管 – 促进会员之间的支付
  3. 黑名单 – 解决付款和服务质量等问题的仲裁员
  4. 论坛支援 – 提供各种形式的协助,鼓励社区参与
  5. 主持人 – 不同主题的小组负责人
  6. 经过验证的供应商 – 有担保的供应商,与一些骗子供应商不同
  7. 常规论坛成员 – 小组成员。在被允许进入论坛之前,他们已经过验证,以过滤掉诈骗者、执法机构和其他不相关或有风险的成员。

从恶意软件感染到暗网中企业数据泄露的路径

让我们通过一个用于窃取勒索软件信息的恶意软件示例,看看不同阶段的攻击在暗网中是如何表示的:

事故前阶段:

1. 数据收集 – 威胁行为者在全球范围内开展信息窃取恶意软件活动,并窃取受损凭据和设备指纹的日志。

2. 数据供应商 – 威胁行为者向暗网市场提供数据,这些市场专门从事受恶意软件感染的计算机的凭据和设备指纹识别。

3. 新鲜供应 – 原木可在暗网市场购买。原木的价格通常从几美元到 20 美元不等。

活动事件阶段:

4. 购买 – 专门从事初始网络访问的威胁行为者购买日志并渗透网络以提升访问权限。很多时候,购买的信息不仅仅包括凭据。它包括 cookie 会话、设备指纹识别等。这允许模仿受害者的行为来规避 MFA 等安全机制,使攻击更难被发现。

5. 拍卖 – 访问权限在暗网论坛中拍卖,并由熟练的威胁组织购买。

Etay Maor指出,“拍卖可以作为竞争或”闪电“进行,这意味着威胁行为者可以在没有竞争的情况下立即购买。严重的威胁集团,特别是如果他们得到民族国家的支持或大型犯罪团伙,可以使用此选项来投资他们的业务。

6. 敲诈勒索 – 该组织执行攻击,在组织中放置勒索软件并勒索它。

这条道路突出了犯罪生态系统中的各个专业领域。因此,通过操作威胁数据来推动的多层方法可以发出警报,并可能防止未来的事件发生。

HUMINT的作用

自动化解决方案对于打击网络犯罪是必不可少的,但要充分了解这一领域,还需要人力情报(HUMINT)。这些是网络犯罪官员,来自执法机构的参与者,他们登录论坛并像贸易参与者一样行事。参与是一门艺术,也必须是一门艺术——可操作、可靠和及时。

让我们看看网络犯罪官员跟踪的论坛的一些示例以及他们如何应对。

在此示例中,攻击者正在出售 VPN 登录信息:

网络犯罪官员将尝试参与并了解这属于哪个VPN或客户端。

在另一个示例中,攻击者正在向英国的 IT 基础架构解决方案和服务提供商出售 Citrix 访问权限。

网络犯罪官员可能会作为潜在买家联系并要求提供样品。由于卖方是从经济角度出发的,并且可能财务状况不佳(来自前苏联国家),因此他们愿意发送样品以促进销售。

防范网络攻击

暗网作为一个经济生态系统运作,有买家、卖家、供求关系。因此,要有效防御网络攻击,需要对攻击的每个阶段(包括事件前和整个事件本身)采用多层方法。这种方法包括使用自动化工具以及 HUMINT——一种与网络犯罪分子在线互动的艺术,通过模仿他们的操作方式来收集情报。

本文翻译自The Hacker News 原文链接。如若转载请注明出处。

商务合作,文章发布请联系 anquanke@360.cn

本文由安全客原创发布

转载,请参考转载声明,注明出处: /post/id/297793

安全客 - 有思想的安全新媒体

[来源: 安全客]

首页 / 计算机 / IT资讯
相关连接:
Prev:
Evolve Bank 透露有 760 万人在Lo
勒索软件Eldorado正在入侵 VMware E
带你了解如何发现在 magix.com 和 xar
Next:
微软7月补丁日多个产品安全漏洞风险通告包含5个紧急
既然个人信息对黑客来说是金矿如何阻止他们对个人信息
被特洛伊木马化的jQuery软件包通过复杂的供应链
那些你需要知道的关于DORA的知识
随着数据保护需求的增加全球量子计算市场预计将于20
资源来自网络,仅供参考