北京2020年6月11日 /美通社/ -- 雖然公共安全措施已經(jīng)逐步放松,但是伴隨新冠病毒大流行而來(lái)的惡意軟件激增仍然是網(wǎng)絡(luò)安全新聞的頭條�����。正如最近的一項(xiàng)研究[1]指出的那樣����,黑客已經(jīng)創(chuàng)建了不少于13萬(wàn)個(gè)與COVID-19相關(guān)的新電子郵件域名����,以實(shí)施分析人員現(xiàn)在所說(shuō)的fearware攻擊。這些域名和已發(fā)現(xiàn)攻擊中的很多域名都與同一來(lái)源相關(guān):暗網(wǎng)����。
從銷(xiāo)售疫苗和假藥到簡(jiǎn)單地散布恐慌,暗網(wǎng)已成為許多與新冠病毒大流行相關(guān)威脅的“宿主”����。然而這些攻擊只是暗網(wǎng)常規(guī)活動(dòng)的最新變化之一����,其它活動(dòng)包括但不限于特洛伊木馬程序��、鍵盤(pán)記錄程序��、漏洞利用程序����、訪問(wèn)憑據(jù)和個(gè)人數(shù)據(jù)、網(wǎng)絡(luò)釣魚(yú)工具和高級(jí)網(wǎng)絡(luò)釣魚(yú)教程���、受保護(hù)的知識(shí)產(chǎn)權(quán)和財(cái)務(wù)數(shù)據(jù)和商業(yè)秘密�、一般系統(tǒng)漏洞及特定零日漏洞���、僵尸網(wǎng)絡(luò)及其命令和控制服務(wù)器����、與加密貨幣相關(guān)的市場(chǎng)和挖礦業(yè)務(wù)以及其他惡意軟件���,此類(lèi)活動(dòng)對(duì)企業(yè)資產(chǎn)和聲譽(yù)將造成嚴(yán)重影響���。為了幫助大眾了解來(lái)自互聯(lián)網(wǎng)的威脅如何影響公司或客戶����,天地和興近期發(fā)布了如下內(nèi)容�����,深入分析了“暗網(wǎng)”的概念及其運(yùn)作:
一�����、 暗網(wǎng)塑造網(wǎng)絡(luò)犯罪
什么是暗網(wǎng)��?
無(wú)論是普通的用戶還是安全專(zhuān)家�����,大多數(shù)人都以同樣的方式上網(wǎng):與幾個(gè)流行的網(wǎng)站和聊天客戶端捆綁在一起�����,或者通過(guò)搜索引擎瀏覽頁(yè)面�����。這項(xiàng)由傳統(tǒng)瀏覽器和應(yīng)用程序完成的活動(dòng)���,幾乎占據(jù)了絕大多數(shù)內(nèi)容���。
但是,盡管這些內(nèi)容看起來(lái)很豐富���,但它只是互聯(lián)網(wǎng)所能提供內(nèi)容的一小部分�����。根據(jù)CSO Online的數(shù)據(jù)��,該部分只有4%��。剩下的呢��?沒(méi)有索引的網(wǎng)站���、私人頁(yè)面和隱蔽的網(wǎng)絡(luò)的巨大集合,這些都是常規(guī)搜索引擎無(wú)法檢測(cè)到的�����,具有“深層網(wǎng)絡(luò)”的通用名稱(chēng)。
深層網(wǎng)絡(luò)幾乎涵蓋了任何隱藏在公眾視線之外的東西���,包括獨(dú)家和付費(fèi)內(nèi)容����、私人存儲(chǔ)庫(kù)��、學(xué)術(shù)期刊���、醫(yī)療記錄����、公司機(jī)密數(shù)據(jù)等等�。從廣義上講,即使是電子郵件服務(wù)器的內(nèi)容也是深層網(wǎng)絡(luò)的一部分�。
然而���,深層網(wǎng)絡(luò)的某些部分有明顯的不同�。如果深網(wǎng)通常是不能通過(guò)傳統(tǒng)方式找到的內(nèi)容��,那么暗網(wǎng)就是其中不想被發(fā)現(xiàn)的那部分���。
黑暗網(wǎng)絡(luò)通過(guò)使用互聯(lián)網(wǎng)作為支持的專(zhuān)用網(wǎng)絡(luò)存在�,但需要訪問(wèn)特定軟件以及其他配置或授權(quán)。雖然暗網(wǎng)只是深網(wǎng)的一小部分�,但據(jù)稱(chēng)它仍然占整個(gè)互聯(lián)網(wǎng)的5%左右,并且還占了其惡意活動(dòng)的大部分��。
由于無(wú)法直接訪問(wèn)暗網(wǎng)�����,因此用戶需要使用特殊的軟件�,例如Tor瀏覽器,I2P或Freenet��。Tor����,也稱(chēng)為T(mén)he Onion Router,可能是訪問(wèn)暗網(wǎng)的最著名方式�,因?yàn)樗扔米骶W(wǎng)關(guān)又用作安全措施(限制網(wǎng)站與用戶系統(tǒng)的交互)。雖然協(xié)議本身最初是由海軍部門(mén)開(kāi)發(fā)的��,然后才成為開(kāi)源�����,但該項(xiàng)目目前由非政府組織管理。
I2P(Invisible Internet Project)專(zhuān)門(mén)致力于允許通過(guò)安全協(xié)議匿名創(chuàng)建和托管網(wǎng)站����,從而直接促進(jìn)了暗網(wǎng)的發(fā)展。
在這一點(diǎn)上�,值得指出的是,許多暗網(wǎng)絕沒(méi)有任何惡意�����,并且出于安全原因(新聞網(wǎng)站適用于審查猖獗的國(guó)家����,私人聊天室適用于受創(chuàng)傷影響的人等等)。同樣值得注意的是�,諸如Tor之類(lèi)的平臺(tái)本身并不是惡意軟件,其技術(shù)也被許多合法公司所使用����。但是,暗網(wǎng)為其用戶提供了兩個(gè)非常強(qiáng)大的功能���,這些功能都很容易被濫用。
這些能力完全是匿名和不可追溯的����。不幸的是�,只有在Silk Road(當(dāng)時(shí)可能是世界上最大的非法在線市場(chǎng))關(guān)閉之后�����,他們的危險(xiǎn)才顯現(xiàn)出來(lái)���。巨大的Alphabay的關(guān)閉也產(chǎn)生了類(lèi)似的連鎖反應(yīng)�,這是對(duì)Silk Road的更全面的后續(xù)行動(dòng)�����。
匿名的危險(xiǎn)
事實(shí)是��,眾所周知���,暗網(wǎng)上幾乎銷(xiāo)售任何東西����。所有這些都不受網(wǎng)站所有者或政府部門(mén)的任何實(shí)際控制�����,并且全部受加密保護(hù)。早在2015年���,一項(xiàng)研究就對(duì)2700多個(gè)暗網(wǎng)的內(nèi)容進(jìn)行了分類(lèi)��,發(fā)現(xiàn)不少于57%的網(wǎng)站托管了非法材料���。
顯然,這促使政府采取了行動(dòng)����。一些執(zhí)法機(jī)構(gòu)已開(kāi)始監(jiān)視Tor下載,以將其與可疑活動(dòng)相關(guān)聯(lián)����,而其他機(jī)構(gòu)(例如FBI)則在黑網(wǎng)上建立了自己的假非法網(wǎng)站,以抓獲違法者���。
即使采取了這些措施��,暗網(wǎng)的增長(zhǎng)也遠(yuǎn)沒(méi)有停止�����。實(shí)際上����,它的流量在COVID-19大流行以及該技術(shù)誕生20周年前后增加了�����。到2019年��,有30%的美國(guó)人會(huì)定期訪問(wèn)暗網(wǎng)����,盡管大多數(shù)不是出于惡意目的。此外����,隨著大型社交網(wǎng)絡(luò)增加其內(nèi)容過(guò)濾,以及隨著“表層網(wǎng)絡(luò)”上網(wǎng)絡(luò)監(jiān)視的日益普及��,暗網(wǎng)正逐漸成為某些聲音群體的意識(shí)形態(tài)逃避渠道�。
雖然這些數(shù)字可以讓事情看得更清楚,但來(lái)自企業(yè)組織和MSSP的許多安全專(zhuān)家可能會(huì)問(wèn):“好吧��,但這和我的公司有什么關(guān)系呢���?為什么我要監(jiān)視暗網(wǎng)����?”
基于這些疑問(wèn),以下內(nèi)容將會(huì)深入解析:哪些暗網(wǎng)威脅會(huì)直接針對(duì)企業(yè)���,以及暗網(wǎng)可能對(duì)企業(yè)資產(chǎn)和聲譽(yù)造成什么樣的影響����。
二���、 暗網(wǎng)監(jiān)控勢(shì)在必行
網(wǎng)絡(luò)攻擊者的秘密基地
薩里大學(xué)Michael McGuires博士在2019年的一項(xiàng)名為《走進(jìn)獲利的網(wǎng)絡(luò)》研究中表示��,自2016年以來(lái)��,可能損害企業(yè)利益的暗網(wǎng)列表數(shù)量增加了20%�����。實(shí)際上�����,除藥品銷(xiāo)售之外���,所有現(xiàn)有列表中有60%可能危害企業(yè)��。對(duì)于網(wǎng)絡(luò)安全社區(qū)而言�,這確實(shí)是一個(gè)嚴(yán)峻的消息��。
除了支持不受管制的產(chǎn)品交易外��,暗網(wǎng)還為那些希望購(gòu)買(mǎi)被盜數(shù)據(jù)的人提供了一個(gè)新興市場(chǎng)����,這是網(wǎng)絡(luò)攻擊者最好的藏身之處之一�����。這個(gè)問(wèn)題變得如此普遍�����,以至于現(xiàn)在人們認(rèn)為75%的漏洞在發(fā)布到NVD(美國(guó)國(guó)家漏洞數(shù)據(jù)庫(kù))之前都是在暗網(wǎng)上披露的��。
然而漏洞只是冰山一角���,以下是隱藏在暗網(wǎng)內(nèi)的一些危險(xiǎn):
特洛伊木馬程序��、鍵盤(pán)記錄程序和漏洞利用程序可輕松出售給任何攻擊者����。作為安全專(zhuān)家了解他們的存在是很重要的,這樣才能保護(hù)客戶和公司���。在某種程度上����,暗網(wǎng)甚至建立了一個(gè)專(zhuān)門(mén)的市場(chǎng)�,只出售“高質(zhì)量的漏洞”。
由于已知或未知的數(shù)據(jù)泄露而導(dǎo)致的訪問(wèn)憑據(jù)和個(gè)人數(shù)據(jù)泄露�。即使到了現(xiàn)在,Equifax漏洞的數(shù)據(jù)仍然可以在暗網(wǎng)上找到��,而就在上個(gè)月���,一次泄密事件導(dǎo)致60萬(wàn)個(gè)地址以同樣的方式出售�。
網(wǎng)絡(luò)釣魚(yú)工具和高級(jí)網(wǎng)絡(luò)釣魚(yú)教程�,尤其是由于許多黑客團(tuán)體都將暗網(wǎng)用作培訓(xùn)營(yíng)。暗網(wǎng)還是獲取此類(lèi)服務(wù)(包括用于企業(yè)間諜活動(dòng)的服務(wù))的門(mén)戶��。
受保護(hù)的知識(shí)產(chǎn)權(quán)�����、財(cái)務(wù)數(shù)據(jù)和商業(yè)秘密,通常會(huì)因數(shù)據(jù)泄露事件而泄露�,現(xiàn)在賣(mài)給出價(jià)最高的人。
一般的系統(tǒng)漏洞�,但也有系統(tǒng)特定漏洞,例如某些大公司基礎(chǔ)設(shè)施中的零日漏洞或漏洞����。
僵尸網(wǎng)絡(luò)及其命令和控制服務(wù)器也可以托管在暗網(wǎng)中���,不受外部檢查和掃描的影響���。
與加密貨幣相關(guān)的市場(chǎng)和挖礦業(yè)務(wù)也在暗網(wǎng)上蓬勃發(fā)展,特別是因?yàn)榧用茇泿挪皇苤莘傻谋O(jiān)管�。這也包括傳播加密劫持軟件。
廣泛的惡意軟件集合����,從模仿合法網(wǎng)站的欺詐相關(guān)腳本到按需DDoS攻擊或自定義惡意軟件。
這意味著���,當(dāng)忙于處理來(lái)自常規(guī)來(lái)源的無(wú)數(shù)警報(bào)和潛在攻擊時(shí)����,可能會(huì)在暗網(wǎng)中開(kāi)發(fā)出未檢測(cè)到的新惡意軟件,從而可以對(duì)基礎(chǔ)設(shè)施使用零日漏洞�����。更糟糕的是�,過(guò)去可能曾發(fā)生過(guò)數(shù)據(jù)泄露的情況,而無(wú)法知道是否有人已經(jīng)在暗網(wǎng)上使用了這些數(shù)據(jù)��。
暗網(wǎng)威脅可能會(huì)威脅到企業(yè)的基礎(chǔ)設(shè)施�����、數(shù)據(jù)和運(yùn)營(yíng)�,也可能威脅到品牌聲譽(yù)。這就是為什么監(jiān)控是必不可少的�����。
暗網(wǎng)監(jiān)控的力量
企業(yè)需要專(zhuān)門(mén)的軟件來(lái)密切關(guān)注暗網(wǎng)的動(dòng)態(tài)����,同時(shí)還需要嚴(yán)謹(jǐn)?shù)膬?nèi)部知識(shí)。越來(lái)越多的威脅情報(bào)服務(wù)提供了暗網(wǎng)監(jiān)視功能,使安全團(tuán)隊(duì)可以完全了解暗網(wǎng)情況并為此做好準(zhǔn)備��,而不必自己去尋找隱藏的網(wǎng)站���。暗網(wǎng)監(jiān)控可以掃描互聯(lián)網(wǎng)的遠(yuǎn)端����,尋找危害的基本指標(biāo)�,還可以尋找即將到來(lái)的威脅。這種服務(wù)的功能通常包括:
- 搜索公司或客戶的PII(個(gè)人身份信息)�����,并在黑暗的網(wǎng)站上報(bào)告這些信息的任何痕跡����。
- 搜索可能泄漏的公司資產(chǎn)�����,包括知識(shí)產(chǎn)權(quán)�、訪問(wèn)憑據(jù)(泄露的密碼)和銀行帳戶。
- 搜索與漏洞或潛在攻擊有關(guān)的任何提及公司的信息����。
- 搜索現(xiàn)有合作伙伴與惡意暗網(wǎng)活動(dòng)之間的任何連接�。
- 提供對(duì)最新和最少研究的威脅因素及其方法的廣泛看法�。
- 預(yù)期針對(duì)公司或行業(yè)部門(mén)的攻擊,或確定潛在的DDoS攻擊的來(lái)源�。
- 不僅要了解攻擊者的方法,還要了解他們的意圖��,并讓安全團(tuán)隊(duì)增強(qiáng)防御能力����。
這些技術(shù)用于生成易于理解的威脅情報(bào)反饋、安全警報(bào)或電子郵件警報(bào)��。加上強(qiáng)大的網(wǎng)絡(luò)安全套件和數(shù)據(jù)加密��,它們可以被證明是對(duì)抗源自黑暗網(wǎng)絡(luò)的威脅的強(qiáng)大盟友����。憑借其所有的加密和保密性,暗網(wǎng)的安全性可以而且已經(jīng)受到多次破壞����,特別是執(zhí)法機(jī)構(gòu)已經(jīng)嚴(yán)格控制了它的一些參與者。此外��,使它變得安全的相同技術(shù)(加密連接、無(wú)法追蹤和無(wú)法索引的網(wǎng)站)也使其變得非常緩慢且分散�,從而允許合適的工具隨時(shí)收集有價(jià)值的信息。
參考資源:
