北京2020年6月11日 /美通社/ -- 雖然公共安全措施已經逐步放松�,但是伴隨新冠病毒大流行而來的惡意軟件激增仍然是網絡安全新聞的頭條��。正如最近的一項研究[1]指出的那樣����,黑客已經創(chuàng)建了不少于13萬個與COVID-19相關的新電子郵件域名�,以實施分析人員現在所說的fearware攻擊。這些域名和已發(fā)現攻擊中的很多域名都與同一來源相關:暗網��。
從銷售疫苗和假藥到簡單地散布恐慌��,暗網已成為許多與新冠病毒大流行相關威脅的“宿主”���。然而這些攻擊只是暗網常規(guī)活動的最新變化之一��,其它活動包括但不限于特洛伊木馬程序�、鍵盤記錄程序��、漏洞利用程序、訪問憑據和個人數據�、網絡釣魚工具和高級網絡釣魚教程、受保護的知識產權和財務數據和商業(yè)秘密����、一般系統(tǒng)漏洞及特定零日漏洞、僵尸網絡及其命令和控制服務器�、與加密貨幣相關的市場和挖礦業(yè)務以及其他惡意軟件,此類活動對企業(yè)資產和聲譽將造成嚴重影響�����。為了幫助大眾了解來自互聯(lián)網的威脅如何影響公司或客戶����,天地和興近期發(fā)布了如下內容,深入分析了“暗網”的概念及其運作:
一����、 暗網塑造網絡犯罪
什么是暗網?
無論是普通的用戶還是安全專家�����,大多數人都以同樣的方式上網:與幾個流行的網站和聊天客戶端捆綁在一起���,或者通過搜索引擎瀏覽頁面�����。這項由傳統(tǒng)瀏覽器和應用程序完成的活動����,幾乎占據了絕大多數內容。
但是��,盡管這些內容看起來很豐富�,但它只是互聯(lián)網所能提供內容的一小部分����。根據CSO Online的數據,該部分只有4%�。剩下的呢?沒有索引的網站�、私人頁面和隱蔽的網絡的巨大集合,這些都是常規(guī)搜索引擎無法檢測到的�,具有“深層網絡”的通用名稱。
深層網絡幾乎涵蓋了任何隱藏在公眾視線之外的東西�����,包括獨家和付費內容、私人存儲庫���、學術期刊�、醫(yī)療記錄�����、公司機密數據等等�。從廣義上講,即使是電子郵件服務器的內容也是深層網絡的一部分���。
然而�,深層網絡的某些部分有明顯的不同��。如果深網通常是不能通過傳統(tǒng)方式找到的內容��,那么暗網就是其中不想被發(fā)現的那部分����。
黑暗網絡通過使用互聯(lián)網作為支持的專用網絡存在,但需要訪問特定軟件以及其他配置或授權�����。雖然暗網只是深網的一小部分,但據稱它仍然占整個互聯(lián)網的5%左右�����,并且還占了其惡意活動的大部分���。
由于無法直接訪問暗網����,因此用戶需要使用特殊的軟件���,例如Tor瀏覽器����,I2P或Freenet�。Tor�,也稱為The Onion Router,可能是訪問暗網的最著名方式����,因為它既用作網關又用作安全措施(限制網站與用戶系統(tǒng)的交互)。雖然協(xié)議本身最初是由海軍部門開發(fā)的�,然后才成為開源�,但該項目目前由非政府組織管理����。
I2P(Invisible Internet Project)專門致力于允許通過安全協(xié)議匿名創(chuàng)建和托管網站,從而直接促進了暗網的發(fā)展�。
在這一點上,值得指出的是���,許多暗網絕沒有任何惡意��,并且出于安全原因(新聞網站適用于審查猖獗的國家�,私人聊天室適用于受創(chuàng)傷影響的人等等)�����。同樣值得注意的是����,諸如Tor之類的平臺本身并不是惡意軟件,其技術也被許多合法公司所使用���。但是���,暗網為其用戶提供了兩個非常強大的功能���,這些功能都很容易被濫用。
這些能力完全是匿名和不可追溯的�。不幸的是,只有在Silk Road(當時可能是世界上最大的非法在線市場)關閉之后��,他們的危險才顯現出來�。巨大的Alphabay的關閉也產生了類似的連鎖反應,這是對Silk Road的更全面的后續(xù)行動����。
匿名的危險
事實是,眾所周知�,暗網上幾乎銷售任何東西。所有這些都不受網站所有者或政府部門的任何實際控制����,并且全部受加密保護。早在2015年�,一項研究就對2700多個暗網的內容進行了分類���,發(fā)現不少于57%的網站托管了非法材料��。
顯然�����,這促使政府采取了行動����。一些執(zhí)法機構已開始監(jiān)視Tor下載,以將其與可疑活動相關聯(lián)��,而其他機構(例如FBI)則在黑網上建立了自己的假非法網站��,以抓獲違法者�。
即使采取了這些措施,暗網的增長也遠沒有停止���。實際上���,它的流量在COVID-19大流行以及該技術誕生20周年前后增加了。到2019年��,有30%的美國人會定期訪問暗網���,盡管大多數不是出于惡意目的�。此外,隨著大型社交網絡增加其內容過濾�����,以及隨著“表層網絡”上網絡監(jiān)視的日益普及���,暗網正逐漸成為某些聲音群體的意識形態(tài)逃避渠道����。
雖然這些數字可以讓事情看得更清楚��,但來自企業(yè)組織和MSSP的許多安全專家可能會問:“好吧�����,但這和我的公司有什么關系呢�����?為什么我要監(jiān)視暗網����?”
基于這些疑問,以下內容將會深入解析:哪些暗網威脅會直接針對企業(yè)�,以及暗網可能對企業(yè)資產和聲譽造成什么樣的影響�����。
二、 暗網監(jiān)控勢在必行
網絡攻擊者的秘密基地
薩里大學Michael McGuires博士在2019年的一項名為《走進獲利的網絡》研究中表示�,自2016年以來,可能損害企業(yè)利益的暗網列表數量增加了20%�。實際上,除藥品銷售之外�����,所有現有列表中有60%可能危害企業(yè)�。對于網絡安全社區(qū)而言,這確實是一個嚴峻的消息��。
除了支持不受管制的產品交易外���,暗網還為那些希望購買被盜數據的人提供了一個新興市場�����,這是網絡攻擊者最好的藏身之處之一�。這個問題變得如此普遍�����,以至于現在人們認為75%的漏洞在發(fā)布到NVD(美國國家漏洞數據庫)之前都是在暗網上披露的。
然而漏洞只是冰山一角���,以下是隱藏在暗網內的一些危險:
特洛伊木馬程序�����、鍵盤記錄程序和漏洞利用程序可輕松出售給任何攻擊者����。作為安全專家了解他們的存在是很重要的��,這樣才能保護客戶和公司����。在某種程度上,暗網甚至建立了一個專門的市場�����,只出售“高質量的漏洞”��。
由于已知或未知的數據泄露而導致的訪問憑據和個人數據泄露�。即使到了現在�����,Equifax漏洞的數據仍然可以在暗網上找到���,而就在上個月���,一次泄密事件導致60萬個地址以同樣的方式出售����。
網絡釣魚工具和高級網絡釣魚教程�,尤其是由于許多黑客團體都將暗網用作培訓營。暗網還是獲取此類服務(包括用于企業(yè)間諜活動的服務)的門戶���。
受保護的知識產權���、財務數據和商業(yè)秘密,通常會因數據泄露事件而泄露��,現在賣給出價最高的人��。
一般的系統(tǒng)漏洞�����,但也有系統(tǒng)特定漏洞,例如某些大公司基礎設施中的零日漏洞或漏洞���。
僵尸網絡及其命令和控制服務器也可以托管在暗網中���,不受外部檢查和掃描的影響。
與加密貨幣相關的市場和挖礦業(yè)務也在暗網上蓬勃發(fā)展�,特別是因為加密貨幣不受州法律的監(jiān)管。這也包括傳播加密劫持軟件�。
廣泛的惡意軟件集合,從模仿合法網站的欺詐相關腳本到按需DDoS攻擊或自定義惡意軟件����。
這意味著,當忙于處理來自常規(guī)來源的無數警報和潛在攻擊時�,可能會在暗網中開發(fā)出未檢測到的新惡意軟件,從而可以對基礎設施使用零日漏洞���。更糟糕的是����,過去可能曾發(fā)生過數據泄露的情況,而無法知道是否有人已經在暗網上使用了這些數據����。
暗網威脅可能會威脅到企業(yè)的基礎設施、數據和運營���,也可能威脅到品牌聲譽�����。這就是為什么監(jiān)控是必不可少的。
暗網監(jiān)控的力量
企業(yè)需要專門的軟件來密切關注暗網的動態(tài)���,同時還需要嚴謹的內部知識�。越來越多的威脅情報服務提供了暗網監(jiān)視功能���,使安全團隊可以完全了解暗網情況并為此做好準備����,而不必自己去尋找隱藏的網站����。暗網監(jiān)控可以掃描互聯(lián)網的遠端,尋找危害的基本指標,還可以尋找即將到來的威脅����。這種服務的功能通常包括:
- 搜索公司或客戶的PII(個人身份信息),并在黑暗的網站上報告這些信息的任何痕跡��。
- 搜索可能泄漏的公司資產�����,包括知識產權��、訪問憑據(泄露的密碼)和銀行帳戶�����。
- 搜索與漏洞或潛在攻擊有關的任何提及公司的信息��。
- 搜索現有合作伙伴與惡意暗網活動之間的任何連接����。
- 提供對最新和最少研究的威脅因素及其方法的廣泛看法。
- 預期針對公司或行業(yè)部門的攻擊��,或確定潛在的DDoS攻擊的來源�。
- 不僅要了解攻擊者的方法,還要了解他們的意圖,并讓安全團隊增強防御能力���。
這些技術用于生成易于理解的威脅情報反饋�����、安全警報或電子郵件警報�����。加上強大的網絡安全套件和數據加密���,它們可以被證明是對抗源自黑暗網絡的威脅的強大盟友。憑借其所有的加密和保密性����,暗網的安全性可以而且已經受到多次破壞�,特別是執(zhí)法機構已經嚴格控制了它的一些參與者。此外���,使它變得安全的相同技術(加密連接�����、無法追蹤和無法索引的網站)也使其變得非常緩慢且分散�����,從而允許合適的工具隨時收集有價值的信息�。
參考資源:
