雖然公共安全措施已經(jīng)逐步放松，但是伴隨新冠病毒大流行而來的惡意軟件激增仍然是網(wǎng)絡(luò)安全新聞的頭條。正如最近的一項(xiàng)研究[1]指出的那樣，黑客已經(jīng)創(chuàng)建了不少于13萬個與COVID-19相關(guān)的新電子郵件域名，以實(shí)施分析人員現(xiàn)在所說的fearware攻擊。這些域名和已發(fā)現(xiàn)攻擊中的很多域名都與同一來源相關(guān)：暗網(wǎng)。

　　從銷售疫苗和假藥到簡單地散布恐慌，暗網(wǎng)已成為許多與新冠病毒大流行相關(guān)威脅的“宿主”。然而這些攻擊只是暗網(wǎng)常規(guī)活動的最新變化之一，其它活動包括但不限于特洛伊木馬程序、鍵盤記錄程序、漏洞利用程序、訪問憑據(jù)和個人數(shù)據(jù)、網(wǎng)絡(luò)釣魚工具和高級網(wǎng)絡(luò)釣魚教程、受保護(hù)的知識產(chǎn)權(quán)和財務(wù)數(shù)據(jù)和商業(yè)秘密、一般系統(tǒng)漏洞及特定零日漏洞、僵尸網(wǎng)絡(luò)及其命令和控制服務(wù)器、與加密貨幣相關(guān)的市場和挖礦業(yè)務(wù)以及其他惡意軟件，此類活動對企業(yè)資產(chǎn)和聲譽(yù)將造成嚴(yán)重影響。為了幫助大眾了解來自互聯(lián)網(wǎng)的威脅如何影響公司或客戶，天地和興近期發(fā)布了如下內(nèi)容，深入分析了“暗網(wǎng)”的概念及其運(yùn)作：

　　一、  暗網(wǎng)塑造網(wǎng)絡(luò)犯罪

　　什么是暗網(wǎng)？

　　無論是普通的用戶還是安全專家，大多數(shù)人都以同樣的方式上網(wǎng)：與幾個流行的網(wǎng)站和聊天客戶端捆綁在一起，或者通過搜索引擎瀏覽頁面。這項(xiàng)由傳統(tǒng)瀏覽器和應(yīng)用程序完成的活動，幾乎占據(jù)了絕大多數(shù)內(nèi)容。

　　但是，盡管這些內(nèi)容看起來很豐富，但它只是互聯(lián)網(wǎng)所能提供內(nèi)容的一小部分。根據(jù)CSO Online的數(shù)據(jù)，該部分只有4%。剩下的呢？沒有索引的網(wǎng)站、私人頁面和隱蔽的網(wǎng)絡(luò)的巨大集合，這些都是常規(guī)搜索引擎無法檢測到的，具有“深層網(wǎng)絡(luò)”的通用名稱。

　　深層網(wǎng)絡(luò)幾乎涵蓋了任何隱藏在公眾視線之外的東西，包括獨(dú)家和付費(fèi)內(nèi)容、私人存儲庫、學(xué)術(shù)期刊、醫(yī)療記錄、公司機(jī)密數(shù)據(jù)等等。從廣義上講，即使是電子郵件服務(wù)器的內(nèi)容也是深層網(wǎng)絡(luò)的一部分。

　　然而，深層網(wǎng)絡(luò)的某些部分有明顯的不同。如果深網(wǎng)通常是不能通過傳統(tǒng)方式找到的內(nèi)容，那么暗網(wǎng)就是其中不想被發(fā)現(xiàn)的那部分。

　　黑暗網(wǎng)絡(luò)通過使用互聯(lián)網(wǎng)作為支持的專用網(wǎng)絡(luò)存在，但需要訪問特定軟件以及其他配置或授權(quán)。雖然暗網(wǎng)只是深網(wǎng)的一小部分，但據(jù)稱它仍然占整個互聯(lián)網(wǎng)的5%左右，并且還占了其惡意活動的大部分。

　　由于無法直接訪問暗網(wǎng)，因此用戶需要使用特殊的軟件，例如Tor瀏覽器，I2P或Freenet。Tor，也稱為The Onion Router，可能是訪問暗網(wǎng)的最著名方式，因?yàn)樗扔米骶W(wǎng)關(guān)又用作安全措施（限制網(wǎng)站與用戶系統(tǒng)的交互）。雖然協(xié)議本身最初是由海軍部門開發(fā)的，然后才成為開源，但該項(xiàng)目目前由非政府組織管理。

　　I2P（Invisible Internet Project）專門致力于允許通過安全協(xié)議匿名創(chuàng)建和托管網(wǎng)站，從而直接促進(jìn)了暗網(wǎng)的發(fā)展。

　　在這一點(diǎn)上，值得指出的是，許多暗網(wǎng)絕沒有任何惡意，并且出于安全原因（新聞網(wǎng)站適用于審查猖獗的國家，私人聊天室適用于受創(chuàng)傷影響的人等等）。同樣值得注意的是，諸如Tor之類的平臺本身并不是惡意軟件，其技術(shù)也被許多合法公司所使用。但是，暗網(wǎng)為其用戶提供了兩個非常強(qiáng)大的功能，這些功能都很容易被濫用。

　　這些能力完全是匿名和不可追溯的。不幸的是，只有在Silk Road（當(dāng)時可能是世界上最大的非法在線市場）關(guān)閉之后，他們的危險才顯現(xiàn)出來。巨大的Alphabay的關(guān)閉也產(chǎn)生了類似的連鎖反應(yīng)，這是對Silk Road的更全面的后續(xù)行動。

　　匿名的危險

　　事實(shí)是，眾所周知，暗網(wǎng)上幾乎銷售任何東西。所有這些都不受網(wǎng)站所有者或政府部門的任何實(shí)際控制，并且全部受加密保護(hù)。早在2015年，一項(xiàng)研究就對2700多個暗網(wǎng)的內(nèi)容進(jìn)行了分類，發(fā)現(xiàn)不少于57%的網(wǎng)站托管了非法材料。

　　顯然，這促使政府采取了行動。一些執(zhí)法機(jī)構(gòu)已開始監(jiān)視Tor下載，以將其與可疑活動相關(guān)聯(lián)，而其他機(jī)構(gòu)（例如FBI）則在黑網(wǎng)上建立了自己的假非法網(wǎng)站，以抓獲違法者。

　　即使采取了這些措施，暗網(wǎng)的增長也遠(yuǎn)沒有停止。實(shí)際上，它的流量在COVID-19大流行以及該技術(shù)誕生20周年前后增加了。到2019年，有30%的美國人會定期訪問暗網(wǎng)，盡管大多數(shù)不是出于惡意目的。此外，隨著大型社交網(wǎng)絡(luò)增加其內(nèi)容過濾，以及隨著“表層網(wǎng)絡(luò)”上網(wǎng)絡(luò)監(jiān)視的日益普及，暗網(wǎng)正逐漸成為某些聲音群體的意識形態(tài)逃避渠道。

　　雖然這些數(shù)字可以讓事情看得更清楚，但來自企業(yè)組織和MSSP的許多安全專家可能會問：“好吧，但這和我的公司有什么關(guān)系呢？為什么我要監(jiān)視暗網(wǎng)？”

　　基于這些疑問，以下內(nèi)容將會深入解析：哪些暗網(wǎng)威脅會直接針對企業(yè)，以及暗網(wǎng)可能對企業(yè)資產(chǎn)和聲譽(yù)造成什么樣的影響。

　　二、  暗網(wǎng)監(jiān)控勢在必行

　　網(wǎng)絡(luò)攻擊者的秘密基地

　　薩里大學(xué)Michael McGuires博士在2019年的一項(xiàng)名為《走進(jìn)獲利的網(wǎng)絡(luò)》研究中表示，自2016年以來，可能損害企業(yè)利益的暗網(wǎng)列表數(shù)量增加了20%。實(shí)際上，除藥品銷售之外，所有現(xiàn)有列表中有60%可能危害企業(yè)。對于網(wǎng)絡(luò)安全社區(qū)而言，這確實(shí)是一個嚴(yán)峻的消息。

　　除了支持不受管制的產(chǎn)品交易外，暗網(wǎng)還為那些希望購買被盜數(shù)據(jù)的人提供了一個新興市場，這是網(wǎng)絡(luò)攻擊者最好的藏身之處之一。這個問題變得如此普遍，以至于現(xiàn)在人們認(rèn)為75%的漏洞在發(fā)布到NVD（美國國家漏洞數(shù)據(jù)庫）之前都是在暗網(wǎng)上披露的。

　　然而漏洞只是冰山一角，以下是隱藏在暗網(wǎng)內(nèi)的一些危險：

　　特洛伊木馬程序、鍵盤記錄程序和漏洞利用程序可輕松出售給任何攻擊者。作為安全專家了解他們的存在是很重要的，這樣才能保護(hù)客戶和公司。在某種程度上，暗網(wǎng)甚至建立了一個專門的市場，只出售“高質(zhì)量的漏洞”。

　　由于已知或未知的數(shù)據(jù)泄露而導(dǎo)致的訪問憑據(jù)和個人數(shù)據(jù)泄露。即使到了現(xiàn)在，Equifax漏洞的數(shù)據(jù)仍然可以在暗網(wǎng)上找到，而就在上個月，一次泄密事件導(dǎo)致60萬個地址以同樣的方式出售。

　　網(wǎng)絡(luò)釣魚工具和高級網(wǎng)絡(luò)釣魚教程，尤其是由于許多黑客團(tuán)體都將暗網(wǎng)用作培訓(xùn)營。暗網(wǎng)還是獲取此類服務(wù)（包括用于企業(yè)間諜活動的服務(wù)）的門戶。

　　受保護(hù)的知識產(chǎn)權(quán)、財務(wù)數(shù)據(jù)和商業(yè)秘密，通常會因數(shù)據(jù)泄露事件而泄露，現(xiàn)在賣給出價最高的人。

　　一般的系統(tǒng)漏洞，但也有系統(tǒng)特定漏洞，例如某些大公司基礎(chǔ)設(shè)施中的零日漏洞或漏洞。

　　僵尸網(wǎng)絡(luò)及其命令和控制服務(wù)器也可以托管在暗網(wǎng)中，不受外部檢查和掃描的影響。

　　與加密貨幣相關(guān)的市場和挖礦業(yè)務(wù)也在暗網(wǎng)上蓬勃發(fā)展，特別是因?yàn)榧用茇泿挪皇苤莘傻谋O(jiān)管。這也包括傳播加密劫持軟件。

　　廣泛的惡意軟件集合，從模仿合法網(wǎng)站的欺詐相關(guān)腳本到按需DDoS攻擊或自定義惡意軟件。

　　這意味著，當(dāng)忙于處理來自常規(guī)來源的無數(shù)警報和潛在攻擊時，可能會在暗網(wǎng)中開發(fā)出未檢測到的新惡意軟件，從而可以對基礎(chǔ)設(shè)施使用零日漏洞。更糟糕的是，過去可能曾發(fā)生過數(shù)據(jù)泄露的情況，而無法知道是否有人已經(jīng)在暗網(wǎng)上使用了這些數(shù)據(jù)。

　　暗網(wǎng)威脅可能會威脅到企業(yè)的基礎(chǔ)設(shè)施、數(shù)據(jù)和運(yùn)營，也可能威脅到品牌聲譽(yù)。這就是為什么監(jiān)控是必不可少的。

　　暗網(wǎng)監(jiān)控的力量

　　企業(yè)需要專門的軟件來密切關(guān)注暗網(wǎng)的動態(tài)，同時還需要嚴(yán)謹(jǐn)?shù)膬?nèi)部知識。越來越多的威脅情報服務(wù)提供了暗網(wǎng)監(jiān)視功能，使安全團(tuán)隊(duì)可以完全了解暗網(wǎng)情況并為此做好準(zhǔn)備，而不必自己去尋找隱藏的網(wǎng)站。暗網(wǎng)監(jiān)控可以掃描互聯(lián)網(wǎng)的遠(yuǎn)端，尋找危害的基本指標(biāo)，還可以尋找即將到來的威脅。這種服務(wù)的功能通常包括：

　　搜索公司或客戶的PII（個人身份信息），并在黑暗的網(wǎng)站上報告這些信息的任何痕跡。

　　搜索可能泄漏的公司資產(chǎn)，包括知識產(chǎn)權(quán)、訪問憑據(jù)（泄露的密碼）和銀行帳戶。

　　搜索與漏洞或潛在攻擊有關(guān)的任何提及公司的信息。

　　搜索現(xiàn)有合作伙伴與惡意暗網(wǎng)活動之間的任何連接。

　　提供對最新和最少研究的威脅因素及其方法的廣泛看法。

　　預(yù)期針對公司或行業(yè)部門的攻擊，或確定潛在的DDoS攻擊的來源。

　　不僅要了解攻擊者的方法，還要了解他們的意圖，并讓安全團(tuán)隊(duì)增強(qiáng)防御能力。

　　這些技術(shù)用于生成易于理解的威脅情報反饋、安全警報或電子郵件警報。加上強(qiáng)大的網(wǎng)絡(luò)安全套件和數(shù)據(jù)加密，它們可以被證明是對抗源自黑暗網(wǎng)絡(luò)的威脅的強(qiáng)大盟友。憑借其所有的加密和保密性，暗網(wǎng)的安全性可以而且已經(jīng)受到多次破壞，特別是執(zhí)法機(jī)構(gòu)已經(jīng)嚴(yán)格控制了它的一些參與者。此外，使它變得安全的相同技術(shù)（加密連接、無法追蹤和無法索引的網(wǎng)站）也使其變得非常緩慢且分散，從而允許合適的工具隨時收集有價值的信息。

　　參考資源：

　　[1] https://cornerstone-comm.ro/hackers-created-130000-new-email-domains-related-to-coronavirus-since-the-outbreak-of-the-pandemic-in-an-attempt-to-carry-out-fearware-attacks/

　　[2] https://businessinsights.bitdefender.com/enemy-unseen-part-i-how-the-dark-web-is-shaping-cybercrime

　　[3] https://businessinsights.bitdefender.com/enemy-unseen-part-ii-why-dark-web-monitoring-is-essential