暗网——看不见的敌人

索明

虽然公共安全措施已经逐步放松，但是伴随新冠病毒大流行而来的恶意软件激增仍然是网络安全新闻的头条。正如最近的一项研究指出的那样，黑客已经创建了不少于13万个与COVID-19相关的新电子邮件域名，以实施分析人员现在所说的Fearware攻击。这些域名和已发现攻击中的很多域名都与同一来源相關：暗网。

从销售疫苗和假药到简单地散布恐慌，暗网已成为许多利用新冠病毒大流行产生威胁的“宿主”。然而这些攻击只是暗网常规活动的最新变化之一，其他活动包括但不限于特洛伊木马程序、键盘记录程序、漏洞利用程序、访问凭据和个人数据、网络钓鱼工具和高级网络钓鱼教程、受保护的知识产权和财务数据和商业秘密、一般系统漏洞及特定零日漏洞、僵尸网络及其命令和控制服务器、与加密货币相关的市场和挖矿业务以及其他恶意软件，此类活动对企业资产和声誉将造成严重影响。为了帮助大众了解来自互联网的威胁如何影响公司或客户，天地和兴科技公司近期发布了如下内容，深入分析了“暗网”的概念及其运作。

一、暗网塑造网络犯罪

什么是暗网

无论是普通的用户还是安全专家，大多数人都以同样的方式上网：与几个流行的网站和聊天客户端捆绑在一起，或者通过搜索引擎浏览页面。这种由传统浏览器和应用程序完成的活动，几乎占据了绝大多数内容。

但是，尽管这些内容看起来很丰富，但它只是互联网所能提供内容的一小部分。根据CSO Online的数据，该部分只有4%。剩下的呢？没有索引的网站、私人页面和隐蔽网络的巨大集合，这些都是常规搜索引擎无法检测到的，具有深层网络的通用名称。

深层网络几乎涵盖了任何隐藏在公众视线之外的东西，包括独家和付费内容、私人存储库、学术期刊、医疗记录和公司机密数据等。从广义上讲，即使是电子邮件服务器的内容也是深层网络的一部分。

然而，深层网络的内容之间也是有明显的。如果深层网络不能通过传统方式找到，那么暗网就是其中不想被发现的那部分。

黑暗网络通过使用互联网作为支持的专用网络存在，但需要访问特定软件及其他配置或授权。虽然暗网只是深网的一小部分，但据称它仍然占整个互联网的5%左右，并且还占了其恶意活动的大部分。

由于无法直接访问暗网，因此用户需要使用特殊的软件，例如Tor浏览器，I2P或Freenet。Tor（The Onion Router）可能是访问暗网的最著名方式，因为它既用作网关又用作安全措施（限制网站与用户系统的交互）。虽然协议本身最初是由海军部门开发的，然后才成为开源，但该项目目前由非政府组织管理。

I2P（Invisible Internet Project）专门致力于允许通过安全协议匿名创建和托管网站，从而直接促进了暗网的发展。

在这一点上，需要指出的是，许多暗网没有任何恶意（例如出于安全原因，新闻网站适用于审查猖獗的国家，私人聊天室适用于受创伤影响的人们等）。同样值得注意的是，诸如Tor之类的平台本身并不是恶意软件，其技术也被许多合法公司所使用。但是，暗网为其用户提供了2个非常强大的功能，这些功能很容易被滥用，因为这些能力完全是匿名和不可追溯的。不幸的是，只有在Silk Road（当时可能是世界上最大的非法在线市场）关闭之后，他们的危险才显现出来。Alphabay的关闭也产生了类似的连锁反应，这是对Silk Road的更全面的后续行动。

匿名的危险

事实是，暗网上几乎销售任何东西。所有这些都不受网站所有者或政府部门的控制，并且全部受加密保护。早在2015年，一项研究就对2 700多个暗网的内容进行了分类，发现不少于57 %的网站托管了非法材料。

显然，这促使政府采取了行动。一些执法机构已开始监视Tor下载，以将其与可疑活动相关联，而其他机构（例如FBI）则在黑网上建立了自己的假非法网站，以抓获违法者。即使采取了这些措施，暗网的增长也远没有停止。实际上，它的流量在COVID-19大流行以及该技术诞生20周年前后都增加了，到2019年，有30 %的美国人会定期访问暗网，尽管大多数不是出于恶意目的。此外，随着大型社交网络都增加了内容过滤，和“表层网络”上的监视日益普及，暗网正逐渐成为某些声音群体的意识形态逃避渠道。

虽然这些数字可以看清楚暗网的风险，但来自企业组织和MSSP的许多安全专家可能会问：“好吧，但这和我的公司有什么关系呢？为什么我要监视暗网？”

以下内容将会深入解析哪些暗网威胁会直接针对企业，以及暗网可能对企业资产和声誉造成什么样的影响。

二、暗网监控势在必行

网络攻击者的秘密基地

萨里大学Michael McGuires博士在2019年的一项名为《走进获利的网络》研究中表示，自2016年以来，可能损害企业利益的暗网列表数量增加了20 %。实际上，除药品销售之外，列表中有60 %的内容可能危害企业。对于网络安全社区而言，这确实是一个严峻的消息。

除了支持不受管制的产品交易外，暗网还为那些希望购买被盗数据的人提供了一个平台，这是网络攻击者最好的藏身之处之一。这个问题变得如此普遍，以至于现在人们认为75 %的漏洞在发布到美国国家漏洞数据库（NVD）之前都是在暗网上披露的。

然而漏洞只是冰山一角，以下是隐藏在暗网内的一些危险：

特洛伊木马程序、键盘记录程序和漏洞利用程序可轻松出售给任何攻击者。作为安全专家了解他们的存在是很重要的，这样才能保护客户和公司。在某种程度上，暗網甚至建立了一个专门的市场，只出售“高质量的漏洞”。

由于已知或未知的数据泄露而导致的访问凭据和个人数据泄露。即使现在，Equifax漏洞的数据仍然可以在暗网上找到，而就在不久前，一次泄密事件导致60万个地址以同样的方式出售。

许多黑客团体都将暗网用作培训营，发布网络钓鱼工具和高级网络钓鱼教程，因此暗网还是获取此类服务（包括用于企业间谍活动的服务）的门户。

受保护的知识产权、财务数据和商业秘密，通常会因数据泄露事件而泄露，卖给出价最高的人。

但也有系统特定漏洞，例如某些大公司基础设施中的零日漏洞或其他漏洞。

僵尸网络及其命令和控制服务器也可以托管在暗网中，不受外部检查和扫描的影响。

与加密货币相关的市场和挖矿业务也在暗网上蓬勃发展，特别是因为加密货币在有些地方不受律的监管，这也包括传播加密劫持软件。

广泛的恶意软件集合，从模仿合法网站的相关欺诈脚本到按需DDoS攻击或自定义恶意软件。

这意味着，在处理常规来源的大量警报和潜在攻击时，可能会在暗网中发现之前未被检测到的、新的恶意软件，这些恶意软件可以对基础设施发动零日漏洞攻击。更糟糕的是，在过去曾发生过的数据泄露情况中，可能有人已经在暗网上使用了这些数据。

暗网威胁可能会威胁到企业的基础设施、数据和运营，也可能威胁到企业的品牌声誉。这就是为什么说监控是必不可少的。

暗网监控的力量

企业需要专门的软件来密切关注暗网的动态，同时还需要严谨的内部知识。越来越多的威胁情报服务提供了暗网监视功能，使安全团队可以完全了解暗网情况并为此做好准备，而不必自己去寻找隐藏的网站。暗网监控可以扫描互联网的远端，寻找危害的基本指标，还可以提示即将到来的威胁。这种服务的功能通常包括：

搜索公司或客户的个人身份信息（PII），并在黑暗的网站上报告这些信息的任何痕迹；

搜索可能泄漏的公司资产，包括知识产权、访问凭据（泄露的密码）和银行帐户；

搜索与漏洞或潜在攻击有关的任何涉及公司的信息；

搜索现有合作伙伴与恶意暗网活动之间的任何连接；

提供对最新的、较少研究的威胁因素及看法；

预期针对公司或行业部门的攻击，或确定潜在DDoS攻击的来源；

不仅要了解攻击者的方法，还要了解他们的意图，并让安全团队增强防御能力。

这些技术用于生成易于理解的威胁情报反馈、安全警报或电子邮件警报。加上强大的网络安全套件和数据加密，它们可以被证明是对抗源自黑暗网络威胁的强大盟友。凭借其所有的加密和保密性，暗网的安全性可以而且已经受到多次破坏，特别是执法机构已经严格控制了它的一些参与者。