关于暗网：不要回答！不要回答！不要回答！

康卡斯特商业公司的网络安全专家Ivan Shefrin表示，暗网上，网络犯罪服务、犯罪工具的数量和种类都在增长，其包括僵尸网络、易于部署的软件、被盗的凭据和复杂的漏洞利用，比如访问Active Directory等特权系统。

僵尸网络价格低廉且易于使用，因此它们仍然是暗网上最常见的网络犯罪商品。Shefrin表示：“这些由受损计算机和物联网设备组成的大型网络可用于各种恶意网络活动，包括DDoS攻击、电子商务欺诈、勒索软件和加密挖矿。由于在不同类型的攻击媒介之间重新利用僵尸程序变得相对容易，导致了僵尸网络黑市的出现。”

被盗凭据已取代漏洞攻击，成为了获取内部环境初始访问权限最常见的方法，这影响了暗网的需求。Shefrin说：“最受欢迎的是远程桌面访问的有效凭证，疫情期间，这种凭证曾大幅增加。因此可以说，暗网是每个人获得受害者网络初始访问权的首选来源。”

02

一些空间只有受邀者才能进入

根据经验丰富的暗网研究员、Searchlight Cyber的CTO Gareth Owenson的说法，暗网上有一个完整的生态系统，专门销售针对企业系统的漏洞和漏洞利用程序，其中许多只有受邀者才能进入。

它的运作方式是，犯罪分子对客户和目标网络进行侦察，并探知他们转向暗网时正在运行哪些系统和网络。Owenson说：“犯罪分子会继续在这些市场上寻找针对特定系统的漏洞，当他们找到漏洞后，就会花钱购买针对该漏洞的利用程序。”

这当中存在一个供应链，专门被设计来攻击企业网络，犯罪分子可以从其他参与者那里购买不同的服务和技术产品，其中一些是个人贩卖者，另一些则是暗网上的犯罪集团。Owenson说：“攻击操作者可能无法直接访问组织的网络，但他们会出资让其他人来做，因为那些人已经购买了暗网上的漏洞来获得访问权限。”

根据WatchGuard Technologies的入侵分析师Ryan Estes的说法，结识特定人群或花钱购买访问权限通常是“受邀者论坛”中最常见的犯罪供应链。“你也可以和这些团体或论坛的成员建立合作关系，但这通常是执法官员秘密行动时才会做的事。”

黑鸟AI的情报分析师Rennie Westcott表示，访问仅限邀请者的地址通常由第三方数据提供商提供。“允许员工访问仅限邀请者进入的暗网论坛，是大多数组织都无法承受的风险。”

然而，具有高风险容忍度的组织里，存在一些经验丰富的专业人员，他们会在暗网论坛上搜索与组织安全相关的公开证书和TTP等内容，这对组织来说是有好处的。Westcott补充道：“研究人员通常会根据他们想要访问的网站创建虚假的角色，这也是语言技能和融入边缘社区的能力体现。”

执法机构可能会渗透进这些团伙，搜集足够的细节来确认管理网站的是哪些人。但有时也会发生意外，比如在现实世界中不小心公布了这些执法人员的电子邮件，然后相关人员就会被错误逮捕。

然而，执法机构想要取缔这些团伙并不容易，因为不法分子经常会更换基础设施。Owenson称，在最近一次执法行动中，有关部门关闭了许多服务器，因为如果漏掉一个服务器，整个网站就会继续运行。“所以，如果所有的执法都针对一台服务器，那么当这些服务器被关闭时，它们就会在世界各地自动填充和替换服务器。”

包括澳大利亚联邦警察局（AFP）在内的许多执法机构，都在动用复杂的技术、有针对性的行动和新的警务权力，比如网络活动和数据破坏令，其目的是为了监管暗网。法新社发言人表示：“我相信，所有执法机构的目标都是很明确的，非法数据销售、恶意软件、网络犯罪工具的开发和销售，以及‘网络犯罪即服务’等，都是需要我们去打击的。无论是国内还是国际，我们都要进行伙伴关系的识别，并共同瓦解和起诉网络罪犯。”

该发言人表示，国内和国际联合执法行动，已导致大量犯罪资产和非法资金被扣押，这也加强了澳大利亚网络环境的安全保障。执法机构还需要成立专门的工作队来应对重大违规行为，以最大限度地减少对敏感和个人身份信息（PII）的滥用。

开篇时说过，暗网上几乎所有的东西都是非法的。一类是毒品、枪支和毒药；另一类和IT相关的，就是漏洞利用、漏洞炸弹、访问凭证、黑客工具、网络攻击技术和被盗数据等。

Market research Future的高级研究分析师Nirmit Biswas表示，数据是暗网上最常见的商品。“账户凭证、信用卡信息、公民地址和社会安全号码都会被黑客入侵，有些人甚至根本没意识到自己已被黑客入侵，或公司和员工信息可能已被黑客出售。”

根据隐私事务暗网价格指数，从信用卡到Netflix账户，攻击者可以从被盗的个人信息中赚取大量的钱财。目前，被盗信用卡中，余额高达1000美元的信用卡仅售70美元，而余额高达5000美元的信用卡售价为110美元。Biswas说：“该指数显示了在暗网上获取数据的成本有多低。”

Biswas表示，曾经互联网上的一个小小无名之地，如今已经发展成为一股强大的力量，攻击者还在不断创新，以猫捉老鼠姿态始终领先于防御者。

暗网会变得更加的多样化，也会变得更为全面，其中越来越吸引目光的一个领域是勒索软件攻击，它刺激了暗网上的犯罪活动。

勒索软件组织如果没有收到赎金就会公布被盗数据，他们也促使了其他犯罪分子更容易搜索到私人数据，这种种现象都增加了组织信誉可能受损的概率，从而使得组织不得不支付赎金。

Biswas说：“因为勒索软件越发受到不法分子的欢迎，所以黑客会从勒索软件集合和僵尸网络日志文件中获取照片，并发布它们，以此提高自己的知名度。此外，许多卖家还会提供尚未被发现的零日漏洞。在其他情况下，当公司披露软件漏洞时，操作漏洞就会在暗网论坛被公布开来。”

Biswas表示，另一个正在发展的领域是营销线索数据库，这些数据库在暗网上已经存在了一段时间，但近年来总量正急剧增加。虽然这些数据可能已经在社交媒体或企业名录上被公开，但其还是会被抓取并重新发布；即使它可能不是100%准确的，却仍然提高了个人遭受网络钓鱼诈骗、企业欺诈和社会工程的可能性。

Sarah Boutboul是黑鸟人工智能公司的情报分析师，她解释说，数据泄露标准化正成为常态，其使得不法分子在暗网上可以进行更具针对性的搜索。这也就意味着，黑客论坛、聊天应用程序和粘贴网站上的数据泄露活动正变得越来越组织化。Boutboul说：“威胁行为者越来越多地在请求、共享那些符合特定类别的数据，这导致了非法数据交易的格局更加结构化了。”

BlackFog的威胁情报副总裁Douglas Lubhan表示：“暗网上还可以出售建立另一个暗网，有大量的不法分子具备这些技术工具和信息。可以想象，互联网上已经有很多暗网了。基本上，任何被屏蔽在互联网搜索引擎之外，并限制访问的网络都是一张暗网。”

根据Tor指标，2023年穿过中继的用户数量有所增加，中继数量本身也有所增加，这表明暗网的使用正在增加。

WatchGuard的Estes称，目前有一些著名的论坛正提供漏洞利用的拍卖、交换或销售，其包括了俄罗斯匿名市场（RAMP）、exploit[.]in和xss[.]is。

Estes表示，这些论坛也是勒索软件集团招聘的载体，他们会出售黑客技术。“在某些情况下，用户能通过所谓的IAB（初始访问代理）向组织出售访问信息。可以说，暗网是网络犯罪商业化的大杂烩。”

Estes觉得，使用Tor等匿名工具确实有其合法用途。在某些情况下，一些组织会特地创建暗网域名，其目的是让不使用Tor的用户也能访问他们的网站，FBI和X（之前称为Twitter）就是两个最好的例子。

至于恶意网站方面，曾有勒索软件组织创建拼写错误的暗网域名，以模仿受害者的网站，然后他们会提供指令或做出更多的勒索尝试，以进一步胁迫受害者支付赎金。ALPHV/BlackCat和Lorenz是其中的代表案例。

如Tor这样的匿名工具有其合法用途，比如记者、政府官员和其他人需要匿名托管服务时，这类工具可保护他们的通信免受压制政权的侵害。Owenson指出，Tor确实有保护隐私和绕过审查的合法用途，然而他的研究表明了，绝大多数匿名工具使用都是倾向于犯罪的。

Owenson认为，其主要问题在于，运营Tor网络的人员，由于其意识形态上对匿名的承诺，因此他们不会积极监管这些网站，也就导致了许多通信是围绕违法和犯罪在进行的。

在黑客、招聘和技术服务等多个领域，暗网越来越呈现出企业化的趋势。网络犯罪分子会创建与现实公司完全一样的虚假移动应用程序，以及相关的网站和社交媒体资料。

Blackbird AI的Boutboul对此表示：“比如某个程序看上去像银行应用APP，但用户一旦下载或访问，并提交了用户名、密码，就很有可能面临钱财受损的情况。对于企业而言，这种虚假的APP意味着网络犯罪分子能分享、操纵各种信息，最终的结果就是会影响公司的品牌和股价。”

此外，由于执法机构加大了打击力度，暗网论坛正在采用更严格的企业式访问控制。Boutboul说：“管理员会更加仔细地审查新来访，并会要求提供参考资料和验证令牌，一些平台甚至会要求提前支付大量的加密货币。也就是说，面对日益严格的执法环境，网络犯罪分子也在加强自己的安全措施。”

Biswas表示，企业在面对暗网时，有一系列工具和服务可以进行扫描，这是避免威胁和漏洞的好方法，但让人头疼的是，暗网是一个在不断移动的目标。因此，Biswas指出，暗网监控是一个不断变化的领域，需要不断更新和调整才能保持有效。

“好的暗网监控系统应该在不进入暗网的情况下，就能提供对暗网的广泛可见性，这可以防止企业将自己置于危险之中。同时，相关解决方案应该突出与组织相关的关键词，这样就可以观察威胁的演变，以利于CISO做出相应的反应。”

Biswas说：“没有可适用于所有用例的暗网监控解决方案。有些是自动化的，有些则需要专家团队来管理，还有些则需要依靠机器学习和人工智能来提供相关的信息。”

关于暗网我们需要注意什么？对此，安全人员和企业又该注意哪些方面？国内安全专家如此建议。

知乎相关专家“我为网络安全带盐”表示，作为安全负责人，关于暗网，以下是一些需要注意的事项：

1、了解暗网。首先，需要了解暗网是什么，它有哪些特点，以及它可能涉及到的风险；

2、警惕风险。暗网是一个非常危险的地方，它可能涉及非法活动、黑客攻击、网络欺诈等风险。因此，需要时刻保持警惕，并采取必要的措施来保护自己的安全；

3、避免访问未知网站。不要访问未知的网站，特别是那些看起来很特别或具有高风险性的网站。这些网站可能存在安全漏洞，可能会导致的个人信息泄露或遭受其他安全威胁；

4、保护个人信息。保护的个人信息非常重要。不要在公共场合或使用不安全的网络时输入个人信息，例如身份证号、银行卡号、密码等。同时，不要随意下载未知来源的软件或文件，以免受到恶意软件或病毒的攻击；

5、定期更新软件和操作系统。定期更新的软件和操作系统，以确保它们包含最新的安全补丁和功能。这可以帮助防止已知的漏洞和潜在的安全威胁；

6、保持警惕。最后，时刻保持警惕，并注意周围的安全环境。如果发现任何可疑的活动或风险，请及时报警或寻求帮助。

总之，作为安全负责人，需要了解暗网的风险和特点，并采取必要的措施来保护自己的安全。同时，也需要保持警惕，并随时关注周围的安全环境，以确保自己的安全。

另一位知乎相关专家“掌控安全学苑”提出，无论是安全人员还是其他员工，都不要下载使用与暗网相关的软件或浏览器扩展，以免被诱导进入暗网。同时要注意个人隐私和信息安全，避免在网上泄露个人敏感信息，如地址、电话号码、银行账号等。“我们还要谨慎点击网上的不明链接和附件，以免遭受网络钓鱼和恶意软件的攻击。企业最好使用强密码和多因素身份验证，保护个人账号的安全。另一方面，还要更新和使用可靠的安全软件，定期进行系统和应用程序的更新。”

某企业CDO/CSO曾永红表示，暗网是指隐藏的网络，普通网民无法通过常规手段搜索访问，需要使用一些特定的软件、配置或者授权等才能登录。暗网也暗藏着黑色信息产业的交易，数据泄露信息。而作为安全人员，一方面要遵守国家信息安全法律法规，另一方面，也要紧密跟踪，监控暗网的数据、信息泄露的可能情况，可以委托专业工具或服务商来实施监控与自身企业相关的威胁、暴露信息。对于这方面的服务商，曾永红认为国内的威胁猎人、魔方科技、知道创宇等做的都不错。

某金融企业安全专家李泽帮认为，要想理解暗网，首先要认识到万事万物都存在两面性，互联网也不例外。平时生活中使用的各类网站，如搜索引擎、电商平台、新闻站点等，都是相对规范、过滤后的网络表面；而暗网则代表了网络的另一面，它匿名、自由、不受约束且隐秘。

李泽帮表示，即使访问暗网需要克服百般阻难，但仍然有无数人趋之若鹜。那么暗网到底有什么魅力？通过公安每年进行的净网行动我们能了解到，暗网上的活动常常会涉及各类违法犯罪，如贩卖违禁品、数据泄露、黑客软件交易、传播违禁信息、赌博诈骗等。可见，暗网的背后潜藏着巨大的利益链。当然，也不能否认相当一部分人是出于研究或保护隐私的目的去正向地使用暗网，但这类人仅占少数。

而对于我们一般民众来说，暗网就好比《三体》中的黑暗森林，当我们进入暗网时，会有无数的黑客在窥伺我们，他们会布置钓鱼陷阱进行诱骗。“一旦你暴露真实身份，恶意行为者就可能随时发难，甚至在你受到伤害之后，你都不知道对方是谁。所以，暗网中的第一守则：‘不要回答！’”

对于安全人员和企业，李泽帮指出，暗网中的情报、信息可以作为安全研究和企业自查的材料，比如有一些0day、nday的漏洞利用都会在暗网论坛中发布，我们可以看到高手的探讨交流，了解漏洞原理并提前预防；还有一些单位、企业因为安全管理不善导致信息泄露，信息会被挂在暗网中售卖，我们可以通过这些情报进行自查、溯源，降低损失。比如此前有开发人员将代码挂在公开论坛上，泄露某云服务器的ak，导致上千万个人信息泄露并被挂在暗网售卖。可见暗网既是利益的变现渠道，也是有力的事件回顾方法。我们可以通过事件去发现安全意识的重要性，发现更多的泄露渠道（如网盘、论坛、社群等），发现危害扩散的节点（暗网）等，从而实现各环节的控制。

此外，安全人员也需要时刻关注自身的心理健康，减少暗网信息的冲击，避免误入歧途。同时也需要提高安全意识，在暗网中使用技术手段保持身份匿名，网络加密，用后清理痕迹，避免使用企业公开线路访问暗网等。

非专业从事暗网情报收集的人员和企业，切莫轻易亲力亲为去探知暗网中与自身相关的信息。由于在暗网中不能使用常规的逻辑和手段去面对对方，所以个人的网络行为很有可能打草惊蛇，导致企业受到进一步的信息泄露、钓鱼、入侵等攻击。