首页 » 漏洞 » 大争之世,解密暗网深处的攻击场景

大争之世,解密暗网深处的攻击场景

 

大争之世,解密暗网深处的攻击场景

前情提要

我们经常会讨论到地下市场中各类网络犯罪情况,其中暗网(The Dark Web)是一个逃不开的话题。

迄今为止,对暗网的研究和了解大多局限在其规模、特点和地下市场提供的商品和服务方面,对暗网中的攻击场景却知之甚少,本文主要就这一议题进行解析。

暗网简介

通俗的讲,暗网就是指利用了分散和匿名保护协议进行各类操作的网络,对于日常用户而言是不可见的,因为暗网中站点的页面和元素无法通过常规的搜索引擎实现搜索,大部分的暗网网站都使用匿名的Tor、Freenet或其他类似的技术/软件对网络流量进行加密,使其免于被窃听和审查。相应的,访问者也需要有专业化的工具和设备才能访问暗网中的内容。

暗网中的隐蔽站点(对公众而言)如同一个地下城堡,里边出售各种商品和服务(大多数都是被禁止的),是网络犯罪或寻找女非法商品和服务的庇护所,暗网中常见的交易包括:

⦁ 虚拟货币和洗钱交易
⦁ 恶意软件的托管平台
⦁ 出售各类账户信息
⦁ 出售各类护照和国籍信息
⦁ 泄漏政府、政策及名人政要的隐私
⦁ 暗杀服务
⦁ ……

值得注意的是,这些交易仅仅是暗网中的部分项目,除了提供非法商品和服务交易外,网络犯罪份子还可以利用暗网进行各类网络攻击,例如利用Tor技术实现恶意软件配置和分发等,对犯罪份子而言,这样做隐蔽性更强。

事物都具有两面性,从另一个层面来看,暗网可以提供匿名的能力,供人们自由的交流,远离审查和执法等。

暗网中的网络攻击

网络攻击无处不在,暗网也不可避免。然而,这是一个更加隐蔽的战场。

我们使用Tor网络部署了高交互的蜜罐系统,进行了为期6个月的持续观察。对数据进行分析,可知:暗网中的各类攻击是很常见的,而且大多都是手工进行的,旨在破坏或刺探其他网络犯罪份子运行的服务。

建立蜜罐:吸引网络犯罪份子

我们研究的目的是为了探索黑客在暗网中的作案手法,了解网络犯罪份子在暗网中的活动情况,尤其是他们是否会蓄意攻击和破坏其他犯罪组织或用户所管理的系统。

为此,我们在Tor网络中搭建了几台蜜罐系统,伪装成一个犯罪份子。每个蜜罐系统上都至少存在一个公开的漏洞,这些漏洞允许攻击者获得系统的所有权。这些蜜罐系统被感染后,我们会自动记录所有的日志并恢复环境到一个清洁的状态。

蜜罐系统的组成包括:

⦁ 一个黑市网站:只在受邀成员之间进行交易;
⦁ 一个博客:为暗网提供定制化的服务和解决方案;
⦁ 一个地下论坛:只允许注册会员登录,此外,想要成员会员需要提供一定的担保;
⦁ 一个私人的文件服务器:通过FTP和SSH协议,提供登录和敏感信息传输服务。

大争之世,解密暗网深处的攻击场景

图1:模拟的地下论坛(蜜罐# 3)

大争之世,解密暗网深处的攻击场景

图2:一个公开的漏洞(本地文件包含)

大争之世,解密暗网深处的攻击场景

图3:蜜罐中的注册账户的邮箱信息

大争之世,解密暗网深处的攻击场景

图4:蜜罐系统的体系结构。存在漏洞的应用系统/服务运行在一个受控制和监视的环境中,每天会自动提取所有可能与攻击相关的信息,并使用虚拟化技术(快照)将环境恢复到干净状态。

暗网中的攻击面

蜜罐系统运行了6个月,下图中显示了每天接收到的攻击的平均次数(按POST请求的数量来计算):

大争之世,解密暗网深处的攻击场景

图5:蜜罐(#1、#2、#3)每天遭受的攻击数。(*已经经过了Tor2web过滤)

在部署蜜罐两个月后,我们了解到暗网并不想某些人想象的那么隐私。只要使用Tor代理(类似Tor2web)就可以访问Tor网络提供的各项服务,而不需要任何额外的配置。我们的蜜罐被自饿哦那个提供给了传统的搜索引擎,并被一些自动化的漏洞利用脚本设置为隐式的攻击目标。结果,在五月份我们每天遭受的攻击次数超过170次。

这些来自公共互联网的攻击相当成功,我们的黑市站点被攻破的频率高达90%。攻击者大部分都会向服务器挂马(添加Webs hell),其后在蜜罐上运行系统命令、发送邮件、篡改网页、传播钓鱼工具包等操作。

而暗网中的攻击者使用的技术却有所不同,他们更倾向于进行手动攻击,更加谨慎,也会花费更多时间。比如,一旦它们通过Webshell获得系统访问权限,他们首先会尝试尽可能的收集服务器信息,采用列举目录信息、检查数据库内容、检索配置或系统文件等方式。

大争之世,解密暗网深处的攻击场景

图6:攻击者上传的Webshell信息示例

大争之世,解密暗网深处的攻击场景

图7:一个攻击者使用Tor匿名网络制作钓鱼电子邮件的实例

大争之世,解密暗网深处的攻击场景

图8:被攻破的蜜罐上安装了漏洞扫描工具(用于检测SQL注入)

暗网中的手工攻击者经常会删除他们存放在蜜罐中的文件,有些甚至会给我们留下消息(戏虐的“欢迎来到蜜罐系统”),表明他们已经识别出了这是蜜罐环境。

有趣的是,攻击者似乎意识到暗网中那些隐藏的服务是一个大大的金矿,适合发起所有的网络攻击,比如通过Tor 网络自动化的、匿名的发动DDoS攻击或垃圾邮件活动。

黑吃黑:攻击者之间的争斗

我们的一个主要发现是:似乎暗网中不同黑客组织/个人之间会相互攻击。我们的蜜罐系统主要模拟地下市场的常见服务,如VIP 市场和“shady”论坛。我们注意到暗网中的攻击者试图对我们的蜜罐进行如下攻击:

  • 打击网站的业务,攻击原因可能是同行竞争;
  • 企图劫持和监视从蜜罐的通信流量;
  • 从伪装成FTP服务器的蜜罐上窃取机密数据;
  • 通过登录我们模拟的聊天平台,试图监控IRC通信;
  • 对蜜罐上运行的地下论坛进行手动攻击

下边给出几个攻击的实例:

大争之世,解密暗网深处的攻击场景

图9:一次网站信息被攻破的实例

大争之世,解密暗网深处的攻击场景

图10:网站代码中注入了竞争对手的链接地址

大争之世,解密暗网深处的攻击场景

图11:网站代码中注入了竞争对手的链接地址(源代码)

大争之世,解密暗网深处的攻击场景

图12:对私钥进行攻击的实例

结论

开展这项研究之前,我们缺乏对暗网中网络攻击的认识,甚至以为Tor网络中隐藏的服务不会受到其他网络罪犯的攻击,但是,事实证明我们错了:

首先,使用Tor代理这种运行机制使得暗网不想人们想象的那么隐秘(黑暗),因此我们对蜜罐的通信流量进行了过滤。

我们以为这样可以阻止进一步的攻击活动,但事实上,攻击继续发生。推测是由于网络犯罪分子正在寻找其他组织运营的服务,并手工的进行网络攻击。鉴于索引和搜索在暗网中更难进行,这表明犯罪份子正在努力寻找并摧毁被其竞争对手控制的站点。

显然,盗贼之间没有荣誉可言,黑吃黑的争斗在暗网中更加惨烈。

*文章来源:trendmicro,转载请注明来自MottoIN.

原文链接:大争之世,解密暗网深处的攻击场景,转载请注明来源!

0