2023年4月5日，美国联邦调查局（FBI）和荷兰国家警察局宣布捣毁最大的暗网市场之一Genesis Market。这次行动被称为“饼干怪兽行动”（Operation Cookie Monster），共逮捕了119人，并缴获超过 100 万美元的加密货币。您可以在此处阅读联邦调查局的搜查令，了解此案的具体细节。鉴于这些事件，可以讨论一下暗网威胁情报（OSINT）如何协助暗网调查。 暗网的匿名性吸引了各种各样的用户，从举报人和政治活动家到网络犯罪分子和恐怖分子。有多种技术可用于尝试识别这些网站和角色背后的个人。 技术漏洞 虽然不被视为OSINT，但在某些情况下，用于托管暗网网站的技术中存在技术漏洞。这些漏洞可能存在于软件本身，或者是由于配置错误造成的，但它们有时会泄露站点的真实IP地址。通常，这些软件漏洞需要使用渗透测试工具和技术（例如BurpSuite）来造成包含站点真实IP地址的错误消息。诸如此类的漏洞并不常见，而且很少被利用。 也有暗网网站运营者使用SSL证书或SSH密钥的情况，这些证书或密钥可以使用Shodan、Censys、Zoomeye或Fofa等资产扫描探测服务发现其明网上的真实IP地址。 加密货币追踪 暗网上的交易通常涉及加密货币以支付非法商品和服务。这使得借助区块链分析工具来识别个人身份成为可能。 根据各国”防止洗钱“的法律，任何人都无法以“匿名”名义去银行开设账户。这些要求通常称为反洗钱（AML）和了解您的客户（KYC），并要求客户提供政府颁发的身份证明以证明身份。许多国家对加密货币交易所都有类似的要求。 多年来，一些公司提供了区块链分析工具，试图将加密货币地址与特定交易所（例如Coinbase或Binance）联系起来。一旦加密货币地址与特定交易所存在联系，具有法律权限的执法和/或金融调查人员就可以要求交易所向他们提供该账户所有者的身份识别信息。 一直以来，对于个人来说，这些区块链分析服务购买成本高昂，但是，区块链分析提供商Breadcrumbs最近推出了一个分析平台，提供更实惠的价格和免费计划。 带回到互联网上 如何将需要在暗网上获取的联系方式带回互联网？想象一下，如果您经营着一辆餐车，而城市规定您每月不能在同一地点出现超过两次，您只能被迫不断更换地点。您将如何尝试建立品牌忠诚度，并让潜在客户知道您每天所在的位置？ 您可能会尝试让客户在社交媒体上与您联系或访问您的网站等，以便他们知道在哪里可以找到您。不管你相信与否，暗网上也存在着非常相似的动态。 暗网提供的是匿名性，缺乏的是稳定性和安全性。Silk Road、AlphaBay、Hansa、WallStreet以及现在的Genesis等主要暗网市场均已被执法部门取缔。拒绝服务攻击已成为Tor网络上的一个主要问题，最近流行的暗网论坛“Dread”前期也因此类攻击而关闭数月就证明了这一点。您能想象在那种环境下尝试经营暗网生意并获得稳定的收入吗？ 卖家尝试实现稳定性和弹性的一种方法是在多个市场上销售，并提供直接联系他们的方法。这种提供稳定性的尝试非常有意义，并且对于OSINT从业者来说非常有用，因为它提供了联系方法或“选择器”，因为可以使用它们在互联网上找到他们，并充分利用所有的知识、经验和资源。如从暗网网站获取电子邮件地址，并将其与使用Google的互联网上的网站关联起来。 一旦我们将个人与互联网上的资源联系起来，我们就有多种选择来对其进行去匿名化。最常用的一些选项包括： 历史WHOIS查询 WHOIS记录等域名注册信息可以提供有关网站所有者或运营者的有用信息。在某些情况下，犯罪分子可能会利用不准确或不完整的隐私保护措施，无意中暴露自己的身份或位置。即使某个网站的WHOIS信息目前是匿名的，但在过去的某个时间点往往不是匿名的。 论坛上的OSINT 暗网上的个人经常参加论坛进行交流、回答问题等，他们可能会无意中透露出可以帮助OSINT从业者更多地了解其真实身份的信息。他们使用的语言和独特的说法非常有用。 泄露数据 即使电子邮件与匿名服务绑定，用户也可能在其他网站上使用过它，包括论坛和社交媒体。如果在法律和道德上允许您能够在调查中使用泄露数据，您也许能够将在线角色与真实姓名、实际地址等联系起来。 事实证明对一些调查人员有帮助的一个泄露示例是2021/2022年来自多家VPN提供商（包括SuperVPN、GeckoVPN和ChatVPN）的10GB数据泄露。这些数据包含所用设备的全名、账单详细信息和潜在的唯一标识符，包括移动设备的国际移动用户身份（IMSI）。 未来的发展和趋势 未来的暗网市场打击将使用本文讨论的方法，并且毫无疑问将采用新兴技术。最明显的发展是在OSINT中使用人工智能（AI）和机器学习（ML）。例如，人工智能可以帮助构建网络爬取工具，可以快速收集和分析来自多个来源的数据，而机器学习算法可以经过训练来识别数据中的模式和关系。这些进步有可能为调查人员节省大量时间和资源，使他们能够专注于调查的其他方面。...

一位经验丰富的网络罪犯揭示了暗网上的真实情况——黑客、杀手和毒贩在这里肆意妄为。 这位匿名的消息人士解释了黑客如何使用勒索软件窃取数据以获得巨额报酬，或者“只是为了看到世界在燃烧”，并解释说任何连接到网络的系统都有遭受攻击的风险。 “我看到医院被加密，人们不得不做出选择：我是花钱解密数据，还是冒着生命危险？”男子边说边戴上了口罩以掩饰身份。 暗网是一个让人无法追踪的网上活动场所，具有高度的隐私性。最近的一份报告发现，最受欢迎的内容是儿童色情内容，其次是枪支和毒品。 虽然黑客没有触及这些非法活动，但他担心“[勒索软件将]对金融市场产生重大影响，或对电力生产设施等产生潜在影响。” 英国军事情报部门的退休上校菲利普·英格拉姆（Philip Ingram）去年表示：“暗网越来越多地被严重和有组织的犯罪分子用于各种目的。“ “他们寻找孩子们的弱点，培养他们做一些事情，比如沿着县级路线经营毒品，在恋童癖团伙中进行剥削，或者被恐怖主义和极端主义团体招募。” 有几个平台提供对暗网的访问，包括i2p、FreeNet和Tor。 Tor——洋葱路由器（The Onion Router）的简称——是一个由加密网站组成的矩阵，允许用户以完全匿名的方式在日常互联网下冲浪。 它使用多层安全和加密来使用户保持在线匿名。 一项研究估计，每天大约有260万Tor用户在暗网里冲浪。 澳大利亚国立大学的研究人员写道：“同一项研究发现，从单一的数据采集中发现，大约80%的洋葱服务流量被定向到确实提供非法色情、虐待图片和/或儿童性虐待材料的服务。” 这段黑客采访是由Vice在2021年进行的，但这段视频最近再次浮出水面，提醒人们有一个黑暗的世界，他们的唯一目标是利用互联网造成破坏。 这名男子以黑帽身份开始了他的黑客生涯，这是一种不遵守法律并为自己的目的进行攻击的网络犯罪。 此后，他翻开了新的一页，成为了一名白帽子，他利用自己的技能做好事，在网上追踪罪犯，寻找系统中的漏洞来修复它们，而不是利用它们。 “如果我想进入一家安全的公司，我不会去踢门。”他在采访开始时说。 “我会把目标放在我认识的有权限的人身上，我知道他们把个人设备带进大楼，或者做与敏感物品相邻的事情，然后我就会想办法上去。” 第一个勒索软件攻击是由约瑟夫·波普（Joseph Popp）于1989年编写的，用于针对医疗保健行业。 这种称为艾滋病木马（AIDS Trojan）的攻击是由Popp向世界卫生组织艾滋病会议的与会者分发2万个受感染的磁盘而完成的。 这些磁盘被标记为“艾滋病信息——介绍磁盘”。 当磁盘文件被下载到计算机上时，屏幕上会出现一个巨大的图像，上面写着该软件会“对其他程序应用程序产生不利影响，你将欠PC Cyborg公司赔偿和可能的损失，你的微型计算机将停止正常运行。” 该程序会计算计算机启动的次数，一旦达到90次，它就会隐藏目录并对C盘上的文件名进行加密或锁定。 为了重新获得访问权限，用户必须通过巴拿马的一个邮政信箱向PC Cyborg公司发送189美元。 此后，勒索软件已经发展到黑客不需要离开他们家的地方——一切都可以在暗网上完成。 “在过去，一个国家要对像美国这样大的国家造成破坏，你需要数百万美元的投资才能做某事，”该男子告诉Vice。 “今天，你只需要几千美元、一台笔记本电脑和几个聪明的黑客，就可以编写一些代码并发送出去。” 凯文·米特尼克（Kevin Mitnick）因在1995年攻击40家主要公司（包括IBM、诺基亚和摩托罗拉）而被认为是“世界上最著名的黑客”。 他窃取了计算机代码，有人估计这些代码花费了近3.3亿美元，并在监狱中度过了5年。 米特尼克在2000年获释后表示，他已经“改过自新”，现在以白帽子的身份生活——一名有道德的安全黑客。 与Vice交谈的人声称也是从事此类工作。 “我曾经认为自己是黑帽子，后来变成了白帽子，”这名男子说，长长的灰色胡须从面具下流淌出来。 “白帽子往往是受道德准则约束的黑客，他们试图做改善大局的事情，并受法律约束。” 但他过去的不当操作使他陷入了暗网的邪恶行为之中。 他解释说，虽然像俄罗斯这样的大国通常会在勒索软件攻击中被点名，但“每个国家都有理由将这些类型的攻击武器化。” 而正是那些在雷达下飞行的小国家正在充分利用。 他声称每个西方国家都去暗网寻求“社区”的帮助。 众所周知，即使是高级官员也不知道哪些系统在被黑客加密时最脆弱，最“受伤”。 这一点在2021年的Colonial Pipeline勒索软件攻击中得到了明确体现，该攻击由DarkSide黑客组织精心策划，并关闭了整个管道系统。 这次网络攻击中断了从德克萨斯州到新泽西州的铁路沿线每天250万桶燃料的运输。 官员们将其称为历史上对美国能源基础设施最具破坏性的网络攻击。 联邦调查局将这次袭击的幕后黑手命名为DarkSide。据报道，Colonial屈服于黑客的要求，支付了500万美元的赎金，以换取恢复服务器访问的解密密钥。 这位白帽黑客谈到了初始访问的代理市场，这是向网络犯罪分子出售企业网络访问权的威胁行为者。 “这些所谓的初始访问代理（IAB）以平均约2800美元的价格出售了被盗的VPN和远程桌面协议（RDP）帐户详细信息以及其他凭证，犯罪分子可以利用这些凭证侵入全球2300多个组织的网络世界，毫不费力。”Dark Reading报道称。 自Vice视频以来，初始访问代理市场出现了业务繁荣。 网络安全研究人员报告称，在2021年下半年至2022年上半年之间，IAB销售活动发生了2348次，经纪人的数量也从262人增加到380人。 据InfoSecurity Magazine报道，在报告期内，约有2886家公司的敏感数据被公布在勒索软件泄露网站上，比前一年增加了22%。 联邦调查局对这种非法活动并非视而不见，而是一直在努力抓捕大的参与者。 该机构现在正在寻找这些网站的运营商和用户。 联邦调查局一名高级官员本月在谈到该机构取缔大型在线暗网市场Genesis Market时说，我们不仅试图攻击供应方，而且还试图攻击用户的需求方。 “如果你打算使用这些类型的网站从事此类犯罪活动，就会产生后果。” 以FBI为首的国际执法机构查获了一个深受网络犯罪分子欢迎的庞大暗网市场，其中被盗密码的售价低至每个1美元。 被称为Genesis Market的黑客网络集市在名为“Operation Cookie Monster”的跨国打击行动中被查获，此前该网站专门出售被盗的数字指纹，即cookie信息。 据联邦调查局称，Genesis Market提供了从全球150多万台被攻击的计算机上窃取的数据，其中包含8000多万个账户访问凭证。 被盗数据包括网上银行、Facebook、亚马逊、PayPal和Netflix等服务的密码，以及数字指纹，犯罪分子可以利用这些数字指纹通过欺骗受害者的设备来绕过在线安全检查。 英国执法官员说，在全球范围内的协调突击行动中，进行了200多次搜查，逮捕了约120人，其中包括在英国小镇格里姆斯比及其周边地区逮捕的24人。 一名联邦调查局高级官员称，在美国境内也有嫌疑人因这次行动而被捕，但没有提供被捕人数或指控的细节。...