暗网之光:探索Tor、勒索软件与网络安全的深层世界
本网络研讨会最初于2025年2月20日播出。加入Black Hills Information Security的安全分析师Joseph,分享他对暗网的发现与见解,让你无需亲自探索也能了解其内幕。但如果你决定前往,他会教你如何安全导航。独自探索并不安全,请带上这些知识。
亮点摘要
-
1:13 暗网的起源与演变:从海军安全到隐私与人权
暗网源于海军对安全通信的需求,逐渐演变为Tor,强调去中心化与隐私保护。 -
2:08 揭开暗网的面纱:诈骗、杀手服务与卧底行动
暗网上的诈骗包括杀手服务网站,这些网站被当局监控。高调案例说明了风险与卧底行动的存在。 -
2:43 2021年高调勒索软件攻击:网络安全挑战与恢复之年
2021年,CNA Financial、Colonial Pipeline和JBS Foods的勒索软件攻击导致重大财务损失与业务中断。 -
1:49 勒索支付的复杂决策:平衡安全措施与运营风险
对企业而言,指南包括渗透测试、补丁管理和日志记录以提升安全。勒索支付是复杂的,可能影响未来威胁。 -
1:20 勒索事件响应首24小时步骤
响应勒索软件涉及隔离系统、评估威胁、引入专家并保存证据以供调查。 -
2:01 领导团队准备勒索的策略:预防、响应与政策倡导
通过制定健壮的响应计划、定期培训、备份、网络保险和国际合作来准备应对勒索。 -
1:31 数字行动主义与审查在现代抗议中的作用
阿拉伯之春抗议(2010-2012)期间,在线通信蓬勃发展,导致政权更迭和对ISIS的黑客行动主义。 -
2:49 SecureDrop:在暗网复杂性中促进新闻业的 secure communication
SecureDrop由Aaron Swartz和Kevin Paulson创建,通过Tor实现与媒体的安全文件共享,助力新闻业。 -
2:53 理解Tor与加密货币对勒索软件的影响
讨论使用Tor、Whonix和Brave浏览器访问暗网,以及勒索需求与加密货币价格的关系。 -
2:55 保持领先暗网威胁:蓝队策略与当前网络安全挑战
讨论蓝队防止凭证在暗网泄露和网络攻击的资源与方法。
完整视频
[视频链接]
文字记录
Deb Wigley
好的,Joseph,非常感谢你加入我们,以及所有观看的观众,感谢今天参加Black Hills Information Security的网络研讨会。Joseph将谈论“暗网之光”。他实际上正从暗网中向我们走来。Joseph,请开始吧。
Joseph
太好了。欢迎各位。这将是一个约40分钟的视觉展示,关于暗网的起源。内容涉及勒索软件,我有一个与非常聪明的人的酷访谈。这里有很多酷东西。没有幻灯片,没有PowerPoint。不会太技术性。所以,放轻松,享受节目。
Joseph(画外音)
暗网是互联网的一个隐藏层,对某些人来说可能很神秘。超越典型网页浏览器和喜爱的电商网站,存在一个网络,其中匿名是王道,秘密 thrive。有好的,有坏的。一个数字 underworld,很少有人探索。欢迎来到“暗网之光”。
在这段旅程中,我们将揭开Tor或洋葱路由器的一些层。我们将讨论好与坏。
那么暗网起源于哪里?回到90年代,海军明白互联网缺乏安全性,正如我们大多数人所知,存在严重安全漏洞。海军想要一个自己版本的互联网,在早期是匿名的。Tor的先驱知道网络需要去中心化,意味着应由多方控制而非单一实体。
2002年末,Tor网络部署并迅速起飞。事实上,它起飞如此之快,以至于电子前沿基金会开始资助该项目。不久后,2008年,专门为暗网发布的浏览器问世。如今,Tor是去中心化的,由数千个志愿者设置的 relay 控制。
有些人可能认为暗网是一个危险的地方,充满非法活动。其他人说它是关于隐私和人权的。我们将让你自己判断。
你可能不熟悉互联网的不同部分及其含义。简单来说,你有表面网络,它是可见的,可搜索的,我们每天使用的互联网。我们还有深网,它不一定被任何搜索引擎索引,可能需要用户名和密码,甚至可能根据你所在的位置受限。最后,我们有暗网或洋葱路由器Tor,类似于深网,但主要关注匿名性。要访问它,你需要特殊的浏览器或软件。甚至有完全致力于让你访问Tor的操作系统。
为什么大家对暗网有巨大的恐惧?是因为它未知吗?人们害怕他们不了解的事物。新事物吓人。如果你看最近的新闻,人们对无人机感到 terrified。它 newly mainstream,人们没有意识到无人机变得多么普遍。这是 engaging content。是爱好者在飞东西,还是来自外太空的东西?对于暗网,恐惧真正始于在线市场销售从 exotic animal parts、毒品到勒索软件的任何东西。你说得出,它就卖。如果你回想 early 2000s 和 tens 的一个有趣故事,你有几件事。一,一个公开销售非法物品的市场。二,市场在暗网或Tor上,这几乎像数字炼金术。最后,你必须通过一种大多数人不了解的货币在这个难以访问的奇怪网络上支付这些非法物品。当比特币是100美元一币时,回到110 BC,第一个大市场是丝绸之路。
以数千年前 lucrative material 命名,丝绸之路促进了东西方世界的贸易,使许多人致富。丝绸之路如此重要,以至于中国甚至扩展了长城以更好地保护这些贸易路线。当然,交易的不只是丝绸。其他商品如茶、香水、瓷器和火药也很受欢迎。快进到2011 AD,一个新市场形成,也叫丝绸之路,以 predecessor 命名。Ross Ulbricht,前书店老板和自由主义者,想给人们购买他们想要的任何东西并绕过当局的选项。它始于一些人通常认为是娱乐性药物。丝绸之路 then slowly but surely 引入越来越多,直到 invisible line 被 crossed,live and let live 态度开始改变,当 firearms 开始被销售时。添加 shady characters、更多金钱和执法到那个方程。随着时间的推移,执法部门确实有了一丝喘息,当他们能够将用户名Altoid与Ulbricht联系起来,而他在一个正常网站上推广该网站时。最终,Ulbricht被指控七项罪名并被判处两个无期徒刑。金钱的诱惑甚至对一些执法者来说 too much to handle。DEA agent Carl Force 和 Secret Service agent NSA agent Sean Bridges 偷窃了价值数十万美元的比特币。他们 went to great lengths 洗钱比特币并将其转换为传统货币。有趣的是,Donald Trump 在2024年中表示,他将 commutes the sentence of old brick。
这停止了吗暗网市场?简短答案是否定的。丝绸之路的其他变体由前版主启动。其他全新的市场如AlphaBay开始出现。现在,如果你认为丝绸之路很大,AlphaBay更大。随着丝绸之路铺平道路, disrupt 非法商品市场,加密货币 massive growth。当时,AlphaBay exponentiated 丝绸之路的收益,而运营时间比丝绸之路本身短。AlphaBay变得如此之大如此之快,毫不奇怪,它引起了多个执法机构的注意。类似于Albert的OPSEC失败,AlphaBay的创始人Alpha02在AlphaBay上留下了一个个人电子邮件地址和论坛帖子。他也没有花时间掩盖他作为管理员登录时的源IP地址,允许当局追踪活动回泰国。
这些违禁品市场的演变是什么样子?有趣的是,它们与正常电商网站没有太大区别,除了它们销售的产品。快速查看当前运营的暗网市场Venus显示折扣代码甚至实时聊天以帮助客户。那么执法如何识别和关闭这些操作?这不容易。过去15年技术的快速变化简直是 monumental。政府必须采用 entirely new methods 来抓捕罪犯。追踪加密货币交易、这些交易的模式、在邮政设施监控包裹和执行控制交付。甚至在消息中放置跟踪代码,可能揭示住宅IP地址, potentially circumventing 你与Tor的连接。这是一个复杂的猫鼠游戏,不断演变。暗网上也有许多诈骗,如杀手雇佣网站。虽然这些网站可能由当局运营,但它们 certainly monitored by authorities。在Christy Lynn Falcons的案件中,一名女性被指控谋杀雇佣阴谋,Christie支付了12比特币,当时价值5000美元,今天超过100万美元。数千条消息来回发送关于此犯罪的计划。讨论 workplace scheduling methodology,可能最令人不安的部分是证明工作已完成。假设的杀手是一名卧底FBI agent。Christie被指控并被判处五年监禁, not exactly on the dark Web。但在2023年,一名空军国民警卫队队员因申请一个 parody 杀手网站而被捕。当局被 alerted,再次,一名卧底FBI agent 达成交易。经过多次尝试劝阻该队员不要完成工作,该队员被指控并面临 up to 10 years。他于2月7日被判刑,就在此网络研讨会前几周。虽然合理假设杀手网站会被当局监控,数千订单仍然通过这些网站进行。嫉妒的情人、不满的商业伙伴甚至 devastated gamblers。M勒索软件和恶意软件在暗网上是大生意。你可以按服务付费。你可以单独购买软件。你甚至可以购买网络访问权限,以员工上下文执行恶意操作, potentially even 有特权的员工。
现在,你可能想知道,勒索软件起源于哪里?好吧,回到1980年代末,一个名为AIDS的 Trojan horse 会监控你的计算机启动次数。一旦你的计算机启动90次,硬盘中的文件会被隐藏然后加密。奇怪的是,第一个勒索软件的发明者是一名来自哈佛的生物学博士,他也在研究AIDS。另一个有趣的事实是,为了分发此勒索软件,必须通过蜗牛邮件邮寄。如果你不想失去你一生的作品,你必须支付189美元到巴拿马的一个P.O. box。谈论一个不满的员工。他在阿姆斯特丹的Schiphol机场被捕,并被指控多项勒索罪。这个故事的一个非常酷的事情是所涉及的人性。Jim Bates,他详细发布了如何解密勒索软件,以便用户可以取回他们的数据。我 truly feel like 那是今天的网络安全社区。帮助他人并分享知识。现在,在2020年代,勒索软件分发 far more sophisticated。执行恶意软件的方法与制作披萨的方法一样多。我 personally seen 的另一个有趣趋势是勒索软件组的 businesslike function。这些组有官方的妥协 playbooks。他们甚至使用像Jira这样的项目管理软件。
关于我的过去一点。回到2010年代末,我 entrenched in 所有这些不同的红队认证、物理安全认证,试图成为最好的我,使用所有不同的C sharp assemblies。它 did Post exploitation 在一个命令和控制框架内。我实际上制作了自己的 playbook,甚至有一个公共GitHub项目, attempted to automate 某些枚举和利用任务,以便所有命令除了变量如用户或计算机名称外, would be consistent,并且你在执行这些工具时不会出错, potentially ruining 你自己的红队操作。在那段时间, while performing some Purple Team engagements,这是黑客和防御者之间的协作项目,我得到了来自一个非常昂贵的威胁情报来源的一些直接TTPs,该来源 concerned with 勒索软件攻击的影响以及勒索软件操作者正在执行的内容。他们的 playbooks 与我在红队期间使用的命令和工具如此相似。我以为我在看我自己来自红队课程的笔记。它让我思考,这些坏演员中有多少人在我所在的同一教室或学习与我相同的东西。
你可以从勒索软件攻击中赚多少钱?好吧,比Venus市场上的 dimebags 多得多。让我们谈谈。似乎2021年充满了勒索软件攻击,对攻击者来说几乎是黄金时代。许多公司正在推出自己的安全运营中心和EDR。然而,许多还没有完全到位。2021年,CNA Financial向一个 believed to be linked to 犯罪组Evil Corp的勒索软件组支付了4000万美元,使用一个名为Phoenix的Hades勒索软件变体。此勒索软件 appeared to be 一个浏览器更新。CNA员工被锁定在网络外大约两周, simply ignoring 黑客并试图自行恢复数据。分析勒索软件的防御者得出结论,它 definitely a variant of 一种不同类型的勒索软件Hades。这些天,修改代码,有时甚至一个单一字节, could allow 攻击者使用一个 highly functional code base that’s detected statically,意思是仅在磁盘上,不运行,并绕过那些检测。制裁 ultimately brought against 俄罗斯组Evil Corp。同样在2021年,对Colonial Pipeline的勒索软件攻击影响不仅仅是一个企业。但让美国人 panicked 加油站会停止工作,人们无法去他们的热瑜伽课,或者更糟,会发生爆炸并涉及伤亡。此攻击的支付 amounted into 440万美元。这确实导致东海岸一些燃料短缺,但幸运的是,支付的赎金中有一半 actually recovered。FBI如何恢复比特币是未知的。有趣的是,FBI just had a private key 到一个有这笔钱的比特币钱包。非常有趣。同样在2021年,JBS Foods,世界上最大的肉类公司之一,处理美国大约20%的牛肉和猪肉,被勒索软件击中。负责攻击的组是Our Evil,一个俄罗斯 linked 勒索软件组。此勒索软件攻击导致美国五个大型工厂关闭。这 caused mass fear 肉类短缺和价格 spikes。支付了价值1100万美元的比特币以取回数据并恢复运营。Our Evil really hit the FO button。当总统和FBI都在调查攻击时,他们与俄罗斯当局合作, who were kicking in doors。FBI seized 他们的基础设施,包括支付门户和数据泄露站点。回溯一点,2019年,阿拉巴马州Mobile的Spring Hill医疗中心 affected by a ransom ransomware。此攻击导致业务中断,结果新生儿遭受严重脑损伤并在不久后死亡。这是由于监控设备在勒索软件攻击期间 inoperable。否则医疗专业人员 would have been able to identify 婴儿的问题并解决它们。2020年,在德国杜塞尔多夫大学医院,一名在勒索软件攻击期间需要紧急护理的女性被转移到未受勒索软件影响的医院,并因此死亡, due to the fact 她需要立即护理。石油和天然气管道、食品供应链中断、无辜妇女和儿童因勒索现金抢夺而死亡,这些是这些攻击 so far 的真实生活后果。
快进到2024年。根据国家安全顾问Anne Neuberger,九家电信公司和数十家其他公司已被中国 compromised。电话通话可以被 recorded,元数据可以被 stolen,高价值目标可能 possibly be geolocated。那么解决方案是什么?指南只是简单地 address cybersecurity gaps,没有具体内容。现在让我给一个无耻的插播和一些关于如何 address 某些网络安全差距的指南。观看BHIS内容。遵循我们指南并进行渗透测试的公司使渗透测试者和红队者的生活 so hard。它可能不一定保护 against a zero day。我的意思是,它是一个零日,但如果你保持补丁 up to date,执行漏洞扫描,你有MFA,你 enforce least privilege,你有EDR,所有那些好东西,你会使它 tougher。如果你记录所有你可以记录的东西,并且你仍然被 compromised,那信息可能对其他组织和试图帮助的防御者 valuable。它可能 Help them not to go through what you go through。这是FBI和CISA的官方立场 not to pay ransomware,但这不一定是一个 cut and dry decision。不支付勒索的一些明显原因是。好吧,支付赎金 does not necessarily guarantee 你会取回你的数据。它 also does not guarantee 攻击者不会创建和维护某种持久性以在未来妥协你,或者甚至只是将对你环境的访问权卖给另一个勒索软件组。访问即服务是真实存在的。最后,支付赎金,它 does further encourage 其他威胁行动者继续这些攻击。你可能想思考的几件事以及为什么它不一定是一个 cut and dry question and answer 是,嘿,与勒索成本相比,网络停机的成本是多少?有安全问题 involved 吗?医疗系统、航空、化工厂。我与一名顶级事件响应者坐下,他处理勒索软件和其他攻击近十年。我曾经与他合作过一次,我必须说,这家伙是 real deal。他的名字和声音已被更改, due to the fact 这是圣诞节后,他应该 actually be putting away decorations instead of having lunch and doing interviews with his hacker friends。
朋友们。
AI John Wayne
欢迎。
Joseph
谢谢出来这里。告诉我,你是怎么开始做网络安全的?
AI John Wayne
好吧,谢谢邀请我。它开始有点像我的演艺生涯。完全偶然,但有一丝天赋。人们开始被 no good varmints 推来推去。网络 ones,那就是。我 reckon 我不会袖手旁观,而这些亡命之徒 wreaked havoc。所以我 saddled up,学习了 ropes,并开始清理这个数字 frontier。Turns out 从那一点起,这是一个全新的世界。我 hooked。网络安全有点像在一个充满亡命之徒的小镇当警长。你必须 sharp、fast,并且 always one step ahead。它 ain’t glamorous,但 someone’s gotta do it。保护人们和他们的生计,那是值得做的工作。
Joseph
你能告诉我一点你处理的第一个重大事件吗?
AI John Wayne
好吧,让我告诉你,我的第一个重大事件是一个 real doozy,像一个酒吧斗殴,没有人告诉我我在哪一边。它始于公司的整个系统锁定 faster than a bad carburetor on a rainy day。Turned out 他们被勒索软件击中。而且不是便宜的那种。它是高端东西。我带着所有我能 muster 的 swagger rolled in,但 inside I was sweating bullets。我们必须弄清楚它从哪里开始,停止传播,并看看我们是否能拯救他们的数据。所有这些 without tipping off the attackers。它是 chaotic,a little terrifying,and more than a little exhilarating。最后,我们让系统 back online。我学到了什么?总是备份你的数据,并且 never underestimate 冷静头脑和好团队的价值。
Joseph
你最近在勒索软件攻击中看到的一些显著趋势是什么?
AI John Wayne
好吧,这些勒索软件牛仔不再玩旧规则了。他们用双重和三重勒索 upped the ante。这些勒索软件家伙不再只是将你锁在你自己的文件外。他们 stealing 你的数据并 threatening to spill 你的秘密,如果你不支付。如果那还不够,他们开始 targeting 你的客户或合作伙伴 too,添加 even more pressure to cough up。它像一个带敲诈 side 的人质 situation。它像在沙龙里分发枪支。Suddenly everyone’s dangerous and the volume of attacks is shot through the roof。供应链攻击。为什么闯入一家银行,当你可以劫持装甲列车?攻击者 going after 供应商和合作伙伴,通过供应链像 wildfire 一样传播他们的勒索软件。AI和自动化。这些坏演员 getting smarter and faster。他们使用AI sniff out 漏洞并自动化他们的肮脏工作。从钓鱼活动到暴力攻击。它像给一个强盗一个火箭发射器而不是六发左轮手枪。 targeting 关键基础设施。医疗、能源、运输,你说得出,他们 going after the systems。我们不能没有,知道这里的停机时间有 catastrophic consequences。这是一个 calculated play to hit us where it hurts the most。
Joseph