暗网威胁全景:CISO必须了解的9大关键趋势
暗网性质与威胁演变
暗网指未被常规搜索引擎索引的网页。在网络匿名性掩护下,网络犯罪分子可运营各类用于破坏组织的工具和服务。尽管重大打击行动已破坏部分暗网生态,但其仍展现出韧性,并伴随新技术和犯罪策略的演变。对CISO而言,关键思维转变在于:暗网不再仅是数据泄露后的善后问题。
威胁分子基于暴露的凭据、陈旧访问点或配置错误的资产发起定向攻击。此类信息价格低廉且易于获取——为攻击敞开大门。根据SOCRadar的2024年暗网报告,网络犯罪分子可用不到10美元构建包含电话、地址等个人信息的被盗档案。
持续监控窃密软件日志、凭据泄露和暗网交流应是威胁情报的核心功能,而非事件后的偶尔排查。SOCRadar首席信息安全官Ensar Seker表示:“这是一个实时侦察区域。”
国际执法行动 targeting 暗网
国际警察组织正通过联合行动打击多个主要平台。澳大利亚联邦警察(AFP)参与了欧洲刑警组织主导的调查,于2024年关闭了LockBit的主要平台及遍布美、英、欧、澳的34台服务器。AFP发言人告诉CSO:“执法部门冻结了该勒索软件团伙拥有的200多个加密货币账户,剥夺了其巨额利润。”
AFP还参与了针对LabHost的国际警察行动,该平台通过短信和邮件进行持续网络钓鱼攻击以窃取受害者个人身份信息(PII)。发言人表示:“在取缔时,LabHost拥有超过4万个钓鱼域名和1万多名全球活跃网络犯罪分子使用其技术剥削受害者。”
澳大利亚已对与ZServers进行非法网络活动相关的数名个人实施金融制裁和旅行禁令。该组织为入侵健康保险公司Medibank Private的网络犯罪分子提供防弹托管(BPH)服务。AFP表示:“BPH提供商对执法部门的取缔努力和合作请求具有抵抗力,但并非免疫。”
新组织在主要市场被破坏后形成
国际取缔行动通过破坏大型运营、移除生态中的主要参与者和分散用户群来损害基础设施并遏制网络犯罪运营。然而,根据Kroll网络和数据韧性部门副董事总经理Edward Currie的说法,暗网具有高度适应性,复杂行为者通常备有应急计划,包括镜像、备份和替代论坛。
Kroll表示:“部分迁移至私人论坛、其他勒索软件组织,创建新勒索软件组织,或采用基于区块链的托管等去中心化技术或更难追踪和取缔的间歇访问平台。这些点对点、仅限邀请和/或凭证网络更快、更便宜,且更不易受执法部门破坏。”
尽管如此,取缔通常能获取宝贵的威胁情报,使网络安全社区受益,且这些情报无法从其他渠道获得。Kroll称:“从取缔中获得的威胁情报有助于其他执法调查。但取缔发生的速度、威胁行为者的演变将继续超越执法能力。”
暗网是交易非法商品和服务的活跃市场
根据BlueVoyant数字风险保护高级网络威胁情报分析师Matteo Salom的说法,除执法行动外,暗网活动随技术创新和犯罪策略而变化。
对可扩展性和专业化的重视日益增强,勒索软件即服务(RaaS)运营进行积极推广和招募。这包括吸引技术熟练合作伙伴的有利可图的附属计划,以及分层访问使附属机构能够支付高级工具、零日漏洞利用或预入侵网络访问费用。
它正分裂成专业化社区,包括凭据市场、零日漏洞利用交换、恶意软件工具包和受损系统访问,以及欺诈工具论坛。初始访问经纪人(IAB)蓬勃发展,出售企业环境入口点,随后由勒索软件附属机构或数据勒索组织货币化。勒索软件泄露站点展示攻击者的成功,发布样本文件、全面数据转储威胁以及拒绝支付的受害组织名称和被盗数据。
Salom表示:“与此同时,部分行为者正在试验基于区块链的托管、去中心化DNS和点对点市场,这些提供更强的抗取缔和监视韧性。”
根据SOCRadar的Seker的说法,随着信息窃取器日志的出现,对VPN、SaaS平台和企业凭据的需求激增。日志被直接货币化并用于网络钓鱼、权限提升和勒索软件部署。Seker指出:“值得注意的是商品化,2至5美元即可购买对企业帐户的访问权限,包括完整浏览器会话cookie、MFA绕过选项和加密钱包访问。”
根据P0 Labs高级副总裁Ian Ahl的说法,流行的恶意工具或服务还包括自动化语音或短信以窃取2FA代码的OTP绕过机器人、清空受害者钱包的加密排水器工具包以及深度伪造服务。
私人通信变得普遍
随着暗网运营分裂成更小、更精细的社区,网络犯罪分子正在开发自己的身份以营销其活动和非法工具。
根据Nightwing网络事件响应经理Nick Carroll的说法,在AlphV/BlackCat和LockBit等主要勒索软件参与者受到干扰后,较小的附属机构已转向RansomHub或DragonForce,或创建自己的品牌名称作为较大勒索软件名称的合作伙伴或独立运营。Carroll表示:“威胁行为者希望将焦点放在自己的品牌名称上,以获得更多恶名,例如定期推出新的勒索软件组品牌名称和泄露站点。”
截至2025年,Nightwing在过去六个月内跟踪了90多个活跃的勒索软件和数据勒索组织,其中16个组织的泄露站点仅存在约90天或更短时间。然而,这种碎片化运营使跟踪更加困难。他表示:“较小、碎片化的组织为执法部门试图跨境跟踪和逮捕带来了管辖权复杂性挑战,以及网络威胁情报归因和跟踪的挑战。”
领导层的变化使警务和威胁监控难以跟踪。例如,根据Carroll的说法,2022年BreachForums取代了RaidForums,并在管理员变动后于2024年重新启动,但此后经历了多次管理员变更。“流失是归因和跟踪的主要问题,这通常是威胁行为者有意为之,他们不想被抓住。”
碎片化也推动私人通信。Salom补充道:“许多网络犯罪分子正在迁移到加密消息平台,如Telegram、TOX和Matrix,以及仅限邀请的论坛,减少对传统基于Tor的市场依赖。”
DDoS租用服务的规模和普及度上升
尽管DDoS租用服务已存在多年,但其规模和普及度正在增长。Netscout网络安全研究员兼威胁情报总监Richard Hummel表示:“许多提供免费试用层级,部分提供无每日限制的全规模攻击、数十种攻击类型,甚至仅需几千美元即可提供显著的1 Tbps级输出。”
运营正变得更加专业,许多平台模仿合法电子商务网站,显示用户评论、卖家评级和争议解决系统,以在非法行为者之间建立信任。
网络犯罪分子还在创新其僵尸网络基础设施增长方式。根据Hummel的说法,臭名昭著的支持俄罗斯的黑客行动主义组织NoName057(16)通过名为Project DDoSia的服务提供数字货币支付来游戏化其DDoS,甚至创建了自己的加密货币令牌dCoin,可用于支付其他非法服务。“僵尸网络的分布通过Telegram上的简化入职流程促进,个人注册并因提供的攻击流量而获得加密货币支付奖励。”
DDoS租用服务现正添加AI和自动化功能,使发起高度复杂攻击更加容易。例如,部分服务使AI能够绕过CAPTCHA系统,使网站更难从滥用流量中过滤出合法流量。Hummel表示:“AI和自动化的这种强大结合使许多传统防御过时,绕过了速率限制等常规保护措施。”
“即服务”市场蓬勃发展
勒索软件即服务、窃密软件即服务(SMaaS)和网络钓鱼即服务运营蓬勃发展,并助长非法附加服务。还有无数支持服务帮助降低执行这些攻击的门槛,或帮助提高攻击效率。根据Carroll的说法,这些包括用于RaaS和SMaaS的加密服务、投放器服务和漏洞利用工具包。
漏洞利用工具包帮助新手利用公开暴露、未打补丁的服务;AI驱动的网络钓鱼工具包创建令人信服的网络钓鱼消息和攻击链;加密器通过打包、编码和隐写术等多种技术混淆恶意软件,使攻击更隐蔽、更难阻止。
在一个案例中,Rhadamanthys窃密软件开发者明确表示希望购买者对恶意软件进行加密,开发者的帖子突出了与加密服务的合作伙伴关系。Carroll表示:“这种利基服务生态系统的扩散使网络犯罪对技术含量较低的行为者更易访问,同时通过专业化实现更复杂的攻击。”
生成式AI使技术经验不足者更易发动攻击
AI有能力加速网络攻击的规模和复杂性,并开始融入暗网的工具和服务中。
生成式AI被用于伪造合成身份,包括深度伪造声音、伪造凭证和AI生成的背景故事。Kroll的Currie表示:“通过合成人物生成和深度伪造增强身份欺诈,帮助犯罪分子绕过了解你的客户(KYC)和生物识别检查。”
AI即服务(AIaaS)平台提供许多此类功能,降低了网络犯罪分子执行这些攻击的门槛。
非法论坛上的零交互聊天机器人可通过恶意软件开发指导学徒,创建动态、对抗性训练环境。0rcus联合创始人兼首席执行官Nic Adams表示:“恶意软件作者还采用AI辅助代码合成生成多态有效负载,即在每个编译周期更改签名的恶意二进制文件,这使静态检测过时。”
eSentire的威胁响应部门还观察到AI集成到StealC管理面板中以帮助过滤被盗日志。根据eSentire高级威胁情报研究员Vishavjit Singh的说法,还有报道称暗网论坛或通过私人消息出售“邪恶GPT”产品。“WormGPT(基于开源GPT构建的聊天机器人)作为网络钓鱼和恶意软件助手销售,而FraudGPT、DarkBard、WolfGPT等用于制作诈骗页面和网络钓鱼活动、创建恶意软件代码、构建黑客工具等。”Singh表示。
与此同时,当局正在进行一场猫鼠游戏,努力跟上不断变化的攻击模式。尽管他们不会透露行动细节,但许多拥有专门网络单位,具备专门培训、情报共享、行业合作伙伴关系和联合行动。AFP发言人表示:“AFP不断开发新的创新解决方案,确保我们具备应对所有犯罪方法的能力。”
加密货币主导支付但出现新参与者
交易绝大多数依赖比特币(BTC)等加密货币。AFP表示:“犯罪实体选择这种方法是因为误解加密货币是匿名的且执法部门无法追踪。”
越来越多地采用以隐私为中心的硬币,如Monero(XMR)和Zcash(ZEC),以保护匿名性并使执法部门难以追踪资金。根据Kurrie的说法,2023年至2024年间,仅接受Monero的新暗网市场份额从略高于三分之一增加到近一半,反映了反监视策略的明显趋势。
使用混合器混淆交易轨迹的情况也在上升。像Zcash这样的隐私币和利用零知识证明的新兴协议因其进一步掩盖交易的能力而受到关注。Kurrie表示:“这种转变使执法部门追踪非法资金流动的能力复杂化,推动机构投资新的区块链取证工具和跨链分析。”
许多平台现在提供多种货币、托管服务和自动洗钱工具,以及支持非法支付生态系统的利基服务。Carroll表示:“如今,暗网支付系统模仿合法电子商务,具有客户保护和争议解决机制。”
这部分是对退出骗局的回应,例如AlphV/BlackCat和其他市场所实施的。“但这似乎主要是由犯罪威胁行为者需要方便地快速从受害者处获取付款以支持进一步运营所驱动。”他补充道。
CISO当前应对策略
Currie表示:“安全专业人员必须以战略心态对待暗网,专注于情报收集而非恐惧。”
在合法的情况下,访问暗网可为威胁分析师、隐私倡导者和安全从业者提供合法目的。
“真正价值在于主动暗网监控,以实时识别受损凭据、泄露数据和新兴威胁。同样重要的是通过使用受信任的Tor浏览器、VPN、专用设备和禁用可能暴露身份的脚本来维护强大的运营安全。”Currie表示。
为加强基础网络安全措施,安全团队需要将暗网洞察纳入更广泛的威胁情报计划。这些洞察提供网络风险的背景信息,并帮助安全团队调整防御。Currie表示:“通过了解暗网,安全专业人员能更好地理解威胁行为者的行为和动机。”