「暗網」, 一個原本局限在IT行業和部分不法群體中的名詞,卻在2018年不斷刷新大眾的認知。在媒體報道中,「暗網」常與「個人信息」、「勒索」、「黑市」等字眼相伴,化身為各類犯罪信息匯聚和違法交易橫行的「不法之地」。由於「暗網」 需要通過特殊的加密通道訪問,極具匿名性和隱蔽性,訪問者和伺服器都難以被溯源,導致人性的醜惡在此毫無遮掩。早年間隱匿於暗網的海盜灣(The Pirate Bay)曾被稱為「世界上最大的BT種子伺服器」,而從2017年開始陸續被FBI等機構搗毀的絲綢之路(Silk road)、阿爾法灣(AlphaBay)和漢薩(Hansa)則是當時規模領先的暗網交易平台。

暗網大盤分析

「暗網」的本質,是一種通過特殊的加密通道才能訪問的網頁或數據。2018年上半年,守護者計劃安全團隊對我國暗網訪問情況進行了大盤分析。數據表明:

1、我國網民日均訪問暗網的用戶數佔比不足5%,且其中1/3使用全局代理訪問。

2、從地域上看,廣東訪問暗網的用戶佔全國訪問暗網用戶的比例最大,約21%。其它省份訪問暗網用戶數量佔比大致平均,最高也未超過7%。

3、從性別上看,男性訪問者約佔77%,女性訪問者約佔17%,其餘6%左右的訪問者性別不詳。

4、從年齡上看,19-27歲的訪問者佔比超過半數(52.1%),其次分別是10-18歲(29.9%)、28-36歲(8.8%)等。

5、在發現的1800餘個暗網站點中,絕大多數為英語、俄語等外語網站。日訪問數在150-500之間,訪問量排前十的站點中,搜索類佔4個、交易類和網址目錄類各2個、論壇和色情類各1個。

暗網上的數據交易

儘管我國的暗網搭建訪問情況尚不突出,但今年以來,發生了多起在暗網中文論壇上的數據交易事件。早在2011年,國內就發生過一輪標誌性的大規模用戶數據泄露事件,此後,人們對數據泄露和信息交易的關注度越來越高:

1、2018年6月,有人宣布入侵併獲取了某視頻網站近千萬用戶數據,並以此進行勒索;

2、2018年7月,有人叫賣3億條某快遞公司用戶數據,售價2個比特幣;

3、2018年8月,某省1000萬學籍數據發生泄露並出現在暗網上;而後,又有人兜售某在美上市公司數億用戶數據,售價為8個比特幣或520個門羅幣;

4、2018年9月,有人叫賣大量公民身份信息、互聯網公司用戶信息,其中也包括大量社交賬號和密碼,為了吸引買家,不法分子索要的比特幣數量,僅僅摺合人民幣數千元。

基於暗網上數據泄露和不法交易頻發,騰訊安全雲鼎實驗室對於2018年來國內暗網數據交易情況進行了梳理統計:

守護者計劃安全團隊對上述事件進行了跟蹤,並深度參與協助警方開展相關調查分析。

期間,守護者計劃安全團隊先後協助警方偵破了其中2起案件,抓獲犯罪嫌疑人10餘名,查獲非法獲取的公民個人信息3億餘條、大小超過300G。

暗網交易和數字貨幣

通過對這些案件進行梳理,守護者計劃安全團隊發現幾乎所有的暗網交易,都用數字虛擬貨幣來結算,有些交易帖中甚至自帶錢包地址,方便「買家」付款。數字虛擬貨幣這種從區塊鏈技術衍生出來的應用,因為天生契合了暗網的匿名匿蹤性特點,儼然已經成為了暗網的通用貨幣。

近兩年來,「區塊鏈」概念大熱,由其作為底層技術應用的數字虛擬貨幣的代表——比特幣,早已經歷了身價的暴漲。至今,全球出現過的數字加密貨幣已超過1600種,比地球上國家總數的8倍還多。

這些虛擬幣中存在大量空氣幣,被認為一文不值。但它們在高峰時期卻撐起了6000億美元的市值。排名前十的加密數字貨幣,佔總市值的90%,其中比特幣、以太坊幣分別佔總市值的46.66%和20.12%。

隨著近年來利用數字虛擬貨幣進行洗錢和不法交易的案例漸多,網路黑產人員頻頻利用非法挖礦、勒索、盜竊等威脅網路安全的手段,大肆攫取數字虛擬貨幣,反過來應用在暗網交易中牟取暴利。守護者計劃安全團隊基於協助警方開展的刑事打擊實踐和相關研究,歸納國內黑產人員非法獲取數字虛擬貨幣的途徑如下:

1、瞄準高性能計算機植入木馬進行挖礦

黑產人員採取在遊戲外掛中植入木馬、串通網吧工作人員在網吧批量植入木馬等手段,精準利用高性能計算機進行挖礦,以牟取暴利。

2018年初,基於騰訊御見威脅情報系統的發現和預警,守護者計劃安全團隊協助警方打掉一個製作、傳播挖礦木馬的犯罪團伙。該團伙通過將挖礦程序寫入「吃雞」遊戲外掛的方式,來精確尋找高性能計算機進行挖礦,從而在短時間內「挖取」2000餘萬枚數字貨幣、獲得超過千萬元的不法收益。

在此之後,守護者計劃安全團隊又陸續發現多個植入遊戲外掛、網頁的挖礦木馬線索,在與不法黑客積極展開線上對抗的同時,協助警方進行線下打擊,有效降低了此類案件的風險,保護了廣大網民的計算機系統,使其免受不法侵害。

2、控制企業伺服器組建殭屍網路

隨著各種數字貨幣挖礦難度攀升,通過控制普通用戶個人電腦挖礦已經不能滿足黑產人員對於算力的需求,於是他們將目光投向了企業伺服器,通過組建殭屍網路進行挖礦。其中有一款 「黃金礦工『PhotoMiner』木馬」在短短兩年內控制肉雞總共挖到8萬枚門羅幣,非法獲利超人民幣8900萬元。

同時,守護者計劃安全團隊發現,部分國內挖礦木馬也出現了通過自建礦池或租用第三方礦池進行挖礦的現象,多用於挖取以太坊幣、門羅幣等幣種。

3、網頁挖礦正在成為新的威脅

除上述兩種方式外,守護者計劃安全團隊還發現黑產人員使用網頁挖礦的跡象。這種方法是指黑產人員利用用戶在網頁上觀看視頻、閱讀文章時停駐時間較長、所需計算機資源不高的特點,在正常網址中插入挖礦代碼,從而更少地影響用戶使用計算機時的體驗,達到更佳隱匿的目的(下圖為騰訊御見威脅情報系統分析情況)。

網路黑產無論其外在形式如何變化,最終逃不脫其「經濟活動」的本質,因而其趨利性的根本訴求,勢必推動和導致其向更難以被追蹤、發現、打擊的暗網遷移,反過來也會激發對數字虛擬貨幣的渴求。

但是,互聯網不是法外之地,暗網亦非逍遙窩。守護者計劃安全團隊將持續關注、對抗網路黑產,向暗網上的違法犯罪說「不」,聯合政府、行業和用戶力量,形成共治合力,共同維護網路世界的清朗有序。

丨聲明:本文部分圖片來源於網路,已對涉及商業和用戶信息做相關脫敏處理。


推薦閱讀:
相关文章