:::info [TOC] ::: # 暗網直通車 dread 暗網有名的論壇 incongnito為何會被抓 使用ssh連線，可以識別到owner https://www.wired.com/story/lin-rui-siang-incognito-market/ lockbit為何被抓 網站使用有漏洞的php，沒有更新 https://twitter.com/vxunderground onion 由美國研發，防止被竊聽 | | v2 | v3 | | -------- | ---------------------- | ----------------------- | | 字元數量 | 16 | 56 | | 計算方式 | hash of RSA public key | full ed25519 public key | 如何上暗網 - browser - tor browser - linux - https://www.whonix.org - https://tails.net 網路組成 由各個node組成tor network 1. guard node 進入節點 2. middle node 中間節點 3. exit node 出口節點 metrics.torproject.org/rs.html 如果tor被擋，可以用bridge node進入middle node 先到dirctory server找到tor info，隨機選擇三個node dirctory server 具有各種節點的資料 onion只能用tor存取 優點 - IP被隱藏 - 流量都是端對端加密 - 不需要domain name 缺點 - 很慢 - 有些國家會擋 how onion service work IP:introduction point PK:public key cookie:one-time secret RP:rendezvous point       set up service - web server - bind the address to 127.0.0.1 only - install tor - /etc/tor/torcc - HiddenServiceDir /var/lib/tor/onionservice - HiddenServicePort hiddenport 127.0.0.1:realport - https://github.com/jieliau/TorSetup 客製化domain https://github.com/cathugger/mkp224o osint - twitter - url:onion "ransomware" - google dork - intext:onion site:reddit.com - reddit - shodan - onion - https://github.com/jieliau/TorSetup/blob/master/shodanOnion.py setup tor proxy - /etc/tor/torrc - SocksPort 0.0.0.0:9050 - SocksPolicy accept 192.168.0.0/16 - SocksPoliy reject * - torify/porxychain search - https://ahmia.fi/ - torsocks -a [SOCKS5 server address] -p [SOCKS5 password] -P [SOCKS5 server port] command url - https://support.torproject.org/zh-TW/glossary/torsocks/ - https://docs.rockylinux.org/gemstones/torsocks/ tor site - breachforums - dread - DarkVault - https://www.scmagazine.com/news/lockbit-copycat-darkvault-spurs-rebranding-rumor # 住宅代理服務地下經濟圈 https://blog.gslin.org/archives/2015/04/20/5751/%E7%A0%B4%E5%88%A5%E4%BA%BA%E7%9A%84%E6%A9%9F%E5%99%A8%E7%84%B6%E5%BE%8C%E6%8B%BF%E4%BE%86%E8%B3%A3-proxy-%E7%9A%84%E3%80%8C%E9%9B%B2%E7%AB%AF%E6%9C%8D%E5%8B%99%E3%80%8D 販售頻寬 - https://www.honeygain.com/ - pawns - repocket - earnapp - packetshare ## hunting residential proxies with honeypots ## market of underground of residential proxies ## provision of proxies:proxyware,infected devices,freeware,SDK share traffic - bigmama vpn ## Monetization:abuse scenarios and underground https://www.imperva.com/learn/application-security/sneaker-bot/ https://www.kasada.io/sneaker-bots-evolution-ecosystem/ https://luminati.io/static/London-Workshop.pdf?md5=2363518-f1114485 # 藍隊的暗網事件應變守則 https://www.darkowl.com/blog-content/the-darknet-unveiled-unlocking-the-importance-of-darknet-data-in-osint-investigations/  小心詐騙 ## ecosystem of underground market 長安不夜城 暗網中文論壇 https://cyberint.com/blog/research/the-rise-of-the-chinese-dark-web-deepmix-to-changan/ 1. reconnaissance:dark market 2. weaponization:malware development 3. delivery:malware-as-a-service 4. exploitation:exploit kit 5. installation:malware-as-a-service 6. command and control:hosting service 7. actions on objective:ransomware-as-a-service,banking trojan,advertising ### ransomware 輕易透過暗網取得駭客工具 lockbit 2.0 case 1. dark web 外洩帳號 2. 有人存取內網 - 懷疑是從暗網取得資料 4. 用各種工具竊取資料 5. 塞後門 cobaltstrike 6. lockbit加密 ransomware as a service 上游開發者開發惡意程式 下游找攻擊者去攻擊 同一個資安事件 可能背後有不同團隊合作參與 暗網上分工越來越細 商業模式 - affiliate program - 找人合作 - one-time fee - 一次性買斷 thanos rasomware threat actor - 販賣軟體 從thread來看到開發者關注的技術等等 使用相同工具的人不一定相同 只用攻擊事件 用 TTPs 判斷可能誤判 供應鏈中 攻擊者使用的工具可能不會即時更改 ### infostealer 從端點收集資料 Malware as a service 1. 買惡意程式 2. 在暗網上販售資料 這些資料被稱為 Logs 更進一步有訂閱機制 越來越多暗網活動轉移到IM(即時通訊)上進行交易 資料比較即時 https://www.neteye-blog.com/2022/12/risepro-a-new-info-stealer-malware/ Lapsus$ - 透過vaild credentials取得存取 - 攻擊EA，slack的cookies在暗網上被買到，然後登入後進行社交攻擊 https://hitcon.org/2022/agenda/e41da3bf-8cbe-4c1d-ae7d-ab9fe127789f ## threat hunting for underground market 研究前先做好OPSEC 監控對象 1. Personally Identifiable information 2. leak credential - 時間較久 4. **initial access** - 專門市場 - webshell - log,RDP,SSH,VPN access - MagBo Backdoor - 比較新鮮 5. leaked code 6. exposure documents 透過自動化程式 將偷取的資料上架到網站 藍隊 1. monitor - crawl underground forum - deep web - directly messaging platform - high risk 2. rapid test - early-stage detection 3. investigation & track - verify the relevent record - highly manual analysis - track root cause 4. action - change password - conduct investigation for endpoint - estimate te damage of leaked document - 有可能是詐騙 單位夠大 就會有infostealer 從兩個攻擊手法了解商業模式 在暗網中如何運作 # QA 對於暗網來說 http 與 https 安全性有差別嗎? 基本上建議用https. 有一些tor exit node有可能會分析網路流量/紀錄資料/做https mitm/等等的 暗網中 https(CA) 用意不大 想問 1.安全上暗網的方式 2.上完暗網是否有方式檢查個資有沒有外洩，或是安全離開暗網 3.如果上暗網的過程中個資外洩，或被駭有什麼處理方式? 使用 VM 不要放私人資訊 可以上 vpn 把 browser risk 設成最高 透過暗網傳輸資料會比明網安全嗎？ 沒有。 基本上 darkweb 的重要的目標就是保密每一個用戶的身分。 如果需要用安全的方式傳輸資料- 建議研究 encryption/加密/ipsec/等等 用 shodan 去找受害者的 binary 特徵，是先讓 honeypot 成為受害者，才找出的特徵嗎？ 我門的研究裡面用 shodan 跟 honeypot 沒有關係。 我門後來找到了一些 residential proxy 的特徵。 再用 shodan 可以找出跟多受害者的主機 請問 ahmia 的搜尋方式跟 google 一樣是使用爬蟲嗎 還是暗網會有不同的搜尋方式 有專門研究員 去找新的 onion site onion site 替換速度很快 去 linkedin 找這些研究員 請問您們在使用 crawler monitor 暗網的時候如何處理 captcha? 謝謝 CNN 成效不錯