暗網直通車

dread 暗網有名的論壇

incongnito為何會被抓
使用ssh連線，可以識別到owner
https://www.wired.com/story/lin-rui-siang-incognito-market/

lockbit為何被抓
網站使用有漏洞的php，沒有更新
https://twitter.com/vxunderground

onion
由美國研發，防止被竊聽

如何上暗網

• browser
  • tor browser
• linux
  • https://www.whonix.org
  • https://tails.net

網路組成
由各個node組成tor network

1. guard node 進入節點
2. middle node 中間節點
3. exit node 出口節點

metrics.torproject.org/rs.html

如果tor被擋，可以用bridge node進入middle node

先到dirctory server找到tor info，隨機選擇三個node
dirctory server 具有各種節點的資料

onion只能用tor存取
優點

• IP被隱藏
• 流量都是端對端加密
• 不需要domain name

缺點

• 很慢
• 有些國家會擋

how onion service work
IP:introduction point
PK:public key
cookie:one-time secret
RP:rendezvous point

set up service

• web server
• bind the address to 127.0.0.1 only
• install tor
• /etc/tor/torcc
  • HiddenServiceDir /var/lib/tor/onionservice
  • HiddenServicePort hiddenport 127.0.0.1:realport
• https://github.com/jieliau/TorSetup

客製化domain
https://github.com/cathugger/mkp224o

osint

• twitter
  • url:onion "ransomware"
• google dork
  • intext:onion site:reddit.com
• reddit
• shodan
  • onion
  • https://github.com/jieliau/TorSetup/blob/master/shodanOnion.py

setup tor proxy

• /etc/tor/torrc
  • SocksPort 0.0.0.0:9050
  • SocksPolicy accept 192.168.0.0/16
  • SocksPoliy reject *
• torify/porxychain

search

• https://ahmia.fi/
• torsocks -a [SOCKS5 server address] -p [SOCKS5 password] -P [SOCKS5 server port] command url
  • https://support.torproject.org/zh-TW/glossary/torsocks/
  • https://docs.rockylinux.org/gemstones/torsocks/

tor site

• breachforums
• dread
• DarkVault
  • https://www.scmagazine.com/news/lockbit-copycat-darkvault-spurs-rebranding-rumor

住宅代理服務地下經濟圈

https://blog.gslin.org/archives/2015/04/20/5751/破別人的機器然後拿來賣-proxy-的「雲端服務」

販售頻寬

• https://www.honeygain.com/
• pawns
• repocket
• earnapp
• packetshare

hunting residential proxies with honeypots

market of underground of residential proxies

provision of proxies:proxyware,infected devices,freeware,SDK

share traffic

• bigmama vpn

Monetization:abuse scenarios and underground

https://www.imperva.com/learn/application-security/sneaker-bot/
https://www.kasada.io/sneaker-bots-evolution-ecosystem/
https://luminati.io/static/London-Workshop.pdf?md5=2363518-f1114485

藍隊的暗網事件應變守則

https://www.darkowl.com/blog-content/the-darknet-unveiled-unlocking-the-importance-of-darknet-data-in-osint-investigations/

小心詐騙

ecosystem of underground market

長安不夜城
暗網中文論壇
https://cyberint.com/blog/research/the-rise-of-the-chinese-dark-web-deepmix-to-changan/

1. reconnaissance:dark market
2. weaponization:malware development
3. delivery:malware-as-a-service
4. exploitation:exploit kit
5. installation:malware-as-a-service
6. command and control:hosting service
7. actions on objective:ransomware-as-a-service,banking trojan,advertising

ransomware

輕易透過暗網取得駭客工具

lockbit 2.0 case

1. dark web 外洩帳號
2. 有人存取內網
   • 懷疑是從暗網取得資料
3. 用各種工具竊取資料
4. 塞後門 cobaltstrike
5. lockbit加密

ransomware as a service
上游開發者開發惡意程式
下游找攻擊者去攻擊

同一個資安事件 可能背後有不同團隊合作參與
暗網上分工越來越細

商業模式

• affiliate program
  • 找人合作
• one-time fee
  • 一次性買斷

thanos rasomware threat actor

• 販賣軟體

從thread來看到開發者關注的技術等等

使用相同工具的人不一定相同
只用攻擊事件 用 TTPs 判斷可能誤判

供應鏈中 攻擊者使用的工具可能不會即時更改

infostealer

從端點收集資料
Malware as a service

1. 買惡意程式
2. 在暗網上販售資料

這些資料被稱為 Logs

更進一步有訂閱機制
越來越多暗網活動轉移到IM(即時通訊)上進行交易

資料比較即時

https://www.neteye-blog.com/2022/12/risepro-a-new-info-stealer-malware/

Lapsus$

• 透過vaild credentials取得存取
• 攻擊EA，slack的cookies在暗網上被買到，然後登入後進行社交攻擊

https://hitcon.org/2022/agenda/e41da3bf-8cbe-4c1d-ae7d-ab9fe127789f

threat hunting for underground market

研究前先做好OPSEC

監控對象

1. Personally Identifiable information
2. leak credential
   • 時間較久
3. initial access
   • 專門市場
   • webshell
   • log,RDP,SSH,VPN access
     • MagBo Backdoor
   • 比較新鮮
4. leaked code
5. exposure documents

透過自動化程式 將偷取的資料上架到網站

藍隊

1. monitor
   • crawl underground forum
     • deep web
     • directly messaging platform
     • high risk
2. rapid test
   • early-stage detection
3. investigation & track
   • verify the relevent record
   • highly manual analysis
   • track root cause
4. action
   • change password
   • conduct investigation for endpoint
   • estimate te damage of leaked document
   • 有可能是詐騙

單位夠大 就會有infostealer

從兩個攻擊手法了解商業模式
在暗網中如何運作

QA

對於暗網來說 http 與 https 安全性有差別嗎?
基本上建議用https. 有一些tor exit node有可能會分析網路流量/紀錄資料/做https mitm/等等的
暗網中 https(CA) 用意不大

想問 1.安全上暗網的方式 2.上完暗網是否有方式檢查個資有沒有外洩，或是安全離開暗網 3.如果上暗網的過程中個資外洩，或被駭有什麼處理方式?
使用 VM 不要放私人資訊 可以上 vpn
把 browser risk 設成最高

透過暗網傳輸資料會比明網安全嗎？
沒有。 基本上 darkweb 的重要的目標就是保密每一個用戶的身分。 如果需要用安全的方式傳輸資料- 建議研究 encryption/加密/ipsec/等等

用 shodan 去找受害者的 binary 特徵，是先讓 honeypot 成為受害者，才找出的特徵嗎？
我門的研究裡面用 shodan 跟 honeypot 沒有關係。 我門後來找到了一些 residential proxy 的特徵。 再用 shodan 可以找出跟多受害者的主機

請問 ahmia 的搜尋方式跟 google 一樣是使用爬蟲嗎 還是暗網會有不同的搜尋方式
有專門研究員 去找新的 onion site
onion site 替換速度很快
去 linkedin 找這些研究員

請問您們在使用 crawler monitor 暗網的時候如何處理 captcha? 謝謝
CNN 成效不錯