守护者观察 | 从几起热点事件看2018年的暗网趋势

本文作者:守哥@守护者计划

“暗网”, 一个原本局限在IT行业和部分不法群体中的名词,却在2018年不断刷新大众的认知。在媒体报道中,“暗网”常与“个人信息”、“勒索”、“黑市”等字眼相伴,化身为各类犯罪信息汇聚和违法交易横行的“不法之地”。

由于“暗网” 需要通过特殊的加密通道访问,极具匿名性和隐蔽性,访问者和服务器都难以被溯源,导致人性的丑恶在此毫无遮掩。

早年间隐匿于暗网的海盗湾(The Pirate Bay)曾被称为“世界上最大的BT种子服务器”,而从2017年开始陆续被FBI等机构捣毁的丝绸之路(Silk road)、阿尔法湾(AlphaBay)和汉萨(Hansa)则是当时规模领先的暗网交易平台。

 

暗网大盘分析

“暗网”的本质,是一种通过特殊的加密通道才能访问的网页或数据。2018年上半年,守护者计划安全团队对我国暗网访问情况进行了大盘分析。数据表明:

1、我国网民日均访问暗网的用户数占比不足5%,且其中1/3使用全局代理访问。

2、从地域上看,广东访问暗网的用户占全国访问暗网用户的比例最大,约21%。其它省份访问暗网用户数量占比大致平均,最高也未超过7%。

3、从性别上看,男性访问者约占77%,女性访问者约占17%,其余6%左右的访问者性别不详。

4、从年龄上看,19-27岁的访问者占比超过半数(52.1%),其次分别是10-18岁(29.9%)、28-36岁(8.8%)等。

5、在发现的1800余个暗网站点中,绝大多数为英语、俄语等外语网站。日访问数在150-500之间,访问量排前十的站点中,搜索类占4个、交易类和网址目录类各2个、论坛和色情类各1个。

 

暗网上的数据交易

尽管我国的暗网搭建访问情况尚不突出,但今年以来,发生了多起在暗网中文论坛上的数据交易事件。早在2011年,国内就发生过一轮标志性的大规模用户数据泄露事件,此后,人们对数据泄露和信息交易的关注度越来越高:

1、2018年6月,有人宣布入侵并获取了某视频网站近千万用户数据,并以此进行勒索;

2、2018年7月,有人叫卖3亿条某快递公司用户数据,售价2个比特币;

3、2018年8月,某省1000万学籍数据发生泄露并出现在暗网上;而后,又有人兜售某在美上市公司数亿用户数据,售价为8个比特币或520个门罗币;

4、2018年9月,有人叫卖大量公民身份信息、互联网公司用户信息,其中也包括大量社交账号和密码,为了吸引买家,不法分子索要的比特币数量,仅仅折合人民币数千元。

基于暗网上数据泄露和不法交易频发,腾讯安全云鼎实验室对于2018年来国内暗网数据交易情况进行了梳理统计:

守护者计划安全团队对上述事件进行了跟踪,并深度参与协助警方开展相关调查分析。

期间,守护者计划安全团队先后协助警方侦破了其中2起案件,抓获犯罪嫌疑人10余名,查获非法获取的公民个人信息3亿余条、大小超过300G。

 

暗网交易和数字货币

通过对这些案件进行梳理,守护者计划安全团队发现几乎所有的暗网交易,都用数字虚拟货币来结算,有些交易帖中甚至自带钱包地址,方便“买家”付款。数字虚拟货币这种从区块链技术衍生出来的应用,因为天生契合了暗网的匿名匿踪性特点,俨然已经成为了暗网的通用货币。

近两年来,“区块链”概念大热,由其作为底层技术应用的数字虚拟货币的代表——比特币,早已经历了身价的暴涨。至今,全球出现过的数字加密货币已超过1600种,比地球上国家总数的8倍还多。

这些虚拟币中存在大量空气币,被认为一文不值。但它们在高峰时期却撑起了6000亿美元的市值。排名前十的加密数字货币,占总市值的90%,其中比特币、以太坊币分别占总市值的46.66%和20.12%。

随着近年来利用数字虚拟货币进行洗钱和不法交易的案例渐多,网络黑产人员频频利用非法挖矿、勒索、盗窃等威胁网络安全的手段,大肆攫取数字虚拟货币,反过来应用在暗网交易中牟取暴利。守护者计划安全团队基于协助警方开展的刑事打击实践和相关研究,归纳国内黑产人员非法获取数字虚拟货币的途径如下:

1、瞄准高性能计算机植入木马进行挖矿

黑产人员采取在游戏外挂中植入木马、串通网吧工作人员在网吧批量植入木马等手段,精准利用高性能计算机进行挖矿,以牟取暴利。

2018年初,基于腾讯御见威胁情报系统的发现和预警,守护者计划安全团队协助警方打掉一个制作、传播挖矿木马的犯罪团伙。该团伙通过将挖矿程序写入“吃鸡”游戏外挂的方式,来精确寻找高性能计算机进行挖矿,从而在短时间内“挖取”2000余万枚数字货币、获得超过千万元的不法收益。

在此之后,守护者计划安全团队又陆续发现多个植入游戏外挂、网页的挖矿木马线索,在与不法黑客积极展开线上对抗的同时,协助警方进行线下打击,有效降低了此类案件的风险,保护了广大网民的计算机系统,使其免受不法侵害。

2、控制企业服务器组建僵尸网络

随着各种数字货币挖矿难度攀升,通过控制普通用户个人电脑挖矿已经不能满足黑产人员对于算力的需求,于是他们将目光投向了企业服务器,通过组建僵尸网络进行挖矿。其中有一款 “黄金矿工‘PhotoMiner’木马”在短短两年内控制肉鸡总共挖到8万枚门罗币,非法获利超人民币8900万元。
同时,守护者计划安全团队发现,部分国内挖矿木马也出现了通过自建矿池或租用第三方矿池进行挖矿的现象,多用于挖取以太坊币、门罗币等币种。

3、网页挖矿正在成为新的威胁

除上述两种方式外,守护者计划安全团队还发现黑产人员使用网页挖矿的迹象。这种方法是指黑产人员利用用户在网页上观看视频、阅读文章时停驻时间较长、所需计算机资源不高的特点,在正常网址中插入挖矿代码,从而更少地影响用户使用计算机时的体验,达到更佳隐匿的目的(下图为腾讯御见威胁情报系统分析情况)。

网络黑产无论其外在形式如何变化,最终逃不脱其“经济活动”的本质,因而其趋利性的根本诉求,势必推动和导致其向更难以被追踪、发现、打击的暗网迁移,反过来也会激发对数字虚拟货币的渴求。

但是,互联网不是法外之地,暗网亦非逍遥窝。守护者计划安全团队将持续关注、对抗网络黑产,向暗网上的违法犯罪说“不”,联合政府、行业和用户力量,形成共治合力,共同维护网络世界的清朗有序。

丨声明:本文部分图片来源于网络,已对涉及商业和用户信息做相关脱敏处理。

腾讯安全云鼎实验室 关注云主机与云内流量的安全研究和安全运营。利用机器学习与大数据技术实时监控并分析各类风险信息,帮助客户抵御高级可持续攻击;联合腾讯所有安全实验室进行安全漏洞的研究,确保云计算平台整体的安全性。相关能力通过腾讯云开放出来,为用户提供黑客入侵检测和漏洞风险预警等服务,帮助企业解决服务器安全问题。

(完)