觀察 | 從幾起熱點事件看2018年的暗網趨勢

暗網 一個本來侷限在IT行業和部分不法羣體中的名詞，卻在2018年不斷刷新大衆的認知。在媒體報道中，「暗網」常與「我的信息」、「勒索」、「黑市」等字眼相伴，化身爲各種犯罪信息匯聚和違法交易橫行的「不法之地」。因爲「暗網」 須要經過特殊的加密通道訪問，極具匿名性和隱蔽性，訪問者和服務器都難以被溯源，致使人性的醜惡在此毫無遮掩。

 

早年間隱匿於暗網的海盜灣（The Pirate Bay）曾被稱爲「世界上最大的BT種子服務器」，而從2017年開始陸續被FBI等機構搗毀的絲綢之路（Silk road）、阿爾法灣（AlphaBay）和漢薩（Hansa）則是當時規模領先的暗網交易平臺。

 

暗網大盤分析

 

「暗網」的本質，是一種經過特殊的加密通道才能訪問的網頁或數據。2018年上半年，守護者計劃安全團隊對我國暗網訪問狀況進行了大盤分析。數據代表：

 

1. 我國網民日均訪問暗網的用戶數佔比不足5%，且其中1/3使用全局代理訪問。

 

2. 從地域上看，廣東訪問暗網的用戶佔全國訪問暗網用戶的比例最大，約21%。其它省份訪問暗網用戶數量佔比大體平均，最高也未超過7%。

 

3. 從性別上看，男性訪問者約佔77%，女性訪問者約佔17%，其他6%左右的訪問者性別不詳。

 

4. 從年齡上看，19-27歲的訪問者佔比超過半數（52.1%），其次分別是10-18歲（29.9%）、28-36歲（8.8%）等。

 

<ignore_js_op>

 

5. 在發現的1800餘個暗網站點中，絕大多數爲英語、俄語等外語網站。日訪問數在150-500之間，訪問量排前十的站點中，搜索類佔4個、交易類和網址目錄類各2個、論壇和色情類各1個。

<ignore_js_op>

暗網上的數據交易

儘管我國的暗網搭建訪問狀況尚不突出，但今年以來，發生了多起在暗網中文論壇上的數據交易事件。早在2011年，國內就發生過一輪標誌性的大規模用戶數據泄露事件，此後，人們對數據泄露和信息交易的關注度愈來愈高：

 

1. 2018年6月，有人宣佈入侵併獲取了某視頻網站近千萬用戶數據，並以此進行勒索；

<ignore_js_op>

2. 2018年7月，有人叫賣3億條某快遞公司用戶數據，售價2個比特幣；

<ignore_js_op>

3. 2018年8月，某省1000萬學籍數據發生泄露並出如今暗網上；然後，又有人兜售某在美上市公司數億用戶數據，售價爲8個比特幣或520個門羅幣；

<ignore_js_op>

4. 2018年9月，有人叫賣大量公民身份信息、互聯網公司用戶信息，其中也包括大量社交帳號和密碼，爲了吸引買家，不法分子索要的比特幣數量，僅僅摺合人民幣數千元。

<ignore_js_op>

基於暗網上數據泄露和不法交易頻發，騰訊安全雲鼎實驗室對於2018年來國內暗網數據交易狀況進行了梳理統計：

<ignore_js_op>

守護者計劃安全團隊對上述事件進行了跟蹤，並深度參與協助警方開展相關調查分析。

<ignore_js_op>

 

期間，守護者計劃安全團隊前後協助警方偵破了其中2起案件，抓獲犯罪嫌疑人10餘名，查獲非法獲取的公民我的信息3億餘條、大小超過300G。

 

<ignore_js_op>

暗網交易和數字貨幣

經過對這些案件進行梳理，守護者計劃安全團隊發現幾乎全部的暗網交易，都用數字虛擬貨幣來結算，有些交易帖中甚至自帶錢包地址，方便「買家」付款。數字虛擬貨幣這種從區塊鏈技術衍生出來的應用，由於天生契合了暗網的匿名匿蹤性特色，儼然已經成爲了暗網的通用貨幣。

 

近兩年來，「區塊鏈」概念大熱，由其做爲底層技術應用的數字虛擬貨幣的表明——比特幣，早已經歷了身價的暴漲。至今，全球出現過的數字加密貨幣已超過1600種，比地球上國家總數的8倍還多。

 

這些虛擬幣中存在大量空氣幣，被認爲一文不值。但它們在高峯時期卻撐起了6000億美圓的市值。排名前十的加密數字貨幣，佔總市值的90%，其中比特幣、以太坊幣分別佔總市值的46.66%和20.12%。

 

<ignore_js_op>

 

隨着近年來利用數字虛擬貨幣進行洗錢和不法交易的案例漸多，網絡黑產人員頻頻利用非法挖礦、勒索、盜竊等威脅網絡安全的手段，大肆攫取數字虛擬貨幣，反過來應用在暗網交易中牟取暴利。守護者計劃安全團隊基於協助警方開展的刑事打擊實踐和相關研究，概括國內黑產人員非法獲取數字虛擬貨幣的途徑以下：

 

1. 瞄準高性能計算機植入木馬進行挖礦

 

黑產人員採起在遊戲外掛中植入木馬、串通網吧工做人員在網吧批量植入木馬等手段，精準利用高性能計算機進行挖礦，以牟取暴利。

 

2018年初，基於騰訊御見威脅情報系統的發現和預警，守護者計劃安全團隊協助警方打掉一個製做、傳播挖礦木馬的犯罪團伙。該團伙經過將挖礦程序寫入「吃雞」遊戲外掛的方式，來精確尋找高性能計算機進行挖礦，從而在短期內「挖取」2000餘萬枚數字貨幣、得到超過千萬元的不法收益。

 

在此以後，守護者計劃安全團隊又陸續發現多個植入遊戲外掛、網頁的挖礦木馬線索，在與不法黑客積極展開線上對抗的同時，協助警方進行線下打擊，有效下降了此類案件的風險，保護了廣大網民的計算機系統，使其免受不法侵害。

 

2. 控制企業服務器組建僵屍網絡

 

隨着各類數字貨幣挖礦難度攀升，經過控制普通用戶我的電腦挖礦已經不能知足黑產人員對於算力的需求，因而他們將目光投向了企業服務器，經過組建僵屍網絡進行挖礦。其中有一款 「黃金礦工‘PhotoMiner’木馬」在短短兩年內控制肉雞總共挖到8萬枚門羅幣，非法獲利超人民幣8900萬元。

 

同時，守護者計劃安全團隊發現，部分國內挖礦木馬也出現了經過自建礦池或租用第三方礦池進行挖礦的現象，多用於挖取以太坊幣、門羅幣等幣種。

 

3. 網頁挖礦正在成爲新的威脅

 

除上述兩種方式外，守護者計劃安全團隊還發現黑產人員使用網頁挖礦的跡象。這種方法是指黑產人員利用用戶在網頁上觀看視頻、閱讀文章時停駐時間較長、所需計算機資源不高的特色，在正常網址中插入挖礦代碼，從而更少地影響用戶使用計算機時的體驗，達到更佳隱匿的目的（下圖爲騰訊御見威脅情報系統分析狀況）。

<ignore_js_op>

 

網絡黑產不管其外在形式如何變化，最終逃不脫其「經濟活動」的本質，於是其趨利性的根本訴求，勢必推進和致使其向更難以被追蹤、發現、打擊的暗網遷移，反過來也會激發對數字虛擬貨幣的渴求。

 

可是，互聯網不是法外之地，暗網亦非逍遙窩。守護者計劃安全團隊將持續關注、對抗網絡黑產，向暗網上的違法犯罪說「不」，聯合政府、行業和用戶力量，造成共治協力，共同維護網絡世界的清朗有序。

 

丨聲明：本文部分圖片來源於網絡，已對涉及商業和用戶信息作相關脫敏處理。

 

本文做者：守哥 @守護者計劃