暗网观察

暗网是互联网的隐藏部分，普通网络浏览器无法浏览，只能使用Tor浏览器等专用软件访问。暗网被主要用于买卖毒品、武器、贩卖人口等非法活动，此外，暗网上还存在提供恐怖材料、儿童色情内容和其他有害信息的非法网站。

暗网之所以危险有几个原因，包括：

非法活动：暗网是非法活动的安全场所。在这里买卖毒品、武器和人口贩卖相对容易。参与或支持这些活动都是违法犯罪行为。

安全风险：暗网的安全风险更高。暗网网站通常使用强加密，这使得执法部门难以追踪它们。黑客和其他恶意行为者习惯使用暗网中的网站，以匿名化自己的身份。

网络犯罪：暗网用于实施网络欺诈、网络钓鱼和网络跟踪等网络犯罪。一旦人们不幸成为这些犯罪行为的受害者，个人信息和个人财产可能会遭受侵害。

信息滥用：暗网被用来传播儿童色情内容、恐怖材料和其他有害信息。这些信息可能会被滥用后，极大可能会伤害到他人。

最好避免使用暗网。如果您必须访问暗网，请务必小心并注意安全风险。

以下是一些额外的安全提示，可以帮助您在暗网上保持安全：

• 使用强密码和双因素验证。
• 使用杀毒软件和反恶意木马软件，并保持系统更新到最新。
• 仅从可靠来源获取信息。
• 分享您的个人信息时要小心。
• 如果您在暗网上遇到任何违法犯罪活动，请立即通知警方。

欧洲刑警组织与 17 个国家的执法机构一起向 443 名在线卖家发出警告，称其客户的支付卡数据已被泄露。

欧洲刑警组织在周五发布的一份新闻稿中说，这次为期两个月的行动由希腊牵头，并得到了网络安全公司 Group-IB 和 Sansec 的支持。这两家公司在监控数字盗刷攻击方面拥有丰富的经验。

在盗刷攻击中，黑客将工具或恶意软件嵌入电子商务网站，使他们能够在结账过程中从在线商店窃取信用卡信息。这种恶意手段，长期以来一直是受欢迎的网络卖家面临的一个安全问题。

在多个网络安全事件响应团队和欧盟网络安全局 (ENISA) 的帮助下，数百个未透露名称的网站接到通知，称它们正被黑客利用进行数字盗刷攻击。

“数字盗刷攻击可能会在很长一段时间内不被发现。由于这些犯罪行为而被盗的支付或信用卡信息通常会在暗网上的非法市场上出售。”欧洲刑警组织表示。

“客户通常不会意识到他们的支付详细信息已被泄露，直到犯罪分子已经使用它们进行未经授权的交易。一般来说，客户很难找到信息被泄露的地点。”

所有执法机构都与在线商店合作，提供技术援助，帮助他们删除这些恶意软件，并保护客户。

参与这项工作的国家包括美国、英国、德国、哥伦比亚、西班牙、荷兰等。

根据The Record 旗下 Recorded Future 的年度支付欺诈报告显示，随着俄罗斯执法部门打击国内网络犯罪以及俄罗斯于 2022 年入侵乌克兰，支付欺诈行业已显示出复苏的迹象。

研究人员发现，暗网卡片商店上有 1.19 亿张卡片待售，预计到 2023 年，发卡机构可避免的欺诈损失将达 94 亿美元，而商户和收单机构可能面临 350 亿美元的退款费用。

根据去年的报告，2022 年，电子盗刷者导致 4560 万条被泄露的支付卡记录在暗网平台上发布出售。

2023 年，嵌入电子窃取器的商店类型包括餐馆（占所有受害者公司的 18.5%）、汽车零部件销售商、服装店等。

暗网上可用的美国卡最多，超过 5000 万张。所追踪的其他地区或国家的数目均未超过 250 万张。

“展望 2024 年，欺诈者预计会改进他们的策略，继续使用新旧方法来破坏银行卡。2023 年，北美和欧洲金融机构被盗支付卡的数量最多，并且可能会持续到 2024 年。

“报告的结论是，到 2024 年，欺诈者可能会结合复杂的技术解决方案、细致入微的工作流程和社会工程策略来绕过基于规则的欺诈检测。”

乌克兰已成为网络攻击的战场，NoName 勒索软件组织声称对针对多个实体的一系列攻击负责。

正如威胁行为者在其暗网门户上透露的那样，NoName 勒索软件组织专门针对乌克兰的知名组织，其中包括国家证券和股票市场委员会、Accordbank、Unex Bank、Energy Community 和 VELTA。

来自威胁行为者的暗网消息内容如下：“今天，我们进入了乌克兰的互联网网段”，表明这是一次对乌克兰的无耻入侵。

NoName 勒索软件组织

NoName 勒索软件组织进一步证实了他们的说法，发布了每个目标实体的 check-host.net 报告链接。不过，这些 NoName 勒索软件组织网络攻击声明的真实性目前仍未得到证实。

令情况更加复杂的是，威胁行为者门户网站上列出的实体似乎仍在运行，并且没有立即显示出所谓的网络攻击迹象。这种不确定性加大了验证乌克兰遭受NoName 勒索软件组织网络攻击真实性的挑战。

这次网络攻击背后的亲俄罗斯黑客组织 NoName057(16) 曾以乌克兰、美国和欧洲的政府机构、媒体和私营公司网站为攻击目标。NoName057(16) 被描述为一个无组织但自由的亲俄激进组织，通过其破坏性网络活动寻求西方国家的关注。

NoName 勒索软件组织的崛起

该组织首次出现于 2022 年 3 月，策划了对 Zaxid 和 Fakty UA 等乌克兰新闻和媒体网站的分布式拒绝服务（DDoS）攻击。他们的动机是压制被视为反俄的声音，这反映了该地区更广泛的地缘政治紧张局势。

NoName057(16) 通过 Telegram 频道进行操作，利用 GitHub 托管其 DDoS 工具网站和相关资源库。该组织开发了一种名为 DDOSIA 的 DDoS 工具，旨在通过向目标网站重复发送网络请求来实施拒绝服务攻击。

在全球黑客组织中，NoName057(16) 是一个相对较新的参与者，其独特的重点是破坏乌克兰的数字基础设施。 2023 年印度 G20 峰会前夕，他们对政府网站发动了一系列网络攻击，这标志着他们的行动进入了关键时刻，他们的知名度随之上升。

威胁行为者利用快速演变的多层恶意软件来提高其复杂性和精密性，因为这些恶意软件具有快速调整和更改代码的能力。

为了增加分析和反制的难度，这种复杂的恶意软件通常采用以下关键技术：

• 多层混淆
• 多层加密技术

Check Point 的网络安全研究人员最近发现了 Rhadamanthys，这是一种在暗网交易市场上出售且经常更新的信息窃取程序。

这种快速发展的多层恶意软件的开发人员最近发布了一个新的主要版本，即“0.5.0”。

Rhadamanthys 多层恶意软件

Rhadamanthys 在 2022 年 9 月的暗网市场中的一则广告中引起了关注，它以其丰富的功能和精美的设计而闻名。

卖家“King Crete”展示了自己的专业水准，引发了人们对潜在的其他自制恶意软件的猜测。

除此之外，该窃取程序的开发和广告还在进行中，最新版本为 0.5.0，发布在一个基于 Tor 的暗网网站上。新版本有许多变化和有趣的功能。

尽管很大程度上进行了重写，但 Rhadamanthys 的 32 位 Windows PE 初始加载程序保留了先前版本 (0.4.9) 的痕迹。

新增功能会检查可执行文件的名称，如果显示正在进行沙箱分析（长度为 16、32、40 或 64 的十六进制字符） ，则自动退出。

配置和附加模块嵌入在初始可执行文件中，在执行期间解压缩，并传递到后续阶段。

初始分类中新增了一个部分：.textbss，该部分最初为空（原始大小 = 0），在运行时用 shellcode 填充，与以前的版本类似，但现在无论位置如何，都会解压缩并加载第一个模块。

XS1-format 组件在第二个加载阶段暴露，在尝试字符串转储期间的初始分流中检测到了这一变化。Flare FLOSS 揭示了通过转储字符串进行提示的模块，作者现在对其进行了混淆处理。

除此之外，Post-PE 转换和 IDA 分析启动函数的轮廓揭示了独特而精致的设计。

新版本引入了用于临时缓冲区的 TLS，特别是在解码混淆字符串方面。 TLS 在 init_xs_module 中分配，TlsAlloc 值全局存储，并将自定义结构附加到 TLS 上以进行缓冲区分配。

保存的缓冲区可在字符串等数据的解混淆过程中多次使用。字符串解密函数作为回调传递，缓冲区在使用后被清除。

在此功能中非典型使用 TLS，设计原理不明确。字符串反混淆算法在不同的恶意软件阶段有所不同。

Rhadamanthys 模块采用原始系统调用进行本机 API 调用，避免挂钩和混淆 API 名称。间接系统调用绕过 NTDLL 挂钩，作者使用该技术的变体解决了该问题。

32 位和 64 位模块都使用原始系统调用； WoW64 进程系统调用的执行是通过 Heaven’s Gate 技术来处理的。第 2 阶段模块从 C2 准备和混淆第 2 号软件包中的窃取程序。

网络客户端连接到 C2，下载 WAV 格式的有效载荷，使用哈希值验证，并使用 proto 模块解密 XS1 模块。

然后，XS1 加载后续阶段，最后由 coredll.bin（XS2 格式）协调任务、向 C2 报告并初始化内置窃取程序。

除此之外，作者还不断添加功能，将这个窃取程序变成一个多用途的机器人。这表明 Rhadamanthys 的目标是成为不断发展的恶意软件市场的主要参与者。

互联网巨大，确实是非常庞大的存在。当你在谷歌中输入一个简单的查询，比如“猫的图片”时，你可能需要花费一生的时间来处理所有结果。但即便如此，这就像在海洋表面拉网一样。你会看到广阔的一片，但隐藏的深度仍未被探索，甚至可能是不可探索的。为什么会这样呢？让我们来看看互联网的各个“部分”，以及为什么如今只有很小一部分人知道它。

本文旨在解释我们所说的“暗网”的确切含义。

明网（表面网络）

明网（名词）：全球网络的公开可用部分，可被谷歌或必应等搜索引擎访问和索引。

人们日常互动的大多数互联网内容都属于明网。如果你在谷歌中输入查询并点击结果中的任何一个页面，那个页面就属于明网。这指的是可以在不进行其他操作（如身份验证）的情况下查看的页面。特别是指可以被网络爬虫访问的互联网部分。明网的例子包括维基百科页面、公共新闻网站和Netflix的整个目录。

如果没有暗网，这个术语可能不会存在。明网是许多用户将花费大部分在线时间的地方。即便如此，在接下来的部分中，我们将看到它占据了令人惊讶的小部分互联网。

深网

深网（名词）：无法通过标准搜索引擎发现的全球网络的部分，包括受密码保护的动态页面和加密网络。

如果你曾经访问过付费墙后面的内容，甚至只是密码保护的内容，比如你的电子邮件，那么你就在深网上。有时，只有特定用户可以访问内容。其他时候，公开资源会根据访问者的身份发生变化。还有大量的多媒体内容，大多数搜索引擎或网络爬虫无法理解。任何不能被搜索引擎索引的内容——也就是说，任何不能被谷歌等工具找到和理解的内容——都属于深网。

深网内容的例子包括私人企业内部网络、政府数据库和学术期刊。据估计，它占据了整个互联网的96%到99%，其中许多内容可能永远不会被人类看到。

究竟是什么让明网与深网相区分？

明网和深网之间没有明显的界线。例如，社交媒体上的私人帖子并不“对公众随时可得”，通常也不能被谷歌索引。但它们被认为属于明网。区别通常在于信息的易查找或易知的程度。

在将数据标记为清晰或深网时会考虑以下几个因素。

机密性。与政府数据库相比，社交媒体上的私人帖子的访问方式更加反复无常。政府数据库需要保持机密；对数据的访问受到严格控制。相比之下，通过“友好请求”可能就能访问私人社交媒体帖子。

用途。私人数据库通常包含对公司或个人非常敏感的数据。即使在最敏感的情况下，社交媒体帖子通常也是私人的，因为“不是别人的事务”。

主机可见性。政府数据库故意隐藏在广大互联网之外，因为它们具有机密性。Facebook等社交媒体平台对搜索引擎非常可见，即使其中的一些内容不可见。Medium的文章，即使在付费墙后面，也可以通过谷歌访问，因此被认为属于明网。

暗网

暗网（名词）：只能通过特殊软件访问的全球网络的部分，允许用户和网站运营者保持匿名或无法追踪。

互联网并不是为隐私而建设的。我们的大多数在线活动都会被记录下来，可以被想要了解我们行为的人看到。这可能是想要了解我们如何与他们的软件互动的人，也可能是想向我们展示定向广告的人。如果我们有不良行为，这些信息也可以交给有关部门。

并不是每个人都希望在网上被追踪，而这并不仅限于从事不良行为的人。这就是为什么互联网的这个子集存在的原因：一个人们在其中几乎无法被追踪的网络部分。但它是通过一系列不同于明网的工具运行和访问的，这些工具专门设计用于阻挡光线。

结论 — 我们需要一个更大的浏览器

明网和深网之间的界线已经足够模糊了。但深网和暗网虽然作为实体更为明显，但仍然经常混淆。深网之所以深度，部分原因是尽管它包含大量内容，但通常并不是非常有趣。是的，有些数据对某些人很重要。但发生在某个遥远公司私人内部网络上的事情可能对大多数人并不相关。然后，还有那些多年前上传的已经被遗忘的内容。几乎每个人都与现存深网内容的绝大多数无关。

然而，暗网是一个完全不同的生态系统。在匿名是游戏规则的地方，它已经成为人们在灯灭后做什么的社会实验。是的，可以找到的内容中有很多令人不悦的东西。但实际上，暗网也有非常道德和合法的用途。与深网不同，暗网对整个社会来说更为重要，特别是对执法机构。

暗网最初的设计目的是为记者、军事人员和高风险国家的个人提供一个安全的通信渠道，现在已经发展成为一个动态的不受监管的环境，是威胁行为者的栖息地。

互联网的这一分部已成为销售和协调邪恶活动的有效屏障，包括贩运毒品和武器、泄露敏感文件、传播宣传、传播网络攻击窃取的数据等。

如果您在网址末尾看到“.onion”，则表明您正在访问暗网网站。但你肯定不会只是偶然发现它，因为访问暗网需要专门的浏览器——例如 Tor、OpenBazaar、I2P 或 ZeroNet，而浏览暗网也和你想象的一样混乱。

虽然暗网仍然保留着善意的匿名性——例如言论自由，包括俄罗斯和伊朗的审查环境——但这最终是以赋予毒枭、军火贩子、虐待儿童者和其他罪犯权力为代价的。

研究公司 Terbium Labs 分析了 400 个随机选择的 .onion 站点，并从中得出结论，超过一半的暗网域名产生了非法活动。尽管大部分活动都是非法贩运，但出于经济动机的网络犯罪已成为一种日益严重的现象，给执法部门和企业网络团队带来了麻烦。

此外，尽管公共和私人企业正在加倍努力以防范网络威胁，但互联网上仍然存在无意的数据泄露事件。想一想 LinkedIn 上的帖子，其中同事的照片上展示着带身份证的照片。如果威胁行为者发现，这可能很快会在暗网中转化为身份盗窃驱动的经济收益。

事实上，近年来暗网的反常增长主要是由于加密货币市场的兴起，匿名进行交易的能力得到了提升。根据 Chainalysis 2020 年的一份报告，2019 年暗网市场上的加密货币交易额超过了 7.9 亿美元，增长了 70%。该公司还报告称，2020 年，暗网市场上的网络犯罪分子持有约 90 万枚比特币。这是一个完美的搭配。

在这种蓬勃发展的形势下，准确定位已知威胁行为者的注意力（他们使用哪些加密货币、典型的交易是什么样子、交易的资金来源是什么以及隐藏在暗网中的活动在哪里）的能力至关重要。但试图通过人工手动筛选无数的危险信号、模式和异常来解决这个问题是站不住脚的。

识别网络和加密货币犯罪及其在网络世界中的传播不应仅仅局限于一名分析师的专业知识或能力。在数字黑社会的重压下，调查团队可以利用增强型情报取得更好的成果，即利用技术获取更广泛的信息，更快地处理数据，从大量噪音中找出最重要的数据。

草根愤怒的喧嚣

暗网因全球政治动荡而更加流行，这使问题变得更加复杂。COVID-19新冠疫情大流行、美国国会大厦暴动和俄罗斯入侵乌克兰等众多重大全球事件使全球社会两极分化。

例如，在新冠疫情流行封锁的头两年，一些澳大利亚人通过烘烤酵母面包来应对。然而，其他人则将草根的愤怒发泄到了互联网的黑暗角落，那里的有关 COVID-19 的错误信息像野火一样蔓延。

在国外，暗网论坛成为 Boogaloo 支持者、Proud Boys、QAnon 阴谋论者和其他极端分子等团体在 1 月 6 日国会大厦骚乱后否认美国总统选举合法性的避风港。

这意味着威胁面不断扩大，而且变得更加繁忙。庞大的动态信息量为执法、国家安全和其他机构在暗网中手动搜索线索造成了盲点。

过去的手动技术方法过于耗时和费力，数据量超出了即使是资源最丰富的安全团队的能力。暗网的规模需要能够增强调查技能的技术，即需要帮助团队在犯罪发生之前先发制人的工具。

快速脱身的快捷步骤

这让我们了解人工智能在执法、国家安全和情报团队中的作用。要想手动浏览暗网并发现关键信息，人力是无法做到的。任何关键词搜索的尝试都将不可避免地导致误报，更糟糕的是，操作员会因此而精疲力竭。

尽管暗网搜索引擎存在，但即使是最好的搜索引擎也难以跟上不断变化的生态系统。网站通常是由骗子建立的，他们不断更改其网址以避免被发现。毒枭也做同样的事情——他们在数字黑社会中四处活动，试图躲避警方的追捕。

变化的速度意味着连接超时和 404 错误，这让人想起上世纪 90 年代末的“明网”的搜索体验。

与此同时，人工智能学习速度很快，可以大规模收集风险行为。 例如， 蓝石分析公司（Bluestone Analytics）拥有超过 10 亿条暗网记录，每天收集超过 65 种语言的 40 万到 60 万条新记录——这些数据非常宝贵，但如果没有人工智能技术，情报团队很难理解这些数据，更不用说将其拼凑在一起了。当调查人员能够理解这些错综复杂的网络时，他们就能做得更好。

如果调查人员的能力得到增强，不仅可以及时发现暗网威胁，而且可以做到有的放矢，那么我们就能更好地消除暗网黑社会的嚣张气焰。

暗网情报公司Searchlight Cyber​​在DarkIQ中推出了新的曝光数据（Exposure Data）视图，整理了来自数据泄露和恶意软件感染的4500多亿个暗网数据点，以帮助企业在触发检测系统或防火墙之前就发现与其业务相关的威胁。

一旦 DarkIQ 检测到与企业相关的暴露凭证（例如客户或员工的用户名和电子邮件），Exposure Data 就会自动将这些详细信息与从明网、深网和暗网重新捕获的超过 4500 亿个数据点进行交叉引用。所有泄露的漏洞和恶意软件相关元数据都会被整理成直观、可操作的事件概述，让调查人员全面了解漏洞的规模及其其企业安全的影响。

研究表明，89% 的攻击行为涉及使用被盗凭据来建立初始访问权限。因此，当发现泄露的凭证时，企业必须迅速采取行动遏制威胁，这要求他们随时掌握所需的所有信息。DarkIQ 中的暴露数据会自动为分析师自动过滤和构建数据，仅显示与其企业相关的结果，从而缩短响应时间，并将资源用于解决更复杂的网络安全问题。

DarkIQ 提供的额外数据点为安全和事件响应团队提供了重要的详细信息，包括泄露的日期和来源，以及因泄露或信息窃取者感染而受到泄露的其他数据（如果有）。例如，暴露数据可能包括财务、医疗和个人信息 ——一甚至包括受害者的婚姻状况、政治派别和其他家庭成员的信息（甚至包括他们是否养猫或狗），这些信息可用于社会工程攻击或对个人进行人肉搜索。

Searchlight Cyber​​ 公司联合创始人兼首席技术官 Gareth Owenson 博士表示：“深网、暗网和明网中大量泄露的数据对企业构成威胁。然而，如果他们能够及早识别，他们就有机会领先于网络犯罪分子并打破攻击链。安全团队面临的真正问题不是缺乏数据点，而是缺乏可索引、相关和可操作的结构化数据。通过这些新功能，我们致力于确保数十亿非结构化数据点以有用的方式交付，实现时间密集型流程的自动化，确保安全团队能够迅速采取行动。”

暴露数据使企业能够更轻松地防御威胁，包括社会工程、针对高管和 VIP 的攻击以及针对客户的欺诈。附加数据还可以协助事件响应，帮助安全团队识别、遏制和消除恶意软件感染。

这些增强功能为Searchlight现有的市场上最全面的暗网数据档案带来了更多的数据点，这些数据是根据美国、英国和欧洲法律，采用自动化技术和人工技术相结合的方式从地下论坛、市场和加密聊天等来源收集的。

新的曝光数据面板现已可供所有 DarkIQ 客户使用。在这里阅读更多内容。

关于Searchlight Cyber

Searchlight Cyber​​ 为企业提供相关且可操作的暗网情报，帮助他们识别和预防犯罪活动。我们成立于 2017 年，其使命是阻止犯罪分子在暗网上逍遥法外，我们参与了一些世界上最大的暗网调查，并拥有基于专有技术和突破性学术研究的最全面的数据集。今天，我们帮助世界各地的政府和执法部门、企业和托管安全服务提供商阐明深层网络和暗网威胁并防止攻击。

尽管国际执法机构协调努力打击此类工具，但暗网和网络犯罪论坛上提供的分布式拒绝服务 (DDoS) 攻击雇佣服务正在“蓬勃发展”。这是根据网络安全公司 Searchlight Cyber​​ 分析师的最新研究得出的结论，该研究显示，帮助不太复杂的犯罪分子发起 DDoS 攻击的“压力器”和“助推器”的可用性和有兴趣的买家都在增加。

研究人员写道， DDoS攻击压力源在网络犯罪论坛和 Telegram 频道中日益猖獗。尽管“断电行动”（Operation Power OFF）最近摧毁了几个著名的DDoS攻击雇佣平台，包括一些活跃了十多年的平台，并导致许多国家的人员被捕。

分析师表示，黑客活动分子、出于经济动机、国家支持的以及“脚本小子”威胁行为者都对购买 DDoS 攻击出租平台表现出兴趣，而犯罪市场几乎没有放缓的迹象。事实上，NoName057(16)组织（一个与俄罗斯有关联的黑客活动团伙，积极针对西方国家的政府机构和关键基础设施）开发了名为 DDoSia 的专有工具，鼓励追随者使用它，并创建了一个专门的 Telegram 支持群组。

此外，早期迹象表明开发人员正在寻求进一步创新，并讨论将 DDoS 攻击与其他类型的活动（例如使用“威胁即服务”商业模式的勒索软件）结合起来。

网络分析师发现，讨论最多的网络应用程序压力来源通常是俄罗斯或美国的 IP。“值得注意的是，许多俄罗斯的压力者使用相同的 IP 范围，这意味着他们可能共享相似的基础设施。”

分析 DDoS 雇佣攻击平台

研究人员访问了地下网络犯罪分子目前可用的几个 DDoS 出租平台，并分析了它们的特征。

自 2020 年开始活跃的噩梦 DDoS 压力器

其中之一是噩梦压力器（Nightmare Stresser），这是一个至少从 2020 年起就一直活跃的 DDoS 平台。“根据现有信息，有超过 566,000 名注册用户和 52 台服务器，可通过 28 种不同方法实施攻击。”分析师写道。他们补充说，攻击方法根据类型分为三大类：OSI 模型第 4 层（传输）UDP、第 4 层（传输）TCP 和第 7 层（应用程序）。

攻击者可以根据自己的喜好选择攻击的组件，选项包括目标IP或URL、攻击时间和并发攻击数量。“最便宜的订阅套餐允许 1800 秒的攻击时间和一次并发攻击，而最昂贵的选项允许 86400 秒的攻击时间和 400 次并发攻击。最大攻击能力似乎仅限于 200 Gbps。”分析师表示。

Stressthem DDoS 压力器是最强大的压力工具之一

分析的另一个工具是 Stressthem，它声称是市场上最强大的压力源之一，攻击能力高达 1000 Gbps。研究称：“与大多数其他此类工具一样，它采用 DDoS 即服务商业模式，订阅价格从每月 30 美元到每季度 18000 美元不等。” 最昂贵的套餐提供每天无限次攻击、长达 2 小时的攻击时间和 100 次并发攻击。

该平台还允许用户从多个攻击选项中进行选择并输入受害者的详细信息。“这个压力器与其他压力器的不同之处在于，它还提供免费套餐，允许攻击者在购买之前测试该服务。”

SirMoustache 火力攻击工具未托管在网站上

威胁发起者 SirMoustache 是 Cracked 网络犯罪论坛的成员，最近宣传了一种可用于进行分布式 DDoS 攻击的雇佣攻击工具。“这款压力工具与其他工具的区别在于它不托管在网站上。开发 Paper Stresser 的人声称这是一个无需下载的工具，似乎是通过 PuTTY 的命令行界面进行操作的。”研究人员表示。

根据攻击者的描述，压力源似乎使用 12000 个机器人进行攻击，攻击能力高达 700 GB/s。该压力器提供四种不同的每月订阅服务，价格从 30 美元到 125 美元不等，承诺攻击时间长达 500 秒，并提供 18 种攻击方法。

Krypton Networks DDoS 工具在 Telegram 上有 2100 位关注者

最后，分析师写道，Krypton Networks 是一款似乎需要安装的 DDoS 工具，其管理员声称，该工具使用物联网（IoT）僵尸网络通过第 4 层（传输）攻击受害者，而在对第 7 层（应用）进行攻击时则使用私人服务器。“该服务提供高达 1.5 Tbps 的攻击能力，7 天订阅价格为 15 美元，“私人”订阅价格高达 1000 美元，16 天。”

Krypton Networks 目前在 Telegram 上拥有 2100 名关注者，其幕后黑手几乎每天都会发布更新、添加功能、增强攻击能力，并不断分享买家认可的屏幕截图。他们补充说，它还设有专门针对俄语和中文使用者的语言帖子，使那些不会说英语的人可以轻松部署攻击。

今年发生有史以来最大规模的 DDoS 攻击

10 月，Google Cloud、Cloudflare 和 Amazon Web Services报告了有史以来最大规模的 DDoS 攻击，每秒请求数 (rps) 峰值超过 3.98 亿。谷歌表示，这相当于“请求数量超过了 2023 年 9 月整个月维基百科报告的文章浏览总数”。这次攻击是大规模利用零日漏洞的一部分。

公司被迫执行 DDoS 缓解技术，以最大程度地减少服务中断，包括负载均衡。多家互联网基础设施公司建立了合作伙伴关系，以减轻攻击对整个互联网的总体影响，从而防止了中断的发生。

一位精神科医生和三位瑞典心理学家参与了欧盟的一个新项目，为一项研究招募恋童癖者。

这是首次将励志谈话作为一种治疗方法。

研究人员此前曾多次通过暗网寻找恋童癖者并提供治疗，这次是关于一个名为“桥梁”的欧盟项目。

与之前的尝试相比，您是否改变了招聘方式？如果改变，是如何改变的？ 

是的，这次用的是 Ahmia，它是暗网上的一个搜索引擎，当人们搜索虐待儿童的材料以及其他与恋童癖和儿童性剥削有关的内容时，它会引导人们进入该项目。该搜索引擎有多种语言版本。但您也可以通过其他渠道注册，不必非得通过这种方式。【精神病学家兼该研究负责人克里斯托弗·拉姆 (Christoffer Rahm) 说。】

目标招募人数是多少？ 

120人。到目前为止，我们已经招募了大约 25 名员工。

激励恋童癖者寻求治疗的策略是什么？ 

我们希望找到一种方法，说服虐待儿童的高危人群离开匿名的网络生活，并采取措施在自己的国家寻求治疗。我们从以前的项目中了解到，这些人需要的往往不是在线治疗所能提供的。他们往往需要广泛的心理评估和适当的心理治疗，这可能还涉及到对周围网络的支持。因此，我们选择测试激励性对话，这些对话已在其他情况下被证明可以帮助人们在生活中做出重要改变，例如戒除毒瘾或犯罪。这是首次在针对这一客户群体的研究中使用动机访谈法。我们对研究结果感到非常兴奋。

在以前的项目中，研究人员利用暗网试图说服恋童癖者寻求治疗，结果如何？

出奇的好。在第一个“预防它”（Prevent It）项目中，招募了 160 人，他们被随机分配接受真实但匿名的 iCBT 或心理安慰剂治疗。大大约一半的人完成了治疗。近 50%的参与者完全停止使用虐待材料，而最初每周只使用 5-7 个小时。这是一个巨大的成功，因为这些图像中的儿童因图像的性使用而受到的剥削，往往与图像本身所描述的虐待所造成的伤害一样大，甚至更大。那些没有停止观看的人，观看的时间要少得多，大约为每周 1-2 小时，观看的内容也要温和得多--而不是他们在开始时通常选择的非常粗俗的儿童色情内容。结果表明，iKBT 比安慰剂更有效，副作用也更小。

您在该项目中扮演什么角色？ 

我是项目的发起人和主要审查者，即总体科学负责人，我还参与了所有新客户的心理评估，我本质上是一名精神科医生。Maria Breide 是该项目的项目协调员、博士生、心理学家和治疗师。

为什么瑞典心理学家参与这个项目？ 

该项目有三位瑞典心理学家：托比亚斯·伦德格伦 (Tobias Lundgren)、约翰·霍姆伯格 (Johan Holmberg) 和玛丽亚·布雷德 (Maria Breide)。我们正在测试的是心理干预，这是我们组建的一个真正的明星团队，能够说他们都是真正的明星是一件非常有趣的事情！我每天都能从他们身上学到很多东西。他们都带来了不同领域的专业知识--研究经验、动机访谈知识、性医学经验。

目标是什么？ 

我们希望能够报告激励性谈话是否能有效让高风险人群寻求护理，如果基于 CBT 的自助计划（我们也在测试针对低风险人群的类似计划）是否良好为参与者提供处理涉及儿童的性冲动的工具。我们还对该项目进行了大量投资，以调查不同国家和文化背景下，因对儿童的性兴趣而寻求治疗的主观体验有何不同。他们中寻求治疗的人很少，这是一个大问题，我们需要了解如何才能改善这一状况。

“我们很高兴能将暗网情报整合到我们的网络安全和事件响应服务中，通过提供更高的可见性和有价值的可操作洞察力，使我们能够更有效地保护我们的客户”。

Eye Security公司是欧洲企业网络保护领域的领导者，很高兴与领先的暗网数据提供商DarkOwl合作。这一战略合作伙伴关系将使Eye Security公司能够更好地评估客户风险并增强其安全态势，以主动预防网络事件。

欧洲中型企业发现自己比以往任何时候都更容易受到网络攻击，成为威胁行动者的目标。。Eye Security公司凭借其主动风险评估方法和数据聚合功能，将通过与DarkOwl合作，从暗网收集关键情报，增强客户的安全态势并解决非企业业务面临的挑战。为了实现这一目标，Eye Security公司汇总了大量数据，为客户提供可操作的建议。

由于暗网的匿名性和以隐私为中心的特性，它为复杂的网络犯罪生态系统提供了便利，并且是全球互联网基础设施中蓬勃发展的生态系统，许多企业都在努力将其纳入自己的安全态势。然而，对于具有前瞻性战略思维的企业来说，它是一个越来越重要的组成部分。DarkOwl使Eye Security能够收集影响客户的恶意活动的情报，无论是防止企业账户泄露的凭证泄露，还是客户数据的存在，或者是丰富威胁情报。

DarkOwl首席执行官Mark Turnage表示：“这种合作关系与DarkOwl为企业提供最全面的网络安全解决方案的使命完美契合。我们共同致力于确保欧洲企业（包括那些没有网络专业知识的企业）获得抵御不断变化的网络威胁所需的支持。”

凭借Eye Security和DarkOwl的综合专业知识，这一合作伙伴关系将为该地区的组织提供更全面的方法来保护其数字资产并防御网络攻击。Eye Security情报总监Cas Bilstra表示：“我们很高兴将暗网情报集成到我们的网络安全和事件响应服务中，使我们能够通过提供更高的可见性和有价值的可操作洞察力，从而更有效地保护我们的客户。”

关于 Eye Security：
Eye Security 由 Piet Kerkhofs（首席技术官）、Vincent van de Ven（首席运营官）和 Job Kuijpers（首席执行官）于 2020 年创立。在为荷兰情报和安全部门（AIVD 和 MIVD）工作多年后，他们现在专注于利用自己的知识和专业知识来保护欧洲企业免受网络攻击。Eye Security 有效且经济实惠的整体解决方案与网络保险相结合，使各种规模的企业都可以管理网络威胁。Eye Security 目前拥有一支由来自网络安全和保险行业的 100 多人组成的团队，他们都对打击（数字）犯罪充满热情。Eye Security 在欧洲设有办事处，遍布荷兰、比利时、德国，并通过其合作伙伴开展业务。欲了解更多信息，请访问www.eye.security。

关于 DarkOwl：
DarkOwl 使用机器学习和人类分析师来自动、连续、匿名地收集、索引和排名暗网、深层网络和高风险表面网络数据，从而简化搜索。DarkOwl 的独特之处不仅在于其暗网数据的深度和广度，还在于其数据的相关性和可搜索性、调查工具以及热情的客户服务。DarkOwl 数据是从暗网合乎道德且安全地收集的，允许用户安全、匿名地访问与其任务相关的信息和威胁。欲了解更多信息，请访问www.darkowl.com。