暗网观察

威胁行为者利用快速演变的多层恶意软件来提高其复杂性和精密性，因为这些恶意软件具有快速调整和更改代码的能力。

为了增加分析和反制的难度，这种复杂的恶意软件通常采用以下关键技术：

• 多层混淆
• 多层加密技术

Check Point 的网络安全研究人员最近发现了 Rhadamanthys，这是一种在暗网交易市场上出售且经常更新的信息窃取程序。

这种快速发展的多层恶意软件的开发人员最近发布了一个新的主要版本，即“0.5.0”。

Rhadamanthys 多层恶意软件

Rhadamanthys 在 2022 年 9 月的暗网市场中的一则广告中引起了关注，它以其丰富的功能和精美的设计而闻名。

卖家“King Crete”展示了自己的专业水准，引发了人们对潜在的其他自制恶意软件的猜测。

除此之外，该窃取程序的开发和广告还在进行中，最新版本为 0.5.0，发布在一个基于 Tor 的暗网网站上。新版本有许多变化和有趣的功能。

尽管很大程度上进行了重写，但 Rhadamanthys 的 32 位 Windows PE 初始加载程序保留了先前版本 (0.4.9) 的痕迹。

新增功能会检查可执行文件的名称，如果显示正在进行沙箱分析（长度为 16、32、40 或 64 的十六进制字符） ，则自动退出。

配置和附加模块嵌入在初始可执行文件中，在执行期间解压缩，并传递到后续阶段。

初始分类中新增了一个部分：.textbss，该部分最初为空（原始大小 = 0），在运行时用 shellcode 填充，与以前的版本类似，但现在无论位置如何，都会解压缩并加载第一个模块。

XS1-format 组件在第二个加载阶段暴露，在尝试字符串转储期间的初始分流中检测到了这一变化。Flare FLOSS 揭示了通过转储字符串进行提示的模块，作者现在对其进行了混淆处理。

除此之外，Post-PE 转换和 IDA 分析启动函数的轮廓揭示了独特而精致的设计。

新版本引入了用于临时缓冲区的 TLS，特别是在解码混淆字符串方面。 TLS 在 init_xs_module 中分配，TlsAlloc 值全局存储，并将自定义结构附加到 TLS 上以进行缓冲区分配。

保存的缓冲区可在字符串等数据的解混淆过程中多次使用。字符串解密函数作为回调传递，缓冲区在使用后被清除。

在此功能中非典型使用 TLS，设计原理不明确。字符串反混淆算法在不同的恶意软件阶段有所不同。

Rhadamanthys 模块采用原始系统调用进行本机 API 调用，避免挂钩和混淆 API 名称。间接系统调用绕过 NTDLL 挂钩，作者使用该技术的变体解决了该问题。

32 位和 64 位模块都使用原始系统调用； WoW64 进程系统调用的执行是通过 Heaven’s Gate 技术来处理的。第 2 阶段模块从 C2 准备和混淆第 2 号软件包中的窃取程序。

网络客户端连接到 C2，下载 WAV 格式的有效载荷，使用哈希值验证，并使用 proto 模块解密 XS1 模块。

然后，XS1 加载后续阶段，最后由 coredll.bin（XS2 格式）协调任务、向 C2 报告并初始化内置窃取程序。

除此之外，作者还不断添加功能，将这个窃取程序变成一个多用途的机器人。这表明 Rhadamanthys 的目标是成为不断发展的恶意软件市场的主要参与者。

互联网巨大，确实是非常庞大的存在。当你在谷歌中输入一个简单的查询，比如“猫的图片”时，你可能需要花费一生的时间来处理所有结果。但即便如此，这就像在海洋表面拉网一样。你会看到广阔的一片，但隐藏的深度仍未被探索，甚至可能是不可探索的。为什么会这样呢？让我们来看看互联网的各个“部分”，以及为什么如今只有很小一部分人知道它。

本文旨在解释我们所说的“暗网”的确切含义。

明网（表面网络）

明网（名词）：全球网络的公开可用部分，可被谷歌或必应等搜索引擎访问和索引。

人们日常互动的大多数互联网内容都属于明网。如果你在谷歌中输入查询并点击结果中的任何一个页面，那个页面就属于明网。这指的是可以在不进行其他操作（如身份验证）的情况下查看的页面。特别是指可以被网络爬虫访问的互联网部分。明网的例子包括维基百科页面、公共新闻网站和Netflix的整个目录。

如果没有暗网，这个术语可能不会存在。明网是许多用户将花费大部分在线时间的地方。即便如此，在接下来的部分中，我们将看到它占据了令人惊讶的小部分互联网。

深网

深网（名词）：无法通过标准搜索引擎发现的全球网络的部分，包括受密码保护的动态页面和加密网络。

如果你曾经访问过付费墙后面的内容，甚至只是密码保护的内容，比如你的电子邮件，那么你就在深网上。有时，只有特定用户可以访问内容。其他时候，公开资源会根据访问者的身份发生变化。还有大量的多媒体内容，大多数搜索引擎或网络爬虫无法理解。任何不能被搜索引擎索引的内容——也就是说，任何不能被谷歌等工具找到和理解的内容——都属于深网。

深网内容的例子包括私人企业内部网络、政府数据库和学术期刊。据估计，它占据了整个互联网的96%到99%，其中许多内容可能永远不会被人类看到。

究竟是什么让明网与深网相区分？

明网和深网之间没有明显的界线。例如，社交媒体上的私人帖子并不“对公众随时可得”，通常也不能被谷歌索引。但它们被认为属于明网。区别通常在于信息的易查找或易知的程度。

在将数据标记为清晰或深网时会考虑以下几个因素。

机密性。与政府数据库相比，社交媒体上的私人帖子的访问方式更加反复无常。政府数据库需要保持机密；对数据的访问受到严格控制。相比之下，通过“友好请求”可能就能访问私人社交媒体帖子。

用途。私人数据库通常包含对公司或个人非常敏感的数据。即使在最敏感的情况下，社交媒体帖子通常也是私人的，因为“不是别人的事务”。

主机可见性。政府数据库故意隐藏在广大互联网之外，因为它们具有机密性。Facebook等社交媒体平台对搜索引擎非常可见，即使其中的一些内容不可见。Medium的文章，即使在付费墙后面，也可以通过谷歌访问，因此被认为属于明网。

暗网

暗网（名词）：只能通过特殊软件访问的全球网络的部分，允许用户和网站运营者保持匿名或无法追踪。

互联网并不是为隐私而建设的。我们的大多数在线活动都会被记录下来，可以被想要了解我们行为的人看到。这可能是想要了解我们如何与他们的软件互动的人，也可能是想向我们展示定向广告的人。如果我们有不良行为，这些信息也可以交给有关部门。

并不是每个人都希望在网上被追踪，而这并不仅限于从事不良行为的人。这就是为什么互联网的这个子集存在的原因：一个人们在其中几乎无法被追踪的网络部分。但它是通过一系列不同于明网的工具运行和访问的，这些工具专门设计用于阻挡光线。

结论 — 我们需要一个更大的浏览器

明网和深网之间的界线已经足够模糊了。但深网和暗网虽然作为实体更为明显，但仍然经常混淆。深网之所以深度，部分原因是尽管它包含大量内容，但通常并不是非常有趣。是的，有些数据对某些人很重要。但发生在某个遥远公司私人内部网络上的事情可能对大多数人并不相关。然后，还有那些多年前上传的已经被遗忘的内容。几乎每个人都与现存深网内容的绝大多数无关。

然而，暗网是一个完全不同的生态系统。在匿名是游戏规则的地方，它已经成为人们在灯灭后做什么的社会实验。是的，可以找到的内容中有很多令人不悦的东西。但实际上，暗网也有非常道德和合法的用途。与深网不同，暗网对整个社会来说更为重要，特别是对执法机构。

暗网最初的设计目的是为记者、军事人员和高风险国家的个人提供一个安全的通信渠道，现在已经发展成为一个动态的不受监管的环境，是威胁行为者的栖息地。

互联网的这一分部已成为销售和协调邪恶活动的有效屏障，包括贩运毒品和武器、泄露敏感文件、传播宣传、传播网络攻击窃取的数据等。

如果您在网址末尾看到“.onion”，则表明您正在访问暗网网站。但你肯定不会只是偶然发现它，因为访问暗网需要专门的浏览器——例如 Tor、OpenBazaar、I2P 或 ZeroNet，而浏览暗网也和你想象的一样混乱。

虽然暗网仍然保留着善意的匿名性——例如言论自由，包括俄罗斯和伊朗的审查环境——但这最终是以赋予毒枭、军火贩子、虐待儿童者和其他罪犯权力为代价的。

研究公司 Terbium Labs 分析了 400 个随机选择的 .onion 站点，并从中得出结论，超过一半的暗网域名产生了非法活动。尽管大部分活动都是非法贩运，但出于经济动机的网络犯罪已成为一种日益严重的现象，给执法部门和企业网络团队带来了麻烦。

此外，尽管公共和私人企业正在加倍努力以防范网络威胁，但互联网上仍然存在无意的数据泄露事件。想一想 LinkedIn 上的帖子，其中同事的照片上展示着带身份证的照片。如果威胁行为者发现，这可能很快会在暗网中转化为身份盗窃驱动的经济收益。

事实上，近年来暗网的反常增长主要是由于加密货币市场的兴起，匿名进行交易的能力得到了提升。根据 Chainalysis 2020 年的一份报告，2019 年暗网市场上的加密货币交易额超过了 7.9 亿美元，增长了 70%。该公司还报告称，2020 年，暗网市场上的网络犯罪分子持有约 90 万枚比特币。这是一个完美的搭配。

在这种蓬勃发展的形势下，准确定位已知威胁行为者的注意力（他们使用哪些加密货币、典型的交易是什么样子、交易的资金来源是什么以及隐藏在暗网中的活动在哪里）的能力至关重要。但试图通过人工手动筛选无数的危险信号、模式和异常来解决这个问题是站不住脚的。

识别网络和加密货币犯罪及其在网络世界中的传播不应仅仅局限于一名分析师的专业知识或能力。在数字黑社会的重压下，调查团队可以利用增强型情报取得更好的成果，即利用技术获取更广泛的信息，更快地处理数据，从大量噪音中找出最重要的数据。

草根愤怒的喧嚣

暗网因全球政治动荡而更加流行，这使问题变得更加复杂。COVID-19新冠疫情大流行、美国国会大厦暴动和俄罗斯入侵乌克兰等众多重大全球事件使全球社会两极分化。

例如，在新冠疫情流行封锁的头两年，一些澳大利亚人通过烘烤酵母面包来应对。然而，其他人则将草根的愤怒发泄到了互联网的黑暗角落，那里的有关 COVID-19 的错误信息像野火一样蔓延。

在国外，暗网论坛成为 Boogaloo 支持者、Proud Boys、QAnon 阴谋论者和其他极端分子等团体在 1 月 6 日国会大厦骚乱后否认美国总统选举合法性的避风港。

这意味着威胁面不断扩大，而且变得更加繁忙。庞大的动态信息量为执法、国家安全和其他机构在暗网中手动搜索线索造成了盲点。

过去的手动技术方法过于耗时和费力，数据量超出了即使是资源最丰富的安全团队的能力。暗网的规模需要能够增强调查技能的技术，即需要帮助团队在犯罪发生之前先发制人的工具。

快速脱身的快捷步骤

这让我们了解人工智能在执法、国家安全和情报团队中的作用。要想手动浏览暗网并发现关键信息，人力是无法做到的。任何关键词搜索的尝试都将不可避免地导致误报，更糟糕的是，操作员会因此而精疲力竭。

尽管暗网搜索引擎存在，但即使是最好的搜索引擎也难以跟上不断变化的生态系统。网站通常是由骗子建立的，他们不断更改其网址以避免被发现。毒枭也做同样的事情——他们在数字黑社会中四处活动，试图躲避警方的追捕。

变化的速度意味着连接超时和 404 错误，这让人想起上世纪 90 年代末的“明网”的搜索体验。

与此同时，人工智能学习速度很快，可以大规模收集风险行为。 例如， 蓝石分析公司（Bluestone Analytics）拥有超过 10 亿条暗网记录，每天收集超过 65 种语言的 40 万到 60 万条新记录——这些数据非常宝贵，但如果没有人工智能技术，情报团队很难理解这些数据，更不用说将其拼凑在一起了。当调查人员能够理解这些错综复杂的网络时，他们就能做得更好。

如果调查人员的能力得到增强，不仅可以及时发现暗网威胁，而且可以做到有的放矢，那么我们就能更好地消除暗网黑社会的嚣张气焰。

暗网情报公司Searchlight Cyber​​在DarkIQ中推出了新的曝光数据（Exposure Data）视图，整理了来自数据泄露和恶意软件感染的4500多亿个暗网数据点，以帮助企业在触发检测系统或防火墙之前就发现与其业务相关的威胁。

一旦 DarkIQ 检测到与企业相关的暴露凭证（例如客户或员工的用户名和电子邮件），Exposure Data 就会自动将这些详细信息与从明网、深网和暗网重新捕获的超过 4500 亿个数据点进行交叉引用。所有泄露的漏洞和恶意软件相关元数据都会被整理成直观、可操作的事件概述，让调查人员全面了解漏洞的规模及其其企业安全的影响。

研究表明，89% 的攻击行为涉及使用被盗凭据来建立初始访问权限。因此，当发现泄露的凭证时，企业必须迅速采取行动遏制威胁，这要求他们随时掌握所需的所有信息。DarkIQ 中的暴露数据会自动为分析师自动过滤和构建数据，仅显示与其企业相关的结果，从而缩短响应时间，并将资源用于解决更复杂的网络安全问题。

DarkIQ 提供的额外数据点为安全和事件响应团队提供了重要的详细信息，包括泄露的日期和来源，以及因泄露或信息窃取者感染而受到泄露的其他数据（如果有）。例如，暴露数据可能包括财务、医疗和个人信息 ——一甚至包括受害者的婚姻状况、政治派别和其他家庭成员的信息（甚至包括他们是否养猫或狗），这些信息可用于社会工程攻击或对个人进行人肉搜索。

Searchlight Cyber​​ 公司联合创始人兼首席技术官 Gareth Owenson 博士表示：“深网、暗网和明网中大量泄露的数据对企业构成威胁。然而，如果他们能够及早识别，他们就有机会领先于网络犯罪分子并打破攻击链。安全团队面临的真正问题不是缺乏数据点，而是缺乏可索引、相关和可操作的结构化数据。通过这些新功能，我们致力于确保数十亿非结构化数据点以有用的方式交付，实现时间密集型流程的自动化，确保安全团队能够迅速采取行动。”

暴露数据使企业能够更轻松地防御威胁，包括社会工程、针对高管和 VIP 的攻击以及针对客户的欺诈。附加数据还可以协助事件响应，帮助安全团队识别、遏制和消除恶意软件感染。

这些增强功能为Searchlight现有的市场上最全面的暗网数据档案带来了更多的数据点，这些数据是根据美国、英国和欧洲法律，采用自动化技术和人工技术相结合的方式从地下论坛、市场和加密聊天等来源收集的。

新的曝光数据面板现已可供所有 DarkIQ 客户使用。在这里阅读更多内容。

关于Searchlight Cyber

Searchlight Cyber​​ 为企业提供相关且可操作的暗网情报，帮助他们识别和预防犯罪活动。我们成立于 2017 年，其使命是阻止犯罪分子在暗网上逍遥法外，我们参与了一些世界上最大的暗网调查，并拥有基于专有技术和突破性学术研究的最全面的数据集。今天，我们帮助世界各地的政府和执法部门、企业和托管安全服务提供商阐明深层网络和暗网威胁并防止攻击。

尽管国际执法机构协调努力打击此类工具，但暗网和网络犯罪论坛上提供的分布式拒绝服务 (DDoS) 攻击雇佣服务正在“蓬勃发展”。这是根据网络安全公司 Searchlight Cyber​​ 分析师的最新研究得出的结论，该研究显示，帮助不太复杂的犯罪分子发起 DDoS 攻击的“压力器”和“助推器”的可用性和有兴趣的买家都在增加。

研究人员写道， DDoS攻击压力源在网络犯罪论坛和 Telegram 频道中日益猖獗。尽管“断电行动”（Operation Power OFF）最近摧毁了几个著名的DDoS攻击雇佣平台，包括一些活跃了十多年的平台，并导致许多国家的人员被捕。

分析师表示，黑客活动分子、出于经济动机、国家支持的以及“脚本小子”威胁行为者都对购买 DDoS 攻击出租平台表现出兴趣，而犯罪市场几乎没有放缓的迹象。事实上，NoName057(16)组织（一个与俄罗斯有关联的黑客活动团伙，积极针对西方国家的政府机构和关键基础设施）开发了名为 DDoSia 的专有工具，鼓励追随者使用它，并创建了一个专门的 Telegram 支持群组。

此外，早期迹象表明开发人员正在寻求进一步创新，并讨论将 DDoS 攻击与其他类型的活动（例如使用“威胁即服务”商业模式的勒索软件）结合起来。

网络分析师发现，讨论最多的网络应用程序压力来源通常是俄罗斯或美国的 IP。“值得注意的是，许多俄罗斯的压力者使用相同的 IP 范围，这意味着他们可能共享相似的基础设施。”

分析 DDoS 雇佣攻击平台

研究人员访问了地下网络犯罪分子目前可用的几个 DDoS 出租平台，并分析了它们的特征。

自 2020 年开始活跃的噩梦 DDoS 压力器

其中之一是噩梦压力器（Nightmare Stresser），这是一个至少从 2020 年起就一直活跃的 DDoS 平台。“根据现有信息，有超过 566,000 名注册用户和 52 台服务器，可通过 28 种不同方法实施攻击。”分析师写道。他们补充说，攻击方法根据类型分为三大类：OSI 模型第 4 层（传输）UDP、第 4 层（传输）TCP 和第 7 层（应用程序）。

攻击者可以根据自己的喜好选择攻击的组件，选项包括目标IP或URL、攻击时间和并发攻击数量。“最便宜的订阅套餐允许 1800 秒的攻击时间和一次并发攻击，而最昂贵的选项允许 86400 秒的攻击时间和 400 次并发攻击。最大攻击能力似乎仅限于 200 Gbps。”分析师表示。

Stressthem DDoS 压力器是最强大的压力工具之一

分析的另一个工具是 Stressthem，它声称是市场上最强大的压力源之一，攻击能力高达 1000 Gbps。研究称：“与大多数其他此类工具一样，它采用 DDoS 即服务商业模式，订阅价格从每月 30 美元到每季度 18000 美元不等。” 最昂贵的套餐提供每天无限次攻击、长达 2 小时的攻击时间和 100 次并发攻击。

该平台还允许用户从多个攻击选项中进行选择并输入受害者的详细信息。“这个压力器与其他压力器的不同之处在于，它还提供免费套餐，允许攻击者在购买之前测试该服务。”

SirMoustache 火力攻击工具未托管在网站上

威胁发起者 SirMoustache 是 Cracked 网络犯罪论坛的成员，最近宣传了一种可用于进行分布式 DDoS 攻击的雇佣攻击工具。“这款压力工具与其他工具的区别在于它不托管在网站上。开发 Paper Stresser 的人声称这是一个无需下载的工具，似乎是通过 PuTTY 的命令行界面进行操作的。”研究人员表示。

根据攻击者的描述，压力源似乎使用 12000 个机器人进行攻击，攻击能力高达 700 GB/s。该压力器提供四种不同的每月订阅服务，价格从 30 美元到 125 美元不等，承诺攻击时间长达 500 秒，并提供 18 种攻击方法。

Krypton Networks DDoS 工具在 Telegram 上有 2100 位关注者

最后，分析师写道，Krypton Networks 是一款似乎需要安装的 DDoS 工具，其管理员声称，该工具使用物联网（IoT）僵尸网络通过第 4 层（传输）攻击受害者，而在对第 7 层（应用）进行攻击时则使用私人服务器。“该服务提供高达 1.5 Tbps 的攻击能力，7 天订阅价格为 15 美元，“私人”订阅价格高达 1000 美元，16 天。”

Krypton Networks 目前在 Telegram 上拥有 2100 名关注者，其幕后黑手几乎每天都会发布更新、添加功能、增强攻击能力，并不断分享买家认可的屏幕截图。他们补充说，它还设有专门针对俄语和中文使用者的语言帖子，使那些不会说英语的人可以轻松部署攻击。

今年发生有史以来最大规模的 DDoS 攻击

10 月，Google Cloud、Cloudflare 和 Amazon Web Services报告了有史以来最大规模的 DDoS 攻击，每秒请求数 (rps) 峰值超过 3.98 亿。谷歌表示，这相当于“请求数量超过了 2023 年 9 月整个月维基百科报告的文章浏览总数”。这次攻击是大规模利用零日漏洞的一部分。

公司被迫执行 DDoS 缓解技术，以最大程度地减少服务中断，包括负载均衡。多家互联网基础设施公司建立了合作伙伴关系，以减轻攻击对整个互联网的总体影响，从而防止了中断的发生。

一位精神科医生和三位瑞典心理学家参与了欧盟的一个新项目，为一项研究招募恋童癖者。

这是首次将励志谈话作为一种治疗方法。

研究人员此前曾多次通过暗网寻找恋童癖者并提供治疗，这次是关于一个名为“桥梁”的欧盟项目。

与之前的尝试相比，您是否改变了招聘方式？如果改变，是如何改变的？ 

是的，这次用的是 Ahmia，它是暗网上的一个搜索引擎，当人们搜索虐待儿童的材料以及其他与恋童癖和儿童性剥削有关的内容时，它会引导人们进入该项目。该搜索引擎有多种语言版本。但您也可以通过其他渠道注册，不必非得通过这种方式。【精神病学家兼该研究负责人克里斯托弗·拉姆 (Christoffer Rahm) 说。】

目标招募人数是多少？ 

120人。到目前为止，我们已经招募了大约 25 名员工。

激励恋童癖者寻求治疗的策略是什么？ 

我们希望找到一种方法，说服虐待儿童的高危人群离开匿名的网络生活，并采取措施在自己的国家寻求治疗。我们从以前的项目中了解到，这些人需要的往往不是在线治疗所能提供的。他们往往需要广泛的心理评估和适当的心理治疗，这可能还涉及到对周围网络的支持。因此，我们选择测试激励性对话，这些对话已在其他情况下被证明可以帮助人们在生活中做出重要改变，例如戒除毒瘾或犯罪。这是首次在针对这一客户群体的研究中使用动机访谈法。我们对研究结果感到非常兴奋。

在以前的项目中，研究人员利用暗网试图说服恋童癖者寻求治疗，结果如何？

出奇的好。在第一个“预防它”（Prevent It）项目中，招募了 160 人，他们被随机分配接受真实但匿名的 iCBT 或心理安慰剂治疗。大大约一半的人完成了治疗。近 50%的参与者完全停止使用虐待材料，而最初每周只使用 5-7 个小时。这是一个巨大的成功，因为这些图像中的儿童因图像的性使用而受到的剥削，往往与图像本身所描述的虐待所造成的伤害一样大，甚至更大。那些没有停止观看的人，观看的时间要少得多，大约为每周 1-2 小时，观看的内容也要温和得多--而不是他们在开始时通常选择的非常粗俗的儿童色情内容。结果表明，iKBT 比安慰剂更有效，副作用也更小。

您在该项目中扮演什么角色？ 

我是项目的发起人和主要审查者，即总体科学负责人，我还参与了所有新客户的心理评估，我本质上是一名精神科医生。Maria Breide 是该项目的项目协调员、博士生、心理学家和治疗师。

为什么瑞典心理学家参与这个项目？ 

该项目有三位瑞典心理学家：托比亚斯·伦德格伦 (Tobias Lundgren)、约翰·霍姆伯格 (Johan Holmberg) 和玛丽亚·布雷德 (Maria Breide)。我们正在测试的是心理干预，这是我们组建的一个真正的明星团队，能够说他们都是真正的明星是一件非常有趣的事情！我每天都能从他们身上学到很多东西。他们都带来了不同领域的专业知识--研究经验、动机访谈知识、性医学经验。

目标是什么？ 

我们希望能够报告激励性谈话是否能有效让高风险人群寻求护理，如果基于 CBT 的自助计划（我们也在测试针对低风险人群的类似计划）是否良好为参与者提供处理涉及儿童的性冲动的工具。我们还对该项目进行了大量投资，以调查不同国家和文化背景下，因对儿童的性兴趣而寻求治疗的主观体验有何不同。他们中寻求治疗的人很少，这是一个大问题，我们需要了解如何才能改善这一状况。

“我们很高兴能将暗网情报整合到我们的网络安全和事件响应服务中，通过提供更高的可见性和有价值的可操作洞察力，使我们能够更有效地保护我们的客户”。

Eye Security公司是欧洲企业网络保护领域的领导者，很高兴与领先的暗网数据提供商DarkOwl合作。这一战略合作伙伴关系将使Eye Security公司能够更好地评估客户风险并增强其安全态势，以主动预防网络事件。

欧洲中型企业发现自己比以往任何时候都更容易受到网络攻击，成为威胁行动者的目标。。Eye Security公司凭借其主动风险评估方法和数据聚合功能，将通过与DarkOwl合作，从暗网收集关键情报，增强客户的安全态势并解决非企业业务面临的挑战。为了实现这一目标，Eye Security公司汇总了大量数据，为客户提供可操作的建议。

由于暗网的匿名性和以隐私为中心的特性，它为复杂的网络犯罪生态系统提供了便利，并且是全球互联网基础设施中蓬勃发展的生态系统，许多企业都在努力将其纳入自己的安全态势。然而，对于具有前瞻性战略思维的企业来说，它是一个越来越重要的组成部分。DarkOwl使Eye Security能够收集影响客户的恶意活动的情报，无论是防止企业账户泄露的凭证泄露，还是客户数据的存在，或者是丰富威胁情报。

DarkOwl首席执行官Mark Turnage表示：“这种合作关系与DarkOwl为企业提供最全面的网络安全解决方案的使命完美契合。我们共同致力于确保欧洲企业（包括那些没有网络专业知识的企业）获得抵御不断变化的网络威胁所需的支持。”

凭借Eye Security和DarkOwl的综合专业知识，这一合作伙伴关系将为该地区的组织提供更全面的方法来保护其数字资产并防御网络攻击。Eye Security情报总监Cas Bilstra表示：“我们很高兴将暗网情报集成到我们的网络安全和事件响应服务中，使我们能够通过提供更高的可见性和有价值的可操作洞察力，从而更有效地保护我们的客户。”

关于 Eye Security：
Eye Security 由 Piet Kerkhofs（首席技术官）、Vincent van de Ven（首席运营官）和 Job Kuijpers（首席执行官）于 2020 年创立。在为荷兰情报和安全部门（AIVD 和 MIVD）工作多年后，他们现在专注于利用自己的知识和专业知识来保护欧洲企业免受网络攻击。Eye Security 有效且经济实惠的整体解决方案与网络保险相结合，使各种规模的企业都可以管理网络威胁。Eye Security 目前拥有一支由来自网络安全和保险行业的 100 多人组成的团队，他们都对打击（数字）犯罪充满热情。Eye Security 在欧洲设有办事处，遍布荷兰、比利时、德国，并通过其合作伙伴开展业务。欲了解更多信息，请访问www.eye.security。

关于 DarkOwl：
DarkOwl 使用机器学习和人类分析师来自动、连续、匿名地收集、索引和排名暗网、深层网络和高风险表面网络数据，从而简化搜索。DarkOwl 的独特之处不仅在于其暗网数据的深度和广度，还在于其数据的相关性和可搜索性、调查工具以及热情的客户服务。DarkOwl 数据是从暗网合乎道德且安全地收集的，允许用户安全、匿名地访问与其任务相关的信息和威胁。欲了解更多信息，请访问www.darkowl.com。

新研究发现，驾驶执照等假澳大利亚身份证件是暗网上最常买卖的产品之一。

悉尼科技大学 (UTS) 法证科学中心的最新发现显示，澳大利亚文件是暗网上最常见的交易产品，仅次于美国。

悉尼科技大学博士生Ciara Devlin为这些欺诈性身份证件创建了一个法证分析系统，旨在协助警方瞄准那些在澳大利亚广泛渗透的犯罪网络。

她说，目前对澳大利亚文件欺诈的运作情况知之甚少，警方通常会指控持有文件的个人，而不是查明文件的来源。

Devlin发现，这些虚假文件通过暗网上的加密市场广泛传播，并且可以追溯到共同来源。

Devlin说：“我发现澳大利亚文件是最常见的出售产品之一，其销量仅次于美国，大量违法者贡献了澳大利亚文件销售的大部分。”

“我已经能够深入了解假身份证件的可能分发途径以及澳大利亚证件在整个市场中所扮演的角色。”

犯罪组织在暗网上分发虚假身份文件，用于许多非法活动，例如身份犯罪、洗钱、人口和毒品贩运、非法移民、诈骗和间谍活动等等。

Devlin表示，伪造身份证件市场在国际层面组织严密，并由主要犯罪分子控制。

“制造和分发欺诈性身份证件是一个普遍且多发的犯罪问题，以至于欧洲刑警组织表示，欺诈性身份证件是一种威胁，它会促成和促进大多数（如果不是全部）其他类型的严重有组织犯罪，”她说。

Devlin说，她直观地分析了48份伪造的身份证件，检查了安全特征的复制、使用的印刷流程以及所犯的错误。

Devlin表示，几乎90%的信息相互关联，并且出现了五个共同来源。

“这项研究可以为执法和安全组织提供信息，帮助他们针对特定类型的欺诈行为（例如贷款欺诈）或特定领域（例如从大量销售欺诈性澳大利亚文件的国家进入澳大利亚的邮件）开展工作， “ 她说。

Devlin表示，她希望新南威尔士州警方能够实施她的法证分析系统，以帮助打击假身份证件在澳大利亚的传播。

对在暗网上发布的大量被盗密码进行了分析，它揭示了澳大利亚人选择密码的危险趋势。

虽然我们知道选择更复杂的密码是明智之举，但今年似乎有成千上万的澳大利亚人错过了这一忠告。

虽然您可能猜不到暗网上最常见的密码，但前五个密码充满了极其简单且可预测的选项。

根据全球密码管理器 NordPass 的研究，澳大利亚最常用的密码是 “123456”，它可以在一秒钟内被破解。

澳大利亚人最常被盗的密码是六个字符、无大写字母的密码 - “banned”；随后是一个最常见的“123456”；排在第三位，澳大利亚人通常选择“admin”作为密码。

大多数这些密码都很容易被破解，黑客能够在不到一秒的时间内破解大多数最常见的密码。

2023 年的数据是通过在线安全公司 Nordpass 发布的，该公司评估了一个“4.3 TB 数据库”，找出了澳大利亚人最常用的 20 个密码。

该公司写道：“密码列表是与专门研究网络安全事件的独立研究人员合作编制的。”

“他们评估了从各种公开来源（包括暗网上的来源）提取的 4.3TB 数据库。”

这些密码被盗窃软件窃取，Nordpass 将其描述为“Stealer Malware”。

随着网络犯罪的不断增多，如果您在列表中看到自己的密码，那么是时候做出彻底改变了。

以下是 20 个最常被盗的密码的完整列表，以及据报道黑客破解这些密码所需的时间。

• 1 - banned (2 分钟)
• 2 - 123456 (< 1 秒钟)
• 3 - admin (< 1 秒钟)
• 4 - password (< 1 秒钟)
• 5 - 1234 (< 1 秒钟)
• 6 - qwerty123 (< 1 秒钟)
• 7 - 12qwasZX (< 1 秒钟)
• 8 - 12345 (< 1 秒钟)
• 9 - 12345678 (< 1 秒钟)
• 10 - qwerty (< 1 秒钟)
• 11 - Qwerty123 (< 1 秒钟)
• 12 - 123456789 (< 1 秒钟)
• 13 - Starwars29 (3 秒钟s)
• 14 - welcome11 (2 秒钟s)
• 15 - ******** (< 1 秒钟)
• 16 - Deadman01 (1 分钟)
• 17 - Password1 (< 1 秒钟)
• 18 - 111111 (< 1 秒钟)
• 19 - Password (< 1 秒钟)
• 20 - abc123 (< 1 秒钟)

网络犯罪黑社会从未停止寻找创新的方式来超越执法机构的管辖范围。最近的一项调查发现了非法SIM卡交易与臭名昭著的暗网之间存在令人不安的联系。

当局发现，网络诈骗团伙通过非法手段获得的SIM卡主要出售给参与各种非法活动的犯罪分子。有趣的是，这些犯罪分子需要无法轻易追踪到他们的SIM卡，这使得它们成为逃避检测的重要工具。网络犯罪团伙和走私者对这些无法追踪的SIM卡的需求特别高。

犯罪分子显然不是通过官方的直接购买途径，而是通过利用无辜者来获取这些SIM卡。他们通过滥用身份证或使用伪造的身份证件来实现这一目的。这种方法可以确保实际所有者不知道以自己名义发行的SIM卡，从而有效地阻碍了任何调查。

警方针对网络犯罪的调查始于发现一起广泛存在的作弊案件。一位目光敏锐的网络犯罪官员注意到了欺诈活动中使用的SIM卡的一个模式：它们全部来自同一经销商。随着调查的展开，警方逮捕了三名负责通过滥用居民身份证获取SIM卡的人。

经销商Rinkesh Goswami透露了一个更大的网络，其中包括一位名叫Harsh Chaudhary的经纪人和一位名叫Krishna Kumar Rajpurohit的经纪人。Chaudhary将获取受益人的照片和身份证件，作为他为人们登记参加政府计划的一部分。然后，他会将这些个人详细信息出售给Goswami，后者将继续使用窃取的信息申请SIM卡。

SIM卡一经发行，就在暗网上以高价出售，每张SIM卡售价500卢比。犯罪分子之间对无法追踪的通信的需求助长了这些SIM卡的非法交易，仅在过去两年内就售出了4000多张卡。让事情变得更加复杂的是，Rajpurohit在为该团伙开设银行账户方面发挥了重要作用，使他们能够吸走资金，同时抽取收益。

这一揭露凸显了网络犯罪和暗网的相互关联性。犯罪分子不仅想方设法利用无辜者进行非法活动，而且还利用暗网提供的匿名性来阻挠执法工作。随着当局继续打击这些犯罪网络，打击网络犯罪的斗争显然远远超出了表面调查的范围。必须采取更全面的方法来瓦解这些错综复杂的非法活动网络。

文章相关问题：

1. SIM卡非法交易与暗网有何联系？

调查显示，通过非法手段获得的SIM卡正被出售给参与各种非法活动的犯罪分子。这些犯罪分子需要无法追踪的SIM卡（可以通过暗网获取）来逃避检测。

2. 犯罪分子是如何获取这些SIM卡的？

犯罪分子通过滥用无辜者的身份证或使用伪造的身份证件来获取这些SIM卡。这确保了实际所有者不知道以他们的名义发行的SIM卡，从而阻碍任何调查。

3. 调查是如何开始的？

调查始于发现一起普遍存在的作弊案件。一名网络犯罪官员注意到欺诈活动中使用的SIM卡的模式，导致三名负责通过滥用居民身份证获取SIM卡的人员被捕。

4. 谁参与犯罪网络？

该网络涉及一位名叫Rinkesh Goswami的经销商、一位名叫Harsh Chaudhary的代理商和一位名叫Krishna Kumar Rajpurohit的拉贾斯坦邦居民。乔杜里会获取人们的照片和身份证件，然后将其卖给戈斯瓦米。然后，Goswami 将使用窃取的信息申请SIM卡。

5. SIM卡如何销售？

SIM 卡一旦发行，就会在暗网上以每张 500 卢比的高价出售。犯罪分子之间对无法追踪的通信的需求推动了这些 SIM 卡的非法交易。

定义：

– 非法SIM卡交易：指非法买卖SIM卡，通常涉及盗窃或伪造身份证件。
– 网络欺诈者：从事在线欺诈活动的个人，通常涉及身份盗用、诈骗或其他形式的网络犯罪。
– 暗网：互联网的一部分，被故意隐藏，只能通过特定软件访问，允许匿名浏览并促进各种非法活动。