【技巧】开放与暗网研究:技巧与技术---如何访问和分析可疑或恶意内容而不暴露您的资源或身份

今天给大家推送Authentic8的《开放与暗网研究:技巧与技术》。Authentic8的网络隔离平台Silo由Postini的负责人创立，并于2007年被Google收购，Authoric8的网络隔离平台Silo对每天与我们在线互动的基础系统和资源提供“零信任”解决方案。

如何访问和分析可疑或恶意内容而不暴露您的资源或身份

一、调查网站所有权及历史

收集公开信息的分析员（PAI）会遇到各种站点和服务，这些站点和服务具有宝贵的信息。虽然这种信息具有情报价值，但这些网站传播的信息可能存在偏见、意图和其他的原因。

为了查明这些原因，分析人员必须找到有关站点/服务背后的个人/组织的信息，该站点/服务负责托管、维护和资助他们。

这些信息通常混淆不清，但是可以通过适当的研究工具和流程获得。

分析师可以利用以下站点和服务：

•WHOIS记录：WHOIS记录提供顶级域名（例如，russianmilitaryblog.com）信息，如注册日期、地址、名称以及与域名相关联的电话号码。此外，它还提供网络主机信息。

-       URL扫描:https://urlscan.io

-       DomainIQ:https://www.domainiq.com

•高级搜索引擎使用：使用高级搜索引擎和搜索引擎参数唯一地标识网站上或WHOIS记录（即电子邮件、姓名、邮件服务器、其他IP地址等）上的信息可以在站点或服务管理员上提供附加信息。

-       carbondate:http://carbondate.cs.odu.edu

-       GoogleDorking:https://www.google.com

1、WHOIS记录分析:URLscan.io

URLscan.io 对域进行分析，向终端用户提供关于站点检索期间所有HTTP连接的信息、页面出站链接以及详细IP址信息。

URLscan.io功能：

1.       “摘要”提供了网站所在国家的最高级摘要。

2.       “HTTP”详细说明了在初始加载期间有多少HTTP连接。

3.       “链接”详细说明了其他网站在主页上的链接。

4.       “IP/ASN”详细说明了在初始负载时使用的所有IP和地理空间位置以及ASN。

5.       “IPDetail”包含分配IP址并重定向的确切城市/州/国家。

6.       “(子域)域”确定顶级域包含多少子域。

示例分析：

俄罗斯军事论坛Airbase. ru主要使用在德国的托管，这可能是由于德国严格的数据隐私法。从HTTP面板中，该网站使用GoogleAnalytics进行用户跟踪，并使用Yandex.ru进行电子邮件。从Links面板，实时的“Telegram”聊天也可以提供给用户。

2、WHOIS记录分析:Hosting Research

Hosting Research向终端用户提供关于托管站点的服务器的历史信息。这可能是有用的，因为服务器常常托管来自同一网站管理员的多个站点，或者拥有有价值的信息，比如可用的所有者信息。

Hosting Research功能：

1.       HostingServer History 包含托管感兴趣站点的历史 IP，并详细介绍服务器上的其他域和服务器IP网。

2.单击IP时打开“此IP上的域”。这详细说明了其他站点有指向这个IP的WHOIS信息。

示例分析：

除了当前的德国IP之外，只有一个其他的IP被用于托管论坛。

这个IP是95.31. 43. 16，它也被一系列其他域名使用——其中一个域名是Sologubov. ru在论坛后面的个人信息。这揭示了网络主机的全名，电子邮件和ICQ号码的进一步目标。

3、高级搜索引擎:carbon date

这个高级搜索引擎自动对web. archive. org、archive. md、Bing、bit. ly、Google和Twitter进行高级搜索，以识别web上最早的scrap/index或网站的提及。

功能：

1.“估计创建日期”从结果集中提取最早的日期。

2.结果集显示搜索到的每个源的结果，并在可用时显示指向直接源本身的URL

3.  web.archive. org结果是最早的结果集；可以使用URL查看站点的最早迭代。

示例分析：

最早提到论坛的是2003年10月。通过网络查看archive.org这个站点的第一次在“uri-m”字段中使用URL。

4、高级搜索引擎：Google 搜索参数

高级Google搜索参数和特性用于一种称为“Google Dorking”的技术。

用户必须结合各种搜索参数来有效地搜索和筛选他们感兴趣的结果。

最常用的Google搜索参数是：

最常用的布尔逻辑搜索运算符是：

使用高级谷歌搜索参数的示例分析：

网站：Sologubov. ru ICQ或电子邮件

此搜索将在感兴趣的站点上找到ICQ或电子邮件的提及，从而导致ICQ号码和分析师以前不知道的电子邮件。

网站:论坛. 空军基地. ru联系或管理或mod或主持人或捐赠

此搜索将找到可链接到人的唯一标识信息，例如提及主持人、联系人页面或捐赠页面(例如Paypal、比特币等)，从而导致多页提及主持人和用于其健康账单的捐赠页面。

“95. 31. 43. 16”

这次搜索将找到论坛. airbase. ru的确切提及，导致在另一个论坛上提到俄罗斯对服务器IP地址的审查。

结论

这个工作流程包括如何调查与感兴趣的站点/服务相关的所有权和托管信息。分析的结果包括关键标识符，如服务器IP、其他相关域和webhost的电子邮件地址/名称/ICQ号，这些标识符随后可以进一步并入成品智能产品。

二、秘密洗钱的兴起

自比特币的历史性崛起以来，参与加密货币生态系统的用户数量已达到近6900万人。活跃的加密货币用户的增加也导致用于洗钱的加密货币激增。根据联合国毒品和犯罪问题办事处(Office on Drugs and Crime)的数据，洗钱每年给全球经济造成的损失在8000亿至2万亿美元之间，占世界国内生产总值(GDP)的2%至5%。

加密货币时代的洗钱活动比传统的洗钱活动更为方便，它有多种类型的可用加密硬币，而且交易者为了隐藏其真实身份而需要大量匿名。添加黑暗的网络，你有一个模糊，不断变化和分散的环境，给调查人员带来更多的挑战。

金融犯罪执法网(FinCEN)对虚拟货币滥用的威胁警告

犯罪分子继续利用虚拟货币支持非法活动、洗钱和其他危害美国国家安全的行为。为了帮助与可兑换虚拟货币合作的金融机构、执法和监管机构，金融犯罪执法网络提供指导，帮助各组织查明和报告可疑活动。该咨询强调了与黑暗的网络市场、对等（P2P）交换器、未注册的货币服务企业和CVC信息亭相关的风险。它还为各组织提供一套工具，帮助查明未登记的金融活动和可疑虚拟货币购买、转移和交易。

有效反洗钱方案的必要性

金融犯罪执法网（金融犯罪执法网）监管框架规定，企业应制定、执行和维持一个有效的反洗钱方案（“反洗钱方案”），目的是防止利用组织协助洗钱和资助恐怖主义活动。

AML程序的最低要求集合包括：

• 制定旨在确保持续遵守的政策、程序和内部控制(包括核实客户身份、提交报告、创建和保留记录以及回应执法请求)

• 指定负责确保日常遵守方案的个人

•对适当人员的培训，包括侦查可疑交易的培训

• 持续进行独立审查，监测和维持适当的方案

如果没有充分的管制，金融机构就无法合理地评估和减轻客户资金来源构成的潜在风险，犯罪分子可以通过从事非法交易来利用金融系统。从事非法活动的个人将继续利用这些脆弱性，只要察觉到的发现风险低于使用传统金融机构的风险。

跟踪密码货币

如何跟踪CVC事务？一种流行的方法是使用区块链技术。分块链是一种开放的、分散的分类账，它以永久的方式记录双方之间的交易，而无需第三方认证。例如，每个涉及比特币地址的交易都永远存储在区块链中；然而，比特币地址是假名，这意味着地址所有者（即，在该地址接收比特币的人）的身份通常未知。

如果用户的地址一直链接到他们的身份，那么每个事务都将链接到该用户。以下是开源情报（OSINT）工具的示例，这些工具允许调查人员根据块号、地址、块散列、事务散列或公开密钥搜索比特币交易的更多信息。

• https://www.blockchain.com/explorer 

• https://blockchain.info/ 

• https://www.chainalysis.com/ 

• https://bitcoinwhoswho.com/

为了防止追踪他们的交易，洗钱者已经开始使用被称为加密货币暴跌的制度。隐形货币暴跌将潜在可识别的货币与不可追踪的货币混在一起，使其更难追踪。

一些地址可以通过它们的所有权分组，使用行为模式和来自非链来源的公开可用信息。象往常一样，法医调查员的挑战是辨认键盘后面的人，这可以通过传统调查和数字法医技术的结合来实现。

比特币地址报告

一旦比特币地址被识别，它就可以通过区块链跟踪工具运行。使用bitcoinwhoswho.com，研究人员可以生成比特币地址1Hz96kJKF2HLPGY15JWLB5m9qGNxvt8tHJ的报告。

可能感兴趣的领域：

•    当前余额/接收总数：这个数据点允许分析人员假设他们处理的地址类型。由于交易量大，这个钱包很可能属于比特币矿工。

•   LastTransaction IP：分析人员可以查看最后一个已知的IP，以中继涉及选定地址的输出事务。重复使用IP可以作为唯一的标识符。

•    网站外观：提供出现此确切比特币地址的任何网站的视图，这对于识别声誉/交易类型是有价值的。

•    重复输入来自/重复输出到：此数据点允许分析人员查看与该地址相关联的输入和输出事务涉及的50个最新比特币地址。通过查看交易历史并经常与钱包交互，调查人员可以进行网络和链接分析，以识别不同比特币地址之间的模式和可能关系

原文还重点介绍了Authentic8的工具：Silo for Research(Toolbox)，这是一种安全、匿名的网页浏览解决方案，允许用户在开放、深度和黑暗的网页上进行研究、收集证据和分析数据。

Silo for Research 是建立在Authentical 8 的专利、基于云的 Silo Web 隔离平台上，该平台在安全、隔离的环境中执行所Web码，由策略管理，为所有基Web活动提供保护和监督。

研究团队可以在不给组织带来风险或揭示意图的情况下完成他们的目标。所有Web活动都被记录并加密，因此合规团队可以确保这些工具被适当地使用。

完全隔离：所有的网络代码都是在Silo服务器上执行的，而不是终端用户设备

基于云：每次创建干净实例的转键、云托管解决方案

管理属性：配置浏览器指纹和出口位置

访问打开、深或暗的网：单击访问任何目的地而不会污染环境

加强工作流程：内容获取、分析和存储的综合工具

全面审计监督：所有web活动的加密审计日志在一个地方捕获并易于导出

SiloforResearch允许用户使用欺骗IP访问全世界30多个地方，操纵他们的硬件和软件指纹，收集、注释和存储基于互联网的公开可用信息(PAI)。它包括后获取语言翻译、网络代码和流量分析以及链接跟踪的工具。

基于Silo的社媒毒品交易者识别与调查

使用SiloforResearch进行调查的第一步是选择一个区域性适当的出口位置和一个符合区域性规范的用户代理字符串。这个工作流程将使用运行在Windows10机器上的US和GoogleChrome作为用户代理字符串。这个过程允许调查人员融入该地区的本地人。

在对社交媒体进行研究时，SiloforResearch包含各种数据收集工具，可用于收集情报。第一个工具是视频下载工具；这个工具允许调查人员简单地下载当前在屏幕上播放的任何视频，以保存为证据。第二个是屏幕截图工具，它使调查人员能够拍摄整个页面的屏幕截图。屏幕截图工具还赋予调查人员编辑屏幕截图的能力，包括框、箭头和文本，以突出重要信息，以及包含截图拍摄地点的URL的能力。这使得调查人员可以很容易地返回网页，收集更多的情报。

通过在Twitter上搜索#xanax，Twitter用户@philipeguz被确定为使用Twitter推销和销售非法麻醉品的账户。此配置文件显示了如何下订单的信息；所列信息包括网站、电子邮件地址和电话号码。此信息现在可以通过额外的搜索引擎运行以识别帐户的所有者。

该工具还整合了网站所有者调查、电话反查、邮箱反查等功能。

电话号码1+802-438-8671也被列为从该Twitter页面订购麻醉剂的联系信息。有了这个数字对于调查是非常有价值的。号码可以通过反向电话号码搜索引擎运行以识别用户信息。下面的截图来自https://www. whitepages.com/phone/1-802-438-8671为列出的电话号码生成的报告。

另外该文章还介绍了图片exif信息和物联网搜索工具Shodan的相关信息。

本文机器翻译由百分点智能翻译提供

官网地址：http://translate.percent.cn/

公司官网：https://www.percent.cn/

商务和技术咨询欢迎联系400-6240-800 或 fanyi@percent.cn

原文PDF和机器翻译文档已上传小编知识星球