暗網的故事太多了。
隨著前段時間的 Hansa 和 AlphaBay 被剿,又一波關於暗網的故事出現了。
暗網的黑暗一面卻如各類媒體中所描述那樣之黑。但暗網也有「可愛」的一面,當然,本文並不打算試圖展現這一面,因為這樣並不符合社會主義價值觀。
這裡,我只想嚼嚼舌頭而已,順便把這段時間爬下來的數據做一次比對分析。
【1】入門科普
關於暗網該如何以正常姿勢訪問的文章很多了,這裡我說一個不正常的姿勢。
這裡介紹的訪問方式並不保證安全,因為整個通道並非完全加密,至少從你的電腦到中間的代理是沒有什麼保護措施的。
首先有一個項目叫做 Tor2Web:tor2web.org。
如果了解這個項目的話,這一段就可以略過了。
而關於暗網的追蹤和研究網站有很多,這裡推薦兩個:
https://darkwebnews.com/,這是各種關於暗網新聞的文章,裡面還有個market list,是各種暗網市場的列表,有online/offline的狀態追蹤(但並不是很準確);
https://onionscan.org/,OnionScan的老家,裡面會有一些統計數據,之前也放過關於暗網的報告,在網站上都可以找到,就不放連結了。
知道了這幾個網站,就可以了解如果只是想簡單窺視一下暗網的模樣該如何去做了。
例如,剛被關停的AlphaBay的地址是:http://pwoah7foa6au2pul.onion
藉助 Tor2Web 的幫助,只要在域名加上 .cab 的後綴就可以在不使用TorBrowser的情況下訪問了:http://pwoah7foa6au2pul.onion.cab
(還有一些其他可用後綴,可以閱讀 Tor2Web 站點內容)
如果順利的話,就可以觀摩到AlphaBay被關停的頁面了。
【2】再說 Tor2Web
OnionScan提供了暗網監控的一種手段,如果有興趣的話可以訪問他們的項目自己也去搭建一套監控程序:https://github.com/s-rah/onionscan
但同時 Tor2Web 作為一個中間代理也提供了一些數據支持,他們記錄了前一天所有通過其訪問的暗網站點的命中次數,大概樣子是這樣的:
其中,id 就是暗網域名中 onion前的部分,access_count 就是通過Tor2Web訪問了這個id多少次。
這個數據來自於 Tor2Web 的 OpenData:
https://github.com/globaleaks/Tor2web/wiki/OpenData
【3】片面的數據
上面提到的 OpenData 數據實際上存在一些問題,例如,通過幾個月的數據監控發現其背後是來自 Tor2Web 的多個代理的數據匯聚,而這些匯聚的結果貌似有一些準確性問題。
另外,Tor2Web 本身並非是所有的暗網訪問流量,可能只是極小的一部分,不過我還是很感興趣,尤其在關停了兩大交易市場之後,更想看看暗網的趨勢如何,所以拿出之前採集到的四個月的 Tor2Web OpenData(以下簡稱「數據」)來統計下看看,是否能窺視其中的變化。
【4】統計
我抓的數據有兩份,時間跨度都是從4月7日至8月12日(GMT+0)。
一份來自github上的官方給出的OpenData接口,另一份是監控過程中捕獲到幾次異常後發現的兩個IP接口,而這兩個IP接口和官方接口所抓到的數據,看起來相似卻又不完全相同(這就是上面所提到的準確性問題),所以後面統一都以官方接口抓到的數據為統計對象。
而在4月7日至8月12日的數據中,5月29和6月2日的數據無效。除此之外,還有8天的數據沒抓到 —— 這幾天的數據都是官方接口上異常,但通過非官方提供的接口抓到了。
然後再重複一遍定義問題:
所有的暗網域名 onion 前的那部分隨機字符,我稱其為id,例如,AlphaBay的地址是:pwoah7foa6au2pul.onion,它的id就是 pwoah7foa6au2pul;
而OpenData中access_count 後的數字,我稱其為計數,也就是對某個id通過 tor2web訪問的次數。
圖1:整體熱度(每天的id出現數量計數)
6月底之前偶爾有波谷但整體向上,7月初開始整體向下。
不過在8月份開始趨於平穩,且在8月12日有一次激增(8月11日不到900個id,8月12日超過2000個id)。
圖2:id熱度分布(這98天中id出現的天數)
圖表展示效果不好,簡單描述一下:
這裡一共有98天的數據,id 每天都會至少出現一次的達到121個。
而僅出現了1至10次的id,佔據最多,加起來超過總量的 55% 。
那些每天都會被訪問的站點裡,大部分都是可以訪問的,而且有些是眾所周知的,比如,The Hidden Wiki。
從比例上來看,命中98次的id中,可訪問的比例遠高於命中1次的id —— 初步測試命中98次的id中,只有10個不可訪問,而命中1次的id中抽取了20個,只有3個可以訪問。
但並非命中次數低的id中就沒有好貨,比如這個:222222242zkgyc5n.onion
圖3:AlphaBay的訪問情況(id = pwoah7foa6au2pul)
AlphaBay的訪問波動性很強,而且在7月6日至7月19日之間沒有訪問數據,7月20日突然出現相對之前不高的訪問量。
而從後來的新聞來看,7月5日是AlphaBay的管理員被捕的日子。而7月20日則是FBI宣布AlphaBay takedown的日子 —— 看樣子是很多人去驗證消息或圍觀takedown頁面而導致的訪問量。
圖4:另一個AlphaBay的訪問量
在暗網世界中,也有很多仿冒站點存在。
例如 Hansa 就有很多仿冒站、而且其中還不乏釣魚網站,所以我也把帶著AlphaBay字樣的id都梳理並做了統一的繪圖,結果發現一個站點的趨勢圖與正牌AlphaBay的趨勢幾乎一樣。
它不但是整體曲線走勢相近,而且這個站點居然在 7月6日至7月19日 也沒有訪問量。而且在7月20日重新出現後,其訪問量也突然變的極低,甚至有幾天達到了個位數。整個的趨勢與AlphaBay完全一樣。
然而後來訪問驗證才發現,它居然也是 AlphaBay,這麼多年,我居然在它被關閉之後才知道另一個域名的存在。
圖5:那些每天都被訪問到的id
上面提到過,連續98天都會出現的id有121個。
那這 121 個id在過去98天中共計命中多少次、以及命中次數在所有命中次數中的佔比如何。
排名最高的是 not evil(hss3uro2hsxfogfq,搜尋引擎)。
本想把這張圖好好拆一下聊聊的,結果跑出來才發現排名靠前的實在沒什么正經的網站,所以還是打個碼然後草草結束吧 ……
簡單來說,前幾名分布在搜尋引擎、XX、不合法電商這些 —— 直接用 Tor2Web 來訪問,這些人心真大。
圖6:一個 Ransomware 站
通過對每天訪問量最大的網站進行統計過程中,發現了一個Ransomware的站點,並利用這個Ransomware站點的字符特徵,找到了另一個 Ransomware 的站點 ranionjgot5cud3p.onion ,這個網站的訪問統計:
這個站訪問量沒有平穩可言,平時幾乎是個位數,有時則會突增到6萬以上。
而7月底到8月初這幾天,訪問量在1千多到5萬多之間徘徊。
另外,還有一些知名或不知名的:
raasbrrypzkuj5cy.onion (有些名氣的RaasBerry)
raninoon4ykn65x7.onion(ranionjgot5cud3p的另一個站)
fgb45ft3pqamyji7.onion(cry xxx,之前有過一些報導)
再看一下fgb45ft3pqamyji7的訪問情況,因為這個勒索軟體支付的時候需要訪問這個地址,而且軟體本身提供的支付地址還是 Tor2Web 的後綴:
從波峰可以看出,與大規模爆發並報導的時間相匹配。
而這個系列的勒索軟體早在爆發後不久便在 nomoreransom.org 上放出了解密程序,但從近一兩個月的數據來看,還是陸續有訪問量,不排除其中是有人去訪問站點以支付解密費用的 —— 安全知識的普及,還是任重道遠 ……
【5】收尾
趁著休假有空,一邊統計一邊寫,一抬頭已是深夜。
有些東西在動筆之前沒有考慮太多,寫到這裡才發現越寫越多,而且邏輯梳理的並不清晰。如果再繼續寫下去恐怖就沒完沒了了,暫時就到這裡吧。
最後,有興趣的朋友可以關注一下 Tor2Web 的 OpenData,裡面的確有很多驚喜。