In mijn vorige blog heb ik het een beetje gehad over de algemene principes van de cyberaanvalmarktplaats. Vandaag gaan we dieper in op het Darknet. Er wordt tegenwoordig veel gesproken over het Darknet. Het is iets uit misdaadromans – een broeinest van criminele activiteiten waar alles kan worden gekocht en verkocht.
Hoewel dat waar is, biedt het Darknet ook een anonimiserende laag aan journalisten en activisten over de hele wereld die strijden voor de vrijheid van informatie en privacy. Het is vaak een plek waar zij veilig en anoniem kunnen communiceren met hun contacten.
Maar eerst, wat is het Darknet precies?
- Darknet – Een Darknet is een overlay-netwerk dat alleen toegankelijk is met specifieke software, configuraties of autorisatie, vaak met behulp van niet-standaard communicatieprotocollen en poorten.
- Dark web – Het Dark web is inhoud die bestaat op Darknet, overlay-netwerken die gebruikmaken van het openbare internet, maar waarvoor specifieke software, configuraties of autorisatie vereist is om toegang te krijgen.
- Deep web – Het Deep web zijn delen van het World Wide Web waarvan de inhoud om welke reden dan ook niet door standaardzoekmachines wordt geïndexeerd.
- Clearnet – Het Clearnet is een term die typisch verwijst naar het onversleutelde, of niet-darknet. Dit traditionele world wide web heeft een relatief lage anonimiteit, waarbij de meeste websites routinematig gebruikers identificeren aan de hand van hun IP-adres.
Voor alle duidelijkheid, het Darknet is een gevaarlijke plaats waar illegale of ondergrondse activiteiten worden uitgevoerd en kan worden gevonden als je ernaar zoekt. Een van de meest overheersende kenmerken die op het Darknet te vinden zijn, zijn de digitale marktplaatsen waar verschillende soorten goederen en digitale items worden gekocht en verkocht, voornamelijk voor bitcoin en andere cryptocurrencies. Vandaag de dag zien we een aantal groeiende marktplaatsen die zowel op het Clearnet als op het Darknet te vinden zijn. Deze sites verkopen bijna alles wat je maar kunt bedenken en zijn vaak een one-stop-shop voor criminelen.
Items die op de marktplaats worden aangetroffen zijn onder meer:
- Software/Malware
- Beveiliging/Hosting
- Valsemunterij
- Drugs
- Wapens
Figuur: 24-uurs DDoS-service
Figuur: DoS 0-day exploit voor Telegram
Hoe kom ik er vanaf hier?
Mensen denken vaak dat toegang tot het Darknet een technische en ingewikkelde taak is. In werkelijkheid is toegang tot het Darknet de laatste jaren zeer gebruikersvriendelijk geworden. Zowel I2P als Tor bieden goede documentatie voor beginnende gebruikers en er zijn genoeg forums en tutorials om degenen die meer willen leren over de netwerken te helpen. Het enige deel van het Darknet dat eigenlijk een lidmaatschap of uitnodiging vereist om lid te worden, zijn bepaalde marktplaatsen die willen controleren wie de diensten die zij aanbieden kan zien en er toegang toe heeft.
Bij het betreden van het Darknet heb je veel opties om uit te kiezen. Twee opties zijn Tor, The Onion Router, en I2P, het Invisible Internet Project. Elk heeft zijn eigen voor- en nadelen en de selectie voor gebruik moet worden gebaseerd op de intenties van de gebruiker.
Tor is een anonieme internet proxy die verkeer door een wereldwijd vrijwilligersnetwerk van duizenden relais leidt. Tor verpakt berichten in gecodeerde lagen en stuurt ze via een tweerichtingscircuit van relais door het Tor-netwerk. Tor biedt ook een centrale directory om het overzicht over het netwerk te beheren.
Het Tor Project biedt instapdocumentatie voor zijn nieuwe gebruikers en is gemakkelijk te gebruiken. Tor is in de loop der jaren zeer populair geworden bij de gewone gebruiker. De Tor Browser Bundle heeft de verbinding met Tor voor de gemiddelde gebruiker zeer eenvoudig gemaakt. Tor heeft in de loop der jaren een grote hoeveelheid academische kritieken gekregen en is een zeer goed gefinancierd project. Een probleem dat nog steeds met Tor bestaat is het vertrouwen van exit nodes. Aanvallers kunnen kwaadaardige exit nodes opzetten of het verkeer bespioneren dat uit het netwerk komt. Tor kan het beste worden gebruikt voor anonieme outproxing naar het internet.
I2p is een anonieme peer-to-peer netwerk overlay die zich richt op interne diensten. Het stelt gebruikers in staat om gegevens te versturen tussen computers met I2P met end-to-end encryptie. I2P gebruikt unidirectionele tunnels en gelaagde encryptie tegenover Tor bi-directionele tunnels.
I2P is niet een erg bekende dienst in vergelijking met Tor. Het heeft beperkte academische beoordeling gekregen, maar bevat geweldige documentatie voor al zijn gebruikers. Een probleem met I2P is het beperkte aantal proxies naar het internet. Het beste gebruik voor i2P is voor peer-to-peer bestandsdeling.
Toegang krijgen tot sommige van deze marktplaatsen op het Darknet kan een uitdaging zijn als je niet weet waar je naar op zoek bent. Vaak kun je lijsten van verborgen diensten of .onion links vinden op Clearnet sites zoals Reddit en DeepDotWeb. TheHiddenWiki.org is ook een goede plaats om op zoek te gaan naar verborgen diensten en marktplaatsen, samen met DNstats.net. DNstats biedt bijgewerkte informatie over de huidige status van bepaalde marktplaatsen samen met nieuws over nieuwe sites als ze beschikbaar komen.
Darknet-marktplaatsen omvatten:
- AlphaBay
- Valhalla
- Dream
- Hansa
- The Real Deal
- DHL
- Outlaw
Figuurtje: DNstats, een Darknet-statuspagina
Er zijn ook een paar zoekmachines om u te helpen vinden wat u zoekt op het Darknet. Twee populaire Darknet zoekmachines zijn Grams, http://grams7enufi7jmdl.onion/, een Google-achtige knockoff en Torch, http://xmh57jrzrnw6insl.onion/. Met beide sites kun je zoeken naar content op de marktplaatsen en andere verborgen diensten die op het Darknet te vinden zijn.
Ontdek de Dark Markets:
Deze markten zijn niet echt speciaal of uniek, maar ze zijn in populariteit gegroeid na het neerhalen van de Silk Roads. Sommige markten zijn ook te vinden op zowel het Darknet als het Clearnet. Sites zoals 0day today, hackforums, TorCrds, Hell en anderen verkopen vergelijkbare items die op het Darknet te vinden zijn en ze handelen bijna altijd ook in bitcoin. Je kunt normaal gesproken ook een aantal van dezelfde diensten die op het Darknet beschikbaar zijn, vinden op een aantal hackerforums.
Hacker Forums
- V3rmillion
- Raid Forums
- GreySec
- RealForums
- Evilzone
Figuur: Torcrds.cc, een website die gestolen creditcards verkoopt op het Clearnet
Figuur: HackForums-gebruikers die SSDP NTP- en DNS-lijst verkopen voor versterkte aanvallen
De meeste verkopers handelen meestal in Bitcoin of andere soorten cryptocurrencies. Op veel van de sites moeten de verkopers een vorm van obligatie betalen om items of diensten op de site te mogen verkopen. Deze obligaties kunnen overal tussen .1 en 1 BTC kosten. Sommige van deze sites zijn ook gesloten voor het publiek en vereisen een verwijzing om lid te worden van de marketplace.
Sommige van de nieuwste marktplaatsen dit jaar zijn LEO Market, TheDetoxMarket en Apple Market. Vorig jaar waren er ongeveer een dozijn nieuwe sites die opdoken. Sommige van deze sites houden het niet lang vol op het Darknet omdat ze vaak gehackt worden of offline gehaald worden door hun concurrentie. De groei van de aanvalsmarktplaats en het gebruik van een anoniem netwerk als het Darknet zal de komende jaren blijven groeien, omdat het instapniveau voor hackers steeds lager wordt.
In de volgende blog zal ik het hebben over wat een aanvaller kan kopen op de ondergrondse marktplaatsen en wat de gangbare prijs is voor zaken als DDoS, Ransomware en meer. We zullen kijken naar enkele van de tools en diensten die beschikbaar zijn voor potentiële aanvallers, samen met hoe transacties op de marktplaats werken.
Download het DDoS-handboek van Radware voor deskundig advies, bruikbare tools en tips om DDoS-aanvallen te helpen detecteren en stoppen.
Download nu