经过多日的调查分析，加密货币追踪公司Chainalysis表示，向已获赦免的丝绸之路创始人捐赠的300枚比特币似乎来自与另一个已不复存在的暗网市场AlphaBay有关的人员。AlphaBay平台曾被美国联邦调查局称为“暗网上最大的交易市场”。 “暗网下/AWX”本周报道，2025年5月29日，世界上首个暗网市场丝绸之路的创始人罗斯·乌布利希在内华达州拉斯维加斯威尼斯人会展中心举行的比特币大会上发表演讲后，这位“丝绸之路”创始人收到了一笔来自未知来源的300比特币捐款（价值3100万美元），但许多观察人士认为，这不仅仅是一份丰厚的迎宾礼物。 此前不到五个月前，他刚刚获得美国总统唐纳德·特朗普的赦免，免于终身监禁。有传言称，这位“丝绸之路”创始人将自己十多年前运营暗网首个暗网市场时积累的犯罪所得全部转移给了自己。 如今，加密货币追踪调查人员表示，他们得出了一个更奇怪的解释：这些比特币原本并非乌布利希的，也不是来自“丝绸之路”。相反，他们怀疑这笔钱来自另一个早已不复存在的暗网交易市场：AlphaBay。 加密追踪公司Chainalysis表示，基于区块链分析，该公司已将周日发送给乌布利希的300枚比特币的来源与参与AlphaBay背后的某些人联系起来。据FBI称，AlphaBay是一个暗网市场，从2014年到2017年出售各种毒品和网络犯罪违禁品，最终发展成为丝绸之路规模的10倍。 Chainalysis表示，这些资金似乎是在2016年和2017年左右从AlphaBay流出的。鉴于捐款金额，Chainalysis推测这些资金可能来自市场上的大型卖家。Chainalysis调查主管、前英国国家犯罪局官员Phil Larratt表示：“我们有合理的理由怀疑这些资金来自AlphaBay。从金额来看，这表明这些资金可能来自早期AlphaBay的卖家。” 在Chainalysis发现这笔3100万美元的捐款疑似来自AlphaBay之前，名为ZachXBT的独立加密货币追踪调查员已在其X账户上发布了自己的调查结果，称这笔钱似乎并非来自丝绸之路。ZachXBT发现，尽管捐赠者使用了多个比特币“混合器”来接收用户的比特币并返回其他用户的比特币，以掩盖其在区块链上的踪迹，但他仍然能够追踪到这笔资金的地址，该地址已被Chainalysis的软件工具Reactor标记为与非法活动有关。ZachXBT称，该分析表明这笔钱是“合法捐款，但并非合法资金”。 ZachXBT还发现，控制这些资金的同一个人曾在一家交易所以小额、分散的方式交易其他加密货币，而非一次性交易，这表明他或她可能是为了防止这些资金被扣押或被标记——这再次表明这些资金可能来自犯罪分子。ZachXBT表示：“使用多个混合器，分散CEX存款等，”他用CEX来指代中心化交易所，“这通常是为了避免非法资金被冻结。” Chainalysis拒绝提供更多关于其如何识别AlphaBay资金来源的信息。但该公司的业务重点是从数十亿个加密货币地址中识别数字黑市等非法服务。事实上，Chainalysis对AlphaBay比特币地址集群的识别，在2016年至2017年执法部门开展的“刺刀行动”中，对AlphaBay比特币地址的打击发挥了关键作用。 AlphaBay与乌布利希的“丝绸之路”类似，是一个在线交易平台，主要交易毒品和被盗数据等非法商品和服务。它运营于2014年至2017年，之后于2021年至2023年再次出现，“暗网下/AWX”曾多次报道。虽然“丝绸之路”是最早的暗网贩毒网站之一，但AlphaBay却是最大的暗网贩毒网站之一，据美国联邦调查局称，该暗网市场上的商品数量是“丝绸之路”的25倍。2017年，全球执法部门查封了AlphaBay的服务器，并逮捕了其创建者亚历山大·卡泽斯（Alexander Cazes），随后AlphaBay被下线。 AlphaBay确实培养了不少加密货币大佬，他们能拿到像乌布利希那样八位数的捐款。在2017年7月一场精心策划的诱捕行动将其关闭之前，该网站每天的交易额高达200万美元，主要交易的是非法毒品，但也提供恶意软件、被盗数据和其他网络犯罪商品。AlphaBay的创始人兼管理员亚历山大·卡泽斯被捕后在曼谷监狱中神秘身亡，但该网站的二号人物，网名Desnake，似乎仍然逍遥法外。自网站关闭以来，AlphaBay卖家或管理员保留的任何比特币，其价值都已上涨了40倍以上。2022年，泰国法院下令没收了AlphaBay创始人Cazes在泰国的资产。 然而，AlphaBay的一位加密货币大亨为何会向乌布利希捐赠3100万美元，这仍然是个谜。社交媒体上流传着各种各样的猜测，有人猜测他是为了报答黑市同行的恩情，也有人猜测他是为了感谢乌布利希开创了“丝绸之路”这种加密货币匿名交易系统，这笔捐赠意义重大。 加密货币追踪专家兼加密货币公司MetaMask的安全研究员泰勒·莫纳汉（Taylor Monahan）推测，这种感激之情或许也源于这样一个事实：尽管许多人在乌布利希开创的暗网市场中发了财，但他却在监狱里度过了十多年。莫纳汉说：“人们捐款是因为受到某人的深深鼓舞，或心怀感激，或对当时的情况感到某种悔恨。幸存者的内疚感真是太强烈了。” 乌布利希于2013年被联邦调查局逮捕，并因贩毒、计算机黑客和洗钱罪名被判处终身监禁。1月21日，也就是特朗普就职典礼后的第二天，他宣布赦免乌布利希。乌布利希在监狱里度过了近11年。 特朗普今年1月在Truth Social中表示： “那些试图将他定罪的败类，和那些参与利用现代手段将政府武器化来对付我的疯子是一样的。”

美国特勤局正在积极打击涉及信用卡、洗钱、加密货币诈骗或身份盗窃行动的金融欺诈。周三，在美国和荷兰当局领导的执法行动中，执法部门查封了BidenCash的多个域名，这是一个臭名昭著的暗网市场，专门窃取信用卡、个人信息和SSH访问权限，贩卖了超过1500万张被盗信用卡。 BidenCash是一个老牌非法信用卡商店 BidenCash是一个因出售泄露的信用卡信息而臭名昭著的老牌非法信用卡商店，自2022年3月推出以来，获得了巨大的关注。 在地下暗网中，非法信用卡商店已经存在二十多年了。最初，信用卡数据通常是通过PoS恶意软件大量收集的，这些恶意软件会从销售点（PoS）终端的内存中窃取暂时未加密的信用卡数据。后来，有人使用网络盗刷器窃取了信用卡信息，网络盗刷器是一种植入在线商店的恶意软件，用于在结账时收集顾客的付款详细信息。 BidenCash盗用了美国前总统拜登（Biden）的名字和形象，于2022年3月开始运营，主要用于出售被盗的信用卡号、泄露的凭证和个人信息，旨在填补大约一年前Joker’s Stash信用卡市场关闭以及俄罗斯当局查封包括Forum、TrumpDumps和UniCC在内的多家非法信用卡商店后留下的空白。 从一开始成立，BidenCash的管理员就试图吸引人们的注意力，不仅通过其设置的商店名称BidenCash，还通过泄露大量信用卡信息来吸引关注。 他们从2022年6月的一次小规模数据库泄露事件开始，该数据库包含数百万个电子邮件地址，但仅包含6600张信用卡信息。在2022年10月，BidenCash继续泄露了120万张信用卡，以推广其服务，其中大多数信用卡来自美国，有效期在2023年至2026年之间，覆盖地域范围广泛。2023年，该暗网市场又泄露了两个数据库，累计统计了超过400万张信用卡。 虽然BidenCash主要贩卖被盗信用卡数据，但它也提供被盗登录凭证，这些凭证可能允许远程访问服务器，从而可能引发更广泛的网络攻击。据网络安全公司SOCRadar称，其中包括批量出售的SSH凭证，另外，BidenCash还为客户提供自动购买工具和忠诚度系统等功能。 据报道，BidenCash背后的管理团队对其产品非常有信心，甚至推出了一项买家保护计划，对网站上出售已使用或无法使用信息的卖家进行惩罚。 SOCRadar今年早些时候在博客中写道：“拜登现金通过这些功能扩大了网络犯罪的规模和效率，使其成为对组织和个人的重大威胁。它在暗网生态系统中的角色凸显了此类平台在打击数字欺诈和盗窃方面所面临的挑战。” BidenCash暗网域名被重定向至扣押域名 据称，近145个与BidenCash网络犯罪市场相关的暗网和明网域名被关闭。该非法商店在暗网上的域名现已重定向至美国特勤局设置的域名，该域名专门用于查封涉及非法活动的网站，其中，该信用卡交易市场在明网中的.asia后缀顶级域名也重定向到了特勤局的usssdomainseizure.com域名。 跳转后的官方查封域名显示的横幅告知访问者，作为美国特勤局（USSS）和联邦调查局领导的国际行动的一部分，美国执法部门已查封BidenCash域名。该扣押横幅展示了带有美国司法部、联邦调查局、美国特勤局和荷兰高科技犯罪部门的徽章。 此次行动得到了荷兰国家警察局（Politie）、非营利性安全组织ShadowServer基金会以及实时攻击面可视性公司Searchlight Cyber​​的支持。 美国司法部发布的一份新闻稿称，此次行动在明网和暗网上查获了与BidenCash市场相关的约145个域名，美国当局还没收了与BidenCash非法交易相关的加密货币资金，但未披露其价值。 据报道，在运营期间，BidenCash管理员对网站上进行的每笔交易都收取费用”，同时允许用户购买被盗的财务和个人信息，包括受感染服务器的访问凭据。 美国司法部（DOJ）表示，该非法暗网市场在鼎盛时期拥有超过11.7万名客户，并通过出售约1500万个支付卡号和大量个人信息，获得了1700万美元的收入。 美国司法部在一份声明中表示：“2022年10月至2023年2月期间，BidenCash市场免费公布了330万张被盗的个人信用卡，以推广其服务的使用。” 这些记录包含了犯罪分子进行欺诈性付款所需的一切信息。声明称：“被盗数据包括信用卡号、有效期、卡验证值（CVV）号码、账户持有人姓名、地址、电子邮件地址和电话号码。” 此次打击行动是在全球执法机构开展“猛禽行动”等行动之后开展的，就在上个月，“猛禽行动”在10个国家/地区逮捕了270人，并缴获了价值2亿美元的加密货币和现金，并摧毁了多个暗网贩毒平台。 不过周三下午，多个BidenCash的域名已恢复在线访问。司法部和联邦调查局尚未回应关于此次行动中是否有人被捕的置评请求。

在被特朗普总统赦免几个月后，臭名昭著的暗网市场丝绸之路的创始人罗斯·乌布利希（Ross Ulbricht）获得了300比特币，并在比特币2025大会上发表了一场激情澎湃的演讲。乌布利希因参与创建与运营丝绸之路暗网市场而被判处两个无期徒刑外加40年监禁。在服刑期间，世界、比特币以及科技的巨变令他震撼不已。 罗斯·乌布利希收到了数百万美元的比特币捐款 据区块链追踪公司Lookonchain称，暗网市场先驱和比特币支付创始人罗斯·乌布利希周日早些时候收到了300个比特币（价值约3140万美元），这些比特币已存入他提供的捐赠钱包。Arkham数据显示，大多数比特币最终在收到捐款后的几个小时内被发送到加密货币交易所Kraken。 乌布利希于今年早些时候获得特朗普总统的赦免，出狱后，他上周末在比特币2025会议上发表了演讲，这是他获释后首次公开露面。 与罗斯·乌布利希绑定的加密钱包仍然持有比特币 乌布利希经营的丝绸之路使用比特币进行支付，直到2013年他被捕，并于2015年被判处双重无期徒刑加40年有期徒刑。他服刑11年后，美国总统唐纳德·特朗普于1月21日赦免了他。 Coinbase董事康纳·格罗根(Conor Grogan)今年1月表示，罗斯·乌布利希因参与丝绸之路运营而入狱时留下的比特币钱包中仍存有价值数千万美元的比特币。格罗根表示，这些钱包已经闲置超过13年，从未被当局查获。 美国政府查获了数万个与丝绸之路有关的比特币，但格罗根表示，当局并没有将所有比特币全部扣押，他在罗斯·乌布利希的数十个钱包里发现了约430个比特币，这些钱包未被美国政府没收，而且13年多来一直无人动用。当时，这些钱包可能只是些灰尘钱包，现在它们加起来价值约4700万美元。欢迎回来，罗斯。 然而，格罗根对乌布利希是否能够获取钱包中的比特币表示怀疑。“不太可能，如果他仍然把钥匙藏在某个地方，我想我们很快就会知道的！” 区块链分析公司Arkham Intelligence支持康纳·格罗根的评估，该公司追踪了与丝绸之路相关的14个比特币地址，发现其中一个地址持有价值超过900万美元的比特币。 乌布利希最近举行了一次个人物品拍卖会，拍得价值超过180万美元的比特币。这些藏品包括他在2013年被捕之前的个人物品，例如睡袋、背包、鼓以及监狱纪念品，例如锁、笔记本、衣服和监禁期间创作的几幅画作。 ZachXBT称罗斯·乌布利希收到的比特币不是来自他自己 区块链追踪团队ZachXBT表示，罗斯·乌布利希最近收到的300比特币来自“可疑来源”，但他不太可能是其自己捐赠给自己。 区块链分析公司Lookonchain于6月1日在X发布的推文中表示，价值3140万美元的比特币被存入了他用于募捐的钱包。这些资金来自使用名为Jambler的集中式混合服务的钱包，这导致一些社交媒体用户在没有证据的情况下猜测，这些资金可能是来自乌布利希从丝绸之路获得的利润，他可能在被当局抓获并入狱之前将这些资金藏匿起来。 然而，ZachXBT在6月2日的X帖子中表示，他对此表示怀疑，因为“很少有实体定期使用Jambler”，并且他发现“捐赠可能存在混合”。 他说：“虽然从标记的地址来看，这笔捐款的来源可疑，但这可能不像人们所说的那样是自我捐赠。” ZachXBT表示，最新的比特币捐赠来自使用Jambler混合服务的钱包，但“普通的隐私爱好者使用去中心化混合器”。 ZachXBT表示，其中一个涉及的地址的交易活动可以追溯到2014年底，而另一个地址在2019年活跃，之前已在合规工具中被标记。 “这两笔款项存入Jambler的时间与罗斯的捐赠者从Jambler收到的300个比特币的时间相似。从2019年11月开始，这两笔款项都处于休眠状态，直到2025年4月至5月期间通过混合器存入资金，”他说道。 他在回答一位用户的询问时补充道：“每个人都指责罗斯自我捐赠，所以如果有的话，这证明这是一笔捐赠，而不是他的秘密储藏，因为他在监狱时就有过这样的活动。” 罗斯·乌布利希在比特币2025大会上发布演讲 上周末，罗斯·乌布利希在比特币2025会议上发表了演讲，感谢了特朗普总统以及一直支持他的比特币社区。 Ten years ago to the day, I was sentenced to die in prison. Instead I gave my first public speech in freedom. I wore a red tie as an homage to @realDonaldTrump, the man who saved my life. pic.twitter.com/WWp0vL3C9T — Ross Ulbricht (@RealRossU) May 30, 2025 “就在几个月前，我还被困在监狱高墙内，不知道自己是否还能逃脱，”乌布利希向一群深情的听众说道。“现在我自由了，这都归功于你们——比特币社区。”

一位匿名网络犯罪调查者、神秘的泄密者GangExposed近日在Telegram及X（原Twitter）上曝光了Conti和Trickbot暗网勒索软件团队背后的关键人物，公布了大量内部文件及团伙成员照片姓名，揭露了该勒索软件团伙主要人物的真实身份、行动策略和全球攻击行动。 泄露的文件包括Conti网络勒索团伙相关的数千份聊天记录、个人视频和赎金谈判记录，“暗网下/AWX”多次报道，Conti网络勒索团伙从全球的公司、医院和个人那里骗取了数十亿美元。 通过对泄露的通信、旅行记录、财务数据和公共记录进行细致分析，GangExposed揭露了核心领导人，包括Vladimir Viktorovich Kvitko（“Professor”）、难以捉摸的策划者“Target”、谈判代表Arkady Valentinovich Bondarenko和系统管理员Andrey Yuryevich Zhuykov（“Defender”）。 GangExposed泄露的资料深入探讨了该犯罪集团在迪拜的运营情况、其在新冠疫情期间对医院的攻击以及维持其全球网络犯罪帝国的关键基础设施，为执法部门提供了一个难得的机会来摧毁世界上最危险的勒索软件网络之一。 A short announcement. pic.twitter.com/fHD3MJ7KwF — GangExposed (@GangExposed) May 29, 2025 美国国务院正义奖励(RFJ)项目曾针对Conti勒索软件团伙宣布，将悬赏高达1000万美元，奖励那些能够识别或定位参与针对美国关键基础设施的恶意网络活动、违反《计算机欺诈和滥用法案》(CFAA)的个人的信息。 本站（anwangxia.com）看到，美国国务院的这个计划专门针对Conti勒索软件团伙的成员，该勒索软件团伙是一个与俄罗斯政府有关联的勒索软件即服务(RaaS)组织，以攻击美国和西方的重要基础设施而闻名。 🎁CONTI LEAK: Video they tried to bury! 6+ Conti members on a private jet. TARGET’s birthday — $10M bounty on his head. Filmed by TARGET himself. Original erased — we kept a copy. 🎥Watch and help identify him!@LawrenceAbrams @pancak3lullz @c3rb3ru5d3d53c#CyberCrime #Leak… pic.twitter.com/8eLZaFlW5F — GangExposed (@GangExposed) May 6, 2025 GangExposed自称，这是他“对抗一个举世闻名的有组织犯罪团伙”的一部分。他声称，他对联邦调查局为获取有关Conti一名关键头目（他已经点名）以及另一名即将在Telegram上公布的头目信息而提供的1000万美元赏金不感兴趣。

上周，现年39岁的克里斯托弗·梅里特（Christopher Merritt）在盐湖县第三地区法院被指控犯有10项针对未成年人的性剥削罪，全部为重罪。 该案件由犹他州互联网侵害儿童犯罪特别工作组调查，调查依据是加密货币交易平台Robinhood提供的线索。Robinhood的工作人员报告称，他们的一名客户向一些暗网网站关联的加密货币地址转移了价值超过320美元的比特币和以太坊。据信这些暗网网站涉嫌出售儿童性虐待材料。据Robinhood称，加密货币（具体来说是比特币和以太坊）已被转移到一个与儿童性虐待材料（通常称为儿童色情内容）相关联的电子钱包中。 电子钱包是加密货币投资者存储密钥的方式，密钥本质上是密码，它允许所有者可以访问他们的投资，并允许他们发送和接收加密货币。 犹他州总检察长办公室表示，这笔交易发生在暗网，暗网是互联网的一个角落，无法通过Chrome或Safari等常规浏览器访问，只能通过专门的软件（Tor浏览器）访问。虽然访问暗网并不违法，但由于暗网更容易保持匿名，它常常与犯罪活动联系在一起。 警方追踪到一个暗网网站，发现了非法内容。法庭文件显示，专案组的一名特工追踪了梅里特的加密货币交易，发现他的加密货币钱包曾向互联网观察基金会（Internet Watch Foundation）认为与儿童色情有关的另一个钱包发送资金。 根据一份可决原因陈述，梅里特向与儿童色情相关的网站支付了321美元。法庭文件显示，警方在梅里特家中执行搜查令时，他们搜查了他的手机，发现了“数百段儿童遭受性侵犯的视频和图片”。警方还在他的手机和电脑上发现了一个用于访问暗网的Tor浏览器。 犹他州总检察长办公室的一位发言人表示：“总检察长办公室致力于寻找和起诉在网上剥削儿童的个人，无论他们使用何种数字手段来逃避侦查。” 梅里特被指控对未成年人进行10项性剥削，并被关进盐湖县监狱，不得保释。

尽管你对已发布到暗网上的泄露凭证数量感到担忧是正确的，仅密码数量就高达190亿个，但除了密码被盗问题之外，还有更多值得担心的事情。尽管FBI因成功参与“猛禽行动”、瓦解暗网市场而受到认可，微软数字犯罪部门也因瓦解Lumma Stealer密码泄露恶意软件基础设施而受到认可，但暗网犯罪黑客资源论坛的真实规模也已显现。最新研究证实，已发布到暗网上的被盗Cookie数量惊人，达到940亿个，并伴有持续黑客攻击威胁。 几十年来，追踪Cookie一直是网络业务的必需品。这项技术如此普及，甚至连谷歌都无法彻底“消灭”它并用现代替代方案取而代之。该公司曾试图逐步淘汰第三方Cookie，并推出其隐私沙盒技术，以此作为网络广告的下一个重大突破。最终，该公司失败了，因为Cookie仍然是在线销售产品和数据的必需品。 Cookie仍然存在，并且可能会被Redline、Vidar、CryptBot和Lumma C2等复杂的恶意软件劫持。NordStellar研究人员发现的近940亿个Cookie可能为网络犯罪分子提供大量有价值的信息，包括密码和其他身份验证令牌。此外，据TechSpot报道，被盗的跟踪Cookie还包含大量个人信息，例如用户名和电子邮件地址、国家/地区、城市、性别、年龄等。 犯罪分子可以利用这些数据进行欺诈、身份盗窃和社会工程攻击。研究人员表示，这些被盗的Cookies已经对个人安全和隐私构成了威胁。 它们来自各大网络平台，其中谷歌、YouTube和微软位列前三。攻击目标涵盖社交媒体、电商平台、协作工具等。大多数Cookie来自Windows设备，因为大多数恶意软件操作都针对Microsoft PC平台。 浏览器跟踪Cookie——暗网数据泄露问题的严重程度 NordSecurity的Aurelija Skebaite在5月27日的一份报告中披露，NordStellar的威胁暴露研究人员分析了暗网上发现的93.7个被盗浏览器Cookie。虽然大多数Cookie被认为无害，但从互联网的整体运行来看，一旦它们落入不法之徒之手，一切就都完了。Skebaite警告说：“即使是最细微的痕迹，也可能暴露出完整的数字踪迹，因此盲目接受网络Cookie可能是一种危险的习惯。”这项新发布的研究揭示了其风险之大。 这项研究揭露了所谓的大规模恶意软件行动。总计940亿个cookie被盗已经够糟糕的了，比同一研究人员2024年的报告总数增长了74%，但其中超过20%目前处于活跃状态，对用户隐私和安全构成威胁，情况更加糟糕。约有180亿个已分配ID和12亿个会话ID被泄露，而这些数据类型对于识别用户身份和保护其在线账户安全至关重要。 “被盗信息通常包括全名、电子邮件地址、城市、密码和实际地址，”Skebaite说，“这些关键的个人数据可用于身份盗窃、欺诈和未经授权的帐户访问。”研究人员深入研究数据后发现，Gmail、Google Drive和各种Google服务相关的Cookie超过45亿个，YouTube和Microsoft也各自拥有超过10亿个Cookie。“热门平台很容易成为攻击目标，因为你可以从中获取更多信息，”Skebaite解释说。然而，关键在于，利用被盗的会话Cookie，黑客可以访问电子邮件、文件、日历和帐户，“而无需猜测密码或触发双重身份验证”。 缓解浏览器Cookie被盗窃问题 可以考虑一些缓解措施，包括阻止Cookie以及一开始就不接受它们。拒绝不必要的Cookie始终是一个好主意，尤其是那些会追踪你的第三方Cookie。你可以随时拒绝它们，如果这影响了你对网站的使用，你可以选择返回并接受。无论如何，建议定期清除浏览器Cookie缓存和浏览历史记录。即使没有其他办法，正如Skebaite所说，“这有助于缩短你的数据被劫持的时间窗口。”

在推出隐私至关重要的应用和服务时，开发者希望确保每个数据包都只通过Tor网络。但是一次错误的代理设置，或SOCKS包装器之外的一次系统调用，都可能让数据突然暴露在Tor网络之外。 本月中旬，Tor项目宣布推出Oniux，这是一种新的小型命令行工具，可通过Tor网络安全地路由任何Linux应用程序，实现匿名网络连接。 与依赖用户空间的torsocks等传统工具不同，Oniux使用Linux命名空间为每个应用程序创建完全隔离的网络环境，即使应用程序是恶意的或配置错误的，也可以防止数据泄露。 Linux命名空间是Linux内核中一项隔离功能，它提供了一种安全的方式，将应用程序的某个部分与系统的其余部分隔离开来。命名空间有多种形式和形态。例如，网络命名空间、挂载命名空间、进程命名空间等等；每种命名空间都将一定量的系统资源与应用程序隔离开来。 Oniux使用Linux命名空间在内核级别隔离应用程序，因此所有流量都被迫通过Tor。与SOCKS不同，应用程序不会因为无法通过配置的SOCKS建立连接而意外泄露数据，而这种情况可能由于开发人员的错误而发生。 Tor的博客文章中写道：“我们很高兴推出oniux：一个小型命令行实用程序，为使用Linux命名空间的第三方应用程序提供Tor网络隔离。” Oniux基于Arti和onionmasq构建，可将任何Linux程序直接迁移到其自己的网络命名空间，并通过Tor进行路由，从而消除数据泄露的可能性。如果特定工作、行动或研究需要坚如磐石的流量隔离，Oniux可以满足需求。 它通过将每个应用程序放置在自己的网络命名空间中（无法访问主机的接口）来实现这一点，而是附加一个使用onionmasq通过Tor进行路由的虚拟接口（onion0）。 它还使用挂载命名空间为Tor-safe DNS注入自定义/etc/resolv.conf，并使用用户/PID命名空间以最小权限安全地设置环境。 此设置可确保任何Linux应用程序的防泄漏、内核强制Tor隔离。 而传统工具torsocks的工作原理是覆盖所有与网络相关的 libc 函数，以便通过Tor提供的 SOCKS 代理路由流量。虽然这种方法更具有跨平台性，但它有一个明显的缺点：不通过动态链接的libc进行系统调用的应用程序（无论是否出于恶意）都会泄露数据。 Torsocks通过使用“LD_PRELOAD”黑客来拦截动态链接的Linux应用程序中与网络相关的函数调用，并通过Tor SOCKS代理重定向它们。这种方法的问题在于，原始系统调用不会被Torsocks捕获，恶意应用程序可以避免使用libc函数来造成泄漏。 此外，Torsocks根本不能与静态二进制文件一起使用，并且不能提供真正的隔离，因为应用程序仍然可以访问主机的真实网络接口。 Tor项目发布了一个比较表，重点突出了两种解决方案之间的质量差异： oniuxtorsocks独立应用程序需要运行 Tor 守护进程使用 Linux 命名空间使用 ld.so 预加载 hack适用于所有应用程序仅适用于通过 libc 进行系统调用的应用程序恶意应用程序无法泄漏恶意应用程序可以通过原始汇编进行系统调用来泄漏仅限 Linux跨平台新的和实验性的经过 15 年多的实战检验使用 Arti 作为引擎使用 CTor 作为引擎用 Rust 编写用 C 语言编写 尽管Oniux具有明显的优势，但Tor强调该工具仍处于实验阶段，尚未在多种条件和场景下进行广泛测试，用户可以自行测试使用。 如何使用Oniux？🧅 首先，需要一个安装了Rust工具链的Linux系统。接着，可以使用以下命令安装Oniux： $ cargo install --git https://gitlab.torproject.org/tpo/core/oniux [email protected] 安装完成，就可以开始使用Oniux了！🙂 使用Oniux非常简单： # 使用 oniux 执行简单的 HTTPS 查询！ $ oniux curl https://icanhazip.com <A TOR EXIT NODE IP ADDRESS> # oniux 当然也支持 IPv6！ $ oniux curl -6 https://ipv6.

暗网数据取证市场展望 2025年，随着网络犯罪活动日益复杂，以及对高级调查工具的需求日益增长，暗网数据取证领域将迎来快速发展。各行各业的组织都面临着来自暗网平台的数据泄露、勒索软件和非法交易的日益增长的风险。因此，对强大的暗网监控和取证能力的需求已成为全球企业、执法部门和政府机构的当务之急。 主要发现表明，暗网仍然是被盗凭证、财务数据和专有信息的主要交易市场。2024年和2025年初发生的几起备受瞩目的数据泄露事件凸显了主动监控暗网的重要性。例如，全球企业数百万条用户记录的泄露已被追溯到暗网论坛，促使受影响的组织紧急响应。勒索软件即服务的泛滥以及加密货币匿名交易的使用进一步使取证调查复杂化，需要更复杂的分析工具和跨境合作。 领先的技术提供商IBM正在通过增强其暗网情报和取证解决方案来应对这些挑战。IBM已扩展其安全产品组合，涵盖先进的暗网监控和威胁情报，利用人工智能和机器学习来识别新兴威胁和受损数据。Palo Alto Networks将暗网情报集成到其安全运营平台中，使企业能够检测并响应来自隐藏在线来源的威胁。Mandiant （现已被 Google Cloud 收购）继续提供事件响应和威胁情报服务，重点关注暗网取证，支持公共和私营部门客户追踪网络犯罪活动。 展望未来，暗网数据取证市场前景光明。预计该领域将持续投资于自动化、人工智能驱动的分析以及与更广泛的网络安全框架的整合。数据保护法和事件报告要求等监管压力也在推动人们采用能够从暗网获取可操作情报的取证解决方案。预计行业领袖、执法部门和国际组织之间的合作将加强，并采取联合行动，旨在打击非法市场并改进网络威胁的归因分析。 总而言之，暗网数据取证将在2025年及以后的全球网络安全生态系统中发挥越来越重要的作用。先进技术、监管要求和跨部门合作的融合将塑造这一充满活力且至关重要的领域的未来。 市场规模和增长预测（2025-2029） 受日益升级的网络威胁、监管压力以及暗网犯罪活动日益复杂的推动，暗网数据取证市场有望在2025年至2029年期间大幅扩张。随着各行各业的组织认识到监控、分析和应对非法数据交换的迫切需求，对高级取证解决方案的需求也日益增长。 预计到2025年，全球暗网数据取证市场规模将达到数十亿美元，并预计到2029年将保持强劲的复合年增长率（CAGR）。勒索软件的泛滥、数据泄露以及暗网市场上被盗凭证和知识产权的出售，是推动这一增长的因素。金融服务、医疗保健和政府部门尤其积极地采用暗网监控和取证工具，因为它们容易受到针对性攻击和监管审查。 主要行业参与者正在大力投资研发，以增强其暗网情报和取证能力。IBM已扩展其安全产品组合，将暗网威胁情报和分析纳入其中，并将这些功能集成到其 Security QRadar 和 X-Force 产品中。Palo Alto Networks正在利用其 Cortex XSOAR 平台自动收集和分析暗网数据，从而加快事件响应和威胁归因。Mandiant持续提供先进的威胁情报和取证服务，重点是追踪来自暗网来源的威胁行为者和数据泄露。 市场前景进一步受到监管动态的影响，例如欧盟的NIS2指令和不断发展的数据保护法，这些法规要求主动检测威胁并响应事件。这些法规迫使企业投资于能够发现和记录与其资产和数据相关的暗网活动的取证解决方案。 展望未来，人工智能与机器学习的融合有望加速暗网数据取证的效率和准确性。供应商正在开发自动化工具，以筛选海量暗网内容，识别新兴威胁，并近乎实时地提供可操作的情报。网络安全公司与执法机构之间的合作也有望深化，因为双方都致力于破坏犯罪网络并恢复受损数据。 总体而言，暗网数据取证市场将在 2029 年之前持续增长，创新、法规遵从性和不断演变的威胁形势将成为主要催化剂。 新兴技术：暗网取证中的人工智能、机器学习和自动化 2025年，在人工智能 (AI)、机器学习 (ML) 和自动化等新兴技术的推动下，暗网数据取证领域将发生快速变革。这些技术进步使取证调查人员能够更高效地识别、分析和归因隐藏网络上发生的非法活动，同时还能应对暗网数据日益增长的规模和复杂性。 人工智能 (AI) 和机器学习 (ML) 算法如今已成为暗网内容检测和分类的核心。通过利用自然语言处理 (NLP) 和图像识别，这些系统可以自动筛选海量非结构化数据——从论坛帖子到加密通信和非法市场。例如，基于人工智能的工具可以标记可疑关键词，识别加密货币交易中的模式，甚至检测新兴威胁，例如新的恶意软件变种或零日漏洞。这种自动化操作显著减少了分析师的手动工作量，并提高了生成可操作情报的速度。 大型网络安全公司正在大力投资这些技术。IBM已扩展其人工智能驱动的安全解决方案，涵盖暗网监控功能，将威胁情报源与自动化分析相结合，提供关于凭证泄露和非法交易的实时警报。同样，Palo Alto Networks在其 Cortex XSOAR 平台中采用机器学习技术，自动收集和关联暗网数据，增强事件响应和归因分析工作。FireEye（现为Trellix的一部分）持续开发用于暗网取证的高级分析技术，专注于识别威胁行为者和绘制犯罪网络图谱。 自动化也简化了证据保存和保管链管理的流程。取证平台现已集成基于区块链的时间戳和自动记录功能，确保从暗网收集的数字证据的完整性和可采性。随着法律和监管审查力度的加大，执法机构和法院要求取证流程稳健、防篡改，这一点尤为重要。 展望未来几年，人工智能、机器学习和自动化与同态加密和联邦学习等隐私保护技术可能会进一步融合。这些创新将使调查人员能够在不侵犯隐私或违反法律界限的情况下分析加密或匿名数据。然而，对手也在采用人工智能驱动的规避技术，这需要网络安全供应商、执法部门和行业机构之间持续创新和协作。 总而言之，人工智能、机器学习和自动化的融合将在2025年重塑暗网数据取证，为威胁检测、证据管理和犯罪归因提供前所未有的能力。随着这些技术的成熟，它们将在打击隐藏在互联网隐秘角落的网络犯罪分子不断演变的攻击手段方面发挥关键作用。 监管环境与合规挑战 2025 年，暗网数据取证的监管格局正在迅速演变，这主要源于网络犯罪日益复杂，以及数字证据在执法和企业调查中日益重要的作用。随着暗网市场和论坛继续成为数据泄露、勒索软件操作和被盗凭证出售等非法活动的中心，监管机构和行业机构正在加强对合规性、隐私和跨境数据处理的关注。 暗网数据取证面临的一个关键挑战是如何驾驭复杂的国际数据保护法网络。欧盟的《通用数据保护条例》（GDPR）仍然是核心框架，对个人数据的收集、处理和存储施加了严格的要求，即使这些数据来自犯罪论坛。2025年，欧洲数据保护委员会的执法行动和指导将继续明确合法证据收集的界限，强调比例原则、数据最小化和强有力的安全措施的必要性。 在美国，监管环境碎片化，《健康保险流通与责任法案》（HIPAA）和《金融服务现代化法案》（GLBA）等特定行业法律影响着企业使用和共享暗网情报的方式。联邦贸易委员会（FTC）加强了对监控暗网消费者数据公司的审查，要求其采取透明的通知方式并遵守隐私承诺。与此同时，《加州消费者隐私法案》（CCPA）等州级隐私法正在更新，以应对暗网数据收集和违规通知带来的独特风险。 在全球范围内，欧洲刑警组织和国际刑警组织等执法机构正在扩大跨境合作，以摧毁暗网犯罪基础设施并规范数字证据处理。这些组织还与数字取证和网络安全领域的私营部门领导者（包括IBM和Palo Alto Networks等公司）合作，以制定暗网调查中证据保存和保管链的最佳实践。 展望未来几年，预计监管将进一步协调，尤其是在国际机构寻求解决司法管辖权漏洞和加密通信挑战的情况下。人工智能取证工具和自动化暗网监控平台的出现也将引发新的合规问题，尤其是在算法透明度和抓取数据的道德使用方面。因此，从事暗网数据取证的组织必须保持警惕，调整其合规计划，以满足不断变化的法律标准和利益相关者的期望。 主要行业参与者和战略举措 2025 年，暗网数据取证行业将以快速的技术创新和专业公司生态系统的不断发展为特征。随着网络犯罪和非法网络活动的激增，行业领导者正在投资高级分析、人工智能 (AI) 和协作框架，以增强对源自暗网的威胁的检测、归因和缓解能力。 在众多知名企业中，IBM持续拓展其安全部门，利用其 QRadar 平台和 X-Force Threat Intelligence 提供暗网监控和取证分析服务。IBM 整合了人工智能驱动的分析和机器学习模型，能够实时识别受损数据和威胁行为者，为企业和执法部门客户提供支持。

美国和欧洲官员周四宣布开展全球行动，共同打击暗网犯罪。在美国领导的代号为RapTor的打击芬太尼和阿片类药物暗网贩运的国际行动中，四大洲缴获了创纪录数量的非法毒品、枪支和贩毒收益，并在10个国家逮捕了270名涉嫌暗网贩卖和购买的嫌疑人。 “Operation RapTor”（猛禽行动）是美国、欧洲、南美和亚洲执法部门协调开展的一项全球性行动，旨在打击暗网上的芬太尼和阿片类药物贩运以及其他非法商品和服务的销售。 美国司法部在一份新闻稿中表示，此次行动中还缴获了超过2亿美元的现金和数字资产，扣押了超过两吨毒品和144公斤芬太尼或含有芬太尼的麻醉品以及超过180支枪支。“Operation RapTor”是美国司法部联合犯罪阿片类药物和暗网执法（JCODE）团队开展的所有行动中查获毒品数量最多的一次。 美国联邦调查局（FBI）宣布于四月份在洛杉矶的一间公寓内逮捕了四名嫌疑人，FBI称该公寓是“暗网上最大的甲基苯丙胺和可卡因分销商之一的枢纽”。 JCODE团队及其国际执法合作伙伴拘留了奥地利、巴西、法国、德国、荷兰、韩国、西班牙、瑞士、英国和美国的270名暗网毒品供应商、买家和管理员。欧洲刑警组织对此次行动中逮捕的270名嫌疑人进行了分类，结果显示大约一半来自美国，其次是德国42人，英国37人。 在欧洲刑警组织欧洲网络犯罪中心的领导下，“猛禽行动”（Operation RapTor）联合了由美国联邦调查局（FBI）领导的联合执法行动（JCODE）小组（该小组由美国移民与海关执法局（ICE）的国土安全调查处以及来自美国、欧洲、南美和亚洲的执法合作伙伴组成），旨在打击芬太尼和阿片类药物贩运，以及暗网上其他非法商品和服务的销售。在前几年行动成功的基础上，“猛禽行动”进一步推进了全球范围内捣毁暗网市场的行动，查封了Nemesis、Tor2Door、Bohemia和Kingdom Markets等暗网基础设施。这些行动为全球调查人员提供了宝贵的线索和证据，加强了持续打击暗网网络犯罪和非法活动的力度。 自从“可怕的海盗罗伯茨”——罗斯··乌布利希开创了利用Tor网络匿名特性的在线暗网市场“丝绸之路”时代以来，已经过去了十多年。Tor网络基于美国海军研究实验室资助的研究，主要实现了其隐藏用户IP地址的承诺。然而，随着OpSec错误不断累积，以及警方追踪现实世界毒品运输或将加密货币交易与真实身份进行匹配，大多数非法暗网交易市场的寿命通常以年为单位。 “这次破纪录的行动向每一位躲在屏幕后的贩运者发出了一个明确的信号——我们的全球影响力一旦开启，你们的匿名性就将终结，”美国移民和海关执法局代理局长托德·莱昂斯说道。“感谢ICE国土安全调查局、欧洲刑警组织以及我们国际合作伙伴的不懈努力，我们正在破解网络犯罪分子所谓‘安全空间’的密码——他们就在我们的视线之内，我们不会退缩。” 欧洲刑警组织欧洲网络犯罪中心负责人埃德瓦达斯·希莱里斯 (Edvardas Šileris) 评论道：“‘猛禽行动’ (Operation RapTor) 表明，暗网并非执法部门无法触及的领域。通过密切合作和情报共享，三大洲的警员识别并逮捕了嫌疑人，向那些自以为可以藏身暗处的犯罪分子发出了明确的信号。欧洲刑警组织将继续与我们的合作伙伴携手，为每个人打造更安全的互联网。” 为了进一步推进该行动，并作为 JCODE 成员机构采取首次行动，美国外国资产控制办公室 (OFAC) 在Nemesis Market被查封后，还对伊朗国民Behrouz Parsarad实施了制裁，因为他是该暗网市场的创始人和运营商。 美国司法部长帕姆·邦迪表示：“此次历史性的国际缉获枪支、致命毒品和非法资金的行动将挽救生命。犯罪分子无法躲在电脑屏幕后面或在暗网中寻求庇护——司法部将识别并消除对美国人民的威胁，无论其来自何处。” “这些贩运者胆怯地躲藏在网上，在我们国家造成了严重破坏，并直接加剧了影响美国社区和邻里的芬太尼危机和枪支暴力。但他们犯罪的便捷性和可及性今天就此终结了，”联邦调查局局长卡什·帕特尔表示。“如果没有我们国内外的合作伙伴，联邦调查局就无法完成这项工作。今年我们缴获了创纪录数量的芬太尼、枪支和毒品，这一惊人成就证明了我们的努力正在奏效。任何试图通过非法暗网贩运匿名伤害我们公民的人：你们肆意妄为的日子屈指可数了。” 美国缉毒局代理局长罗伯特·墨菲表示：“这些在暗网上贩毒的‘掠食者’或许以为自己无所不能——他们躲在屏幕后面，贩卖芬太尼，助长药物过量，并利用人们的痛苦来牟利。然而，‘猛禽行动’证明他们错了。” “美国缉毒局和我们的全球合作伙伴跨越国界、跨平台、跨货币，摧毁了他们的网络。让我们以此为戒：任何面具、任何市场、任何数字钱包都无法让你逃脱法律制裁。” “这次前所未有的行动彰显了全球合作的力量以及我们团队的坚定奉献精神，”美国国税局刑事调查局（IRS-CI）局长盖伊·菲科（Guy Ficco）表示。“通过JCODE计划，美国国税局刑事调查局与我们的国际合作伙伴领导了迄今为止规模最大、影响最深远的一次打击行动——查获了超过2亿美元的资产，查封了流通中的致命毒品和武器，并追究了270多人的责任。这次针对助长芬太尼危机的暗网网络的关键打击，标志着我们持续保护全球社区的努力中一个值得骄傲的时刻。” “‘猛禽行动’展现了美国邮政检查局与全球合作伙伴团结一致所能取得的成果。无论罪犯藏身何处，我们都会找到他们，摧毁他们的犯罪活动，并将他们绳之以法。此次行动旨在保护无辜民众免受那些利用暴力、毒瘾和恐惧牟利的掠夺性犯罪分子的侵害。我们的承诺坚定不移。”美国邮政检查局首席邮政检查员加里·巴克斯代尔说道。 美国食品药品管理局刑事调查办公室 (FDA OCI) 副主任查德·门斯特 (Chad Menster) 表示：“FDA 致力于继续打击和摧毁暗网上的非法药品销售，此类销售往往造成悲剧性后果。我们将继续监控、调查那些滥用互联网牟取暴利、不顾公众健康和安全风险的人，并将他们绳之以法。” 欧洲刑警组织表示，对大型非法市场的执法压力已导致非法市场转向“规模较小、单一供应商商店——由个人卖家经营的网站，以避免市场费用并最大限度地减少曝光”。 司法官员表示，“Operation RapTor”（猛禽行动）包括于2024年5月逮捕了人称“法老”（Pharoah）的林瑞祥（Rui-Siang Lin）。林瑞祥拥有并经营着Incognito暗网市场，该暗网市场在三年多的时间里促成了价值超过1亿美元的毒品交易。去年12月，林瑞祥承认犯有毒品共谋罪、洗钱罪以及共谋销售掺假和假冒药品罪。 国际突袭行动捣毁了贩毒、武器和假冒商品的网络。在捣毁Nemesis Market、Tor2Door Market、Bohemia Market和Kingdom Market的过程中，警方确认了嫌疑人的身份。 这些暗网市场中的许多犯罪嫌疑人使用加密工具和加密​​货币来掩盖踪迹，在非法市场上进行了数千笔销售。官员们强调了数字取证在打击行动中的参与度和重要性，并指出加密货币追踪工具和跨境情报共享是帮助打破暗网匿名壁垒的两种主要策略。 “猛禽行动”（Operation RapTor）是早期“幽灵行动”（Operation SpecTor）的延续，该行动共逮捕288人，没收5340万美元，缴获850公斤毒品（参见：欧洲刑警组织捣毁暗网毒品市场，逮捕288人，缴获数百万现金）。

印度马哈拉施特拉邦反恐局 (ATS) 官员于5月19日星期一声称，本月早些时候在纳格浦尔被捕的一名26岁的学生活动家兼记者涉嫌利用暗网发表煽动性言论和从事其他反国家活动。 暗网是互联网中的一部分，不会被标准搜索引擎收录，只能通过特定软件访问。它为用户提供高度匿名性，并经常与贩毒和数据泄露等非法活动联系在一起。 调查人员证实，因批评“辛多尔行动”而被捕的马拉雅利记者在暗网上非常活跃。活动家兼记者、埃德帕利本地人雷贾兹·M·希巴·西迪克（Rejaz M. Sheeba Sydeek）在此次事件中被捕。 警方称，26岁的雷贾兹于5月7日在拉卡德甘杰（Lakadganj）一家酒店被拉卡德甘杰警方逮捕，此前他的网络活动受到监控。马哈拉施特拉邦反恐局 （ATS）纳格浦尔分部的一名官员表示，他被控违反严苛的《非法活动（预防）法》（UAPA）和《印度正义与发展法》（BNS）条款，涉嫌准备对印度发动战争并支持恐怖组织。 在初步调查中，警方发现雷贾兹沉迷于暗网，并经常在暗网上发布挑衅性言论。包括他的手机在内的电子设备已被送往网络取证实验室进行进一步调查。 初步调查报告还指出，这名年轻人与印度共产党（毛派）组织有联系。在搜查这处住所时，马哈拉施特拉邦反恐小组（ATS）缴获了包括手机和U盘在内的多份文件。此外，还缴获了几本宣扬极端主义思想的书籍。 4月29日，雷贾兹在埃尔讷古勒姆的帕南皮利纳加尔（Panampilly Nagar）领导了一场示威活动，抗议印度政府拆除参与帕哈尔加姆恐怖袭击的武装分子房屋的决定。埃尔讷古勒姆南部警方逮捕了包括他在内的八名涉案人员，并将他们保释。 ATS也收集了有关此案的信息。雷贾兹与他的女友在马哈拉施特拉邦被捕，但后者很快被释放。 “5月11日，他在喀拉拉邦的住所遭到突击搜查，警方缴获了相关文件。对他的数码设备进行初步扫描后发现，他活跃于暗网。他发表煽动性言论，并发布自己的想法，”他说。 该官员补充说，反恐小组将把这些数字设备送往网络取证实验室进行深入调查。5月11日，警方搜查了他在喀拉拉邦埃尔讷古勒姆区的住所，并缴获了一些罪证。 该官员还表示，5月19日星期日，当地法院将 Sydeek 的拘留期限延长了两天。 ATS称，被告发布煽动性内容 被告曾在Instagram上发布社交媒体帖子，谴责印度武装部队最近对巴基斯坦及巴控克什米尔地区恐怖目标发动的“辛多尔行动”（Operation Sindoor），并批评了针对纳萨尔派的反叛乱行动。 被告的网上活动包括发布挑衅性帖子和一张他参观纳格浦尔一家步枪商店后手持枪支的照片，随后他被控违反印度正义与和解委员会（Bharatiya Nyaya Sanhita）第 149 条（准备对印度政府发动战争）、第 192 条（挑衅并意图引发骚乱）、第 351 条（刑事恐吓）和第 353 条（发表有助于危害公共安全的言论）。 经过进一步调查，该案件被列入《非法活动（预防）法》第 38 和 39 条，涉及加入恐怖组织和向此类组织提供支持，随后该案件从拉卡德甘杰警方移交给 ATS。