全球常用数字化执法手段 TOP 10 | FreeBuf 盘点

文丨小王斯基

编丨zhuo

计算机技术飞速发展,催生众多经济赛道,彻底改变了民众生活方式,通信交流、购物等更加便利,“数字化”和“智能化”成为不可逆的社会潮流。但“数智化”同样是一把双刃剑,成为许多网络犯罪“野蛮生长”的温床。

网络犯罪顾名思义是指某些团体利用高超的计算机技术,从事违法犯罪活动。这些团体或个人趁着计算机技术迭代的浪潮,不断研发升级各类犯罪工具,优化网络犯罪技术手段,对实体组织、企业,个人,甚至某些国家,展开疯狂的网络攻击。

目前,国内网络犯罪活动非常猖獗,根据中国司法大数据研究院发布的《涉信息网络犯罪特点和趋势(2017.1-2021.12)司法大数据专题报告》显示,2017 年至 2021 年期间,全国各级法院一审审结的涉信息网络犯罪案件共计 28.20 万余件,并且案件量呈逐年上升的趋势。此外,法院审理的信息网络犯罪案件一共涉及 282 个罪名,其中帮助信息网络犯罪活动案件量占比约为 23.76%。

早在20 世纪 60,70 年代,世界其它地区仍处于互联网蛮荒时代,美国就陆陆续续爆出了网络犯罪案件,短短十年形成规模,案件涉及到政府组织、能源机构、科研单位、交通运输、通信等几乎所有使用计算机的领域。据不完全统计,美国每年因网络信息犯罪案件造成的损失就高达数十亿,甚至上百亿美金。

随着网络犯罪威胁日益严峻,执法者也开始利用数字化技术强化执法措施,持续打击猖獗的网络安全犯罪团伙。接下来,本文盘点在和网络犯罪分子斗智斗勇中,全球常用的数字化执法措施 TOP 10。

数字证据分析技术

抓捕网络犯罪嫌疑人后,执法者想要提起公诉需要对整个数据链条进行分析,此时往往会用到数字证据分析技术。执法者通过对查获的电子设备和网络信息系统中的数字数据进行采集、分析研究,获取并证实网络犯罪活动的完整证据链条。

对于执法者而言,数字证据分析技术能够帮助其搜集、分析和利用电子设备和网络系统中的数字证据,为案件侦破提供重要的参考依据。

数字证据分析技术通常包括以下几个步骤:数据采集、数据提取、数据分析、数据解释和数据呈现。其中,数据采集是数字证据分析技术的第一步,主要是通过网络监视、数据恢复、数据备份等手段来实现。值得一提的是,上述环节中,数字取证证据最为重要,执法者通常需要采用证据包括以下几个方面:

数据取证:在电子设备或网络信息系统被关闭之前,对其中的数字证据进行搜集、提取和备份,保证证据的完整性和可靠性。

数据恢复取证:通过数据恢复技术,可以从电脑硬盘、手机、闪存等存储介质中恢复误删除的数据,或者提取意外损坏的文件,从而补充、证实、推翻某些证据。

数字取证:通过网络监视和数据包分析技术,获取网络中的数字证据,包括网站访问记录、聊天记录、邮件记录、文件传输记录等。

电子取证:对电子设备本身进行取证,包括对硬件和软件进行分析,获取设备的各种信息,如安装记录、使用时间、账户信息等。

恶意软件分析技术

实体组织遭受木马后,内部系统瘫痪无法正常工作。这种情况下执法者一般会使用的木马破解技术,对恶意软件中的木马程序进行研究和分析,以便识别木马。

木马破解过程中,执法者通常会采用逆向工程、反汇编等技术手段进行分析,以获取木马程序的执行方式、命令与控制服务器的地址等信息,从而分析出木马的入侵途径及其行为,进而通过技术手段消除安全隐患,保护计算机安全。

目前,主流的木马破解的技术主要有以下几种:

逆向工程:对木马程序进行逆向分析,以了解木马程序的功能、特征、入侵途径等信息。

动态分析:对木马程序进行动态监控和分析,了解木马程序的行为和其执行的命令等信息。

静态分析:对木马程序进行静态分析,通过反汇编、反编译等技术手段,深入了解木马程序的代码结构、算法和执行方式。

漏洞利用:通过发现木马程序中的漏洞并进行利用,从而打破木马的控制和扩散。

模拟攻击:通过模拟攻击的方式测试木马程序的防御能力,从而找出木马程序的弱点和漏洞。

虚拟机分析:将木马程序运行在虚拟机中,以便观察木马程序的行为和反应,从而了解木马程序的运行方式和特征。

木马破解中一个典型的案例发生在 2018年。当时,南京警方成功破获一个木马病毒案件,涉案的恶意软件通过诱骗受害人点击下载的方式,植入木马程序,盗取用户敏感信息,而南京警方通过对恶意软件进行分析和追踪,最终成功抓获了涉案人员。

隐蔽跟踪技术

侦查网络犯罪案件过程中,为避免打草惊蛇,执法者会使用隐蔽跟踪技术。该技术使用代理服务器、虚拟专用网等一些隐蔽性较强的技术手段,隐藏自身真实身份和位置信息,实现对嫌疑人目标的隐蔽跟踪。在犯罪活动早期侦察过程中,执法者常用该技术悄悄监控和追踪网络犯罪嫌疑人。

从近几年警方披露出的网络犯罪案件信息来看,执法者常用的隐蔽跟踪技术主要包括匿名代理服务器、虚拟专用网、钓鱼等几种。

虚拟代理服务器:执法者使用虚拟代理服务器使自身的 IP 地址伪装成其它设备的地址信息,以达到隐藏自身真实身份和位置信息 ;

虚拟专用网:执法者使用虚拟专用网,利用加密技术对数据进行加密和传输,有效保护跟踪数据的安全性和隐私性;

邮件钓鱼:在网络犯罪活动侦查阶段,执法者使用匿名邮箱向犯罪嫌疑人发送邮件,诱使回信,一旦收到回复,便可以通过邮箱分析出犯罪嫌疑人的地址信息。

数据恢复技术

执法者在成功抓到犯罪嫌疑人后,需要完整证据链条作为公诉证据,但有些时候,犯罪嫌疑人会做垂死挣扎,销毁设备,损坏数据信息。此时,执法者会便会“祭出”数据恢复技术,将已经被删除、破坏、隐藏的数据信息恢复。

目前,执法者使用的数据恢复技术主要包括软件恢复和硬件恢复两种。

软件恢复技术:执法者使用 Recuva、EaseUS Data Recovery Wizard、Disk Drill 等数据恢复软件,将犯罪嫌疑人非法删除的数据从硬盘中恢复过来。(在文件被删除之后,实际上只是被系统标记为可以被覆盖的空间,数据仍旧存在于硬盘中,因此使用数据恢复软件可以将这些被标记的空间重新标记为可用空间,从而恢复被删除的数据。)

硬件恢复技术:硬件恢复技术是指执法者将被删除的数据从硬盘中找回来,这种技术主要应用在犯罪嫌疑人作案设备的机械部件损坏、盘片表面划伤等硬盘出现物理故障的情况下。值得注意的是,硬盘内部结构非常复杂,因此在对硬盘进行物理拆卸,需要精确仪器和专业技术人才,常用的硬件恢复技术包括磁盘图像恢复、数据恢复和数据转移等。

2019 年,江苏省苏州市公安局曾通过数据恢复技术成功找回一起电信诈骗案件的重要线索。在抓捕行动之前,犯罪嫌疑人试图销毁证据,将自己的计算机硬盘和手机卡焚毁。最终,网警通过对手机卡的数据恢复和对嫌疑人的计算机硬盘进行物理拆卸成功找回被删除的通话记录、聊天记录和短信等重要线索数据,为该案破获立下大功。

区块链交易分析技术

区块链交易分析技术是执法者破获网络区块链攻击案件时最常用的技术手段之一。总的来说,区块链是一种分布式账本技术,所有的交易记录都被公开存储在区块链上。区块链交易分析技术通过对这些交易记录进行分析,可以帮助执法者识别疑似犯罪交易、确定交易双方的身份、追踪资金流动轨迹、识别犯罪组织的活动模式等。

区块链交易分析技术主要是通过以下步骤实现:

采集数据:利用区块链浏览器等工具获取区块链上的交易记录,包括交易的发送者、接收者、交易金额等信息。

数据预处理:对采集到的数据进行清洗、格式化、去重等预处理,以便进行后续的分析和挖掘。

数据分析:分析区块链上的交易记录,识别疑似犯罪交易、资金流动轨迹和犯罪组织的活动模式。例如,可以通过聚类分析、关联规则挖掘、异常检测等方法,发现交易之间的关系、交易的规律和异常等。

可视化展示:将分析结果以可视化的方式展示出来,例如制作热力图、散点图、网络图等,帮助警方更好地理解和分析数据,发现线索和证据。

2019 年,美国联邦调查局(FBI)成功破获了一起利用比特币进行的网络诈骗案件,案件涉及大约 40 多个国家,造成的损失达到了 1.4 亿美元。在这起案件中,FBI 使用了区块链交易分析技术,帮助其追踪和抓捕了犯罪嫌疑人。

钱包地址追踪技术

除上述提到的区块链分析技术,执法者在打击区块链网络犯罪活动时也经常采用钱包地址追踪技术,以确定犯罪嫌疑人和嫌疑资产之间的关联关系。

钱包地址追踪技术主要是基于区块链公开的交易数据进行分析,通过对区块链上的交易信息进行解析和处理,发现其中涉及到的钱包地址及其交易行为,并尝试将其与犯罪嫌疑人联系起来。

钱包地址追踪技术的主要步骤包括以下几个方面:

钱包地址识别:首先,执法者需要对区块链上的交易数据进行解析,确定每个交易中涉及到的钱包地址,即发送方和接收方的地址。这可以通过解析交易数据中的输入输出脚本来实现。

钱包地址聚类:对于发现的所有钱包地址,执法者需要将其按照不同的属性进行聚类,以便进一步的分析和识别。这些属性包括地址的余额、交易次数、交易金额、交易时间等。

钱包地址关联:在聚类的基础上,执法者需要对不同的钱包地址进行关联分析,确定它们之间的关系。这包括通过分析它们之间的交易模式、交易频率、交易金额等信息,找到可能存在的关联关系。

钱包地址追踪:最后,执法者需要将发现的钱包地址与犯罪嫌疑人进行联系。这可以通过分析这些地址的所有交易,包括其输入和输出,以及与之关联的其他地址和交易,最终确定嫌疑人和资产之间的关系。

无可争议,钱包地址追踪技术在打击区块链网络犯罪中发挥着重要作用。以比特币为例,执法者能够通过对区块链上的交易数据进行分析,追踪比特币的流动路径,找到涉案人员使用的钱包地址,并最终确定其身份。例如 2013 年,联邦调查局(FBI)利用钱包地址追踪技术,成功破获了世界上最大的比特币交易网站“丝绸之路”,抓获了网站创始人罗斯·乌尔布里希特,并查缴了大量的比特币和其他数字货币。

IP 地址追踪技术

网络运营商会给每个计算机设备分配一个类似“身份证”的信息——IP 地址。因此,当网络犯罪分子利用计算机设备进行网络犯罪时,执法者可以通过这个特有的 IP 地址信息确定犯罪嫌疑人的地理位置,从而锁定犯罪嫌疑人的身份。

这个过程中,执法者一般使用的是 IP 地址追踪技术,利用网络通讯的原理,通过获取网络数据包中的 IP 地址和端口信息,以及对应的时间戳等数据,对网络活动进行追踪和定位。

目前常见的 IP 地址追踪技术主要包括以下几种:

数据包捕获技术:执法者通过类似 Wireshark 的网络数据包捕获工具对犯罪分子的网络数据进行抓取和分析,查获其中的 IP 地址和端口信息。随后通过分析网络通讯协议,对网络活动进行分析和定位,找到犯罪分子的"藏身之地"。

流量分析技术:执法者通过利用  Snort、Bro 等网络流量监控和分析工具对网络流量进行实时监控和分析,从中提取  IP  地址、端口、协议等信息,对网络活动进行追踪和定位。

值得注意的是,虽然 IP 地址追踪技术能够快速定位嫌疑人,但网络环境具有很强的复杂性和多变性,因此执法者在使用  IP 地址追踪技术时,不能保证每次都准确地确定网络犯罪分子的真实身份。

域名解析技术

域名解析对于互联网基础架构中至关重要,其主要作用是将域名转换为 IP 地址。目前而言,DNS 技术应用十分广泛,不仅是普通用户访问网站时的必备技术,也是网警日常进行网络安全和监控方面的重要工具,可以帮助警方进行网络侦查和调查。

执法者最为常见的一种应用是通过 DNS 解析获取域名所对应的 IP 地址,从而确定该域名是否涉嫌违法行为。此外,执法者可以通过监控 DNS 服务器的查询记录,了解到访问特定网站的用户的 IP 地址,甚至可以获取到用户搜索的关键词,通过分析这些数据可以进行犯罪嫌疑人的追踪和定位。网警还可以利用 DNS 技术进行反向解析,即通过 IP 地址获取对应的域名,这对于寻找隐藏的网站和追踪犯罪行为具有重要作用。

执法者应用 DNS 技术时,通常会使用以下一些特定的方式:

DNS 查询记录监控:执法者可以监控特定的 DNS 服务器,记录其所处理的 DNS 查询请求和响应记录,并对这些数据进行分析,以了解网络犯罪分子访问行为和网站的基本信息。

域名黑名单:执法者可以建立域名黑名单,列出包含恶意内容或者非法活动的域名,并通过 DNS 服务器进行拦截和屏蔽,以保护用户和网络安全。

DNS 缓存投毒:执法者可以利用 DNS 缓存投毒技术,修改本地 DNS 服务器的缓存记录,将特定的域名解析到错误的 IP 地址,从而实现对特定网站的屏蔽和封禁(针对诈骗网站、赌博网站)。

DNS 隧道监控:执法者可以通过监控 DNS 隧道流量,获取恶意软件的传输数据,进行分析和追踪,以查到网络犯罪分子的具体信息。

执法者使用域名解析技术破获网络犯罪的经典案件当属 2015 年的“木马猎人”行动。当时,公安部门通过监控 DNS 服务器查询记录,发现大量感染了木马病毒的主机,通过详细分析,最终锁定了网络犯罪嫌疑人的 IP 地址,成功抓捕多名犯罪嫌疑人。

网络监听技术

执法者使用的网络监视技术指对互联网上的数据信息进行实时监控和收集,以及对网络犯罪行为进行打击和防范。在执行任务时,执法者主要网络流量监测、日志分析、数据挖掘、人工智能等多种技术手段,进行网络监视。

其中,网络流量监测技术是网警最常用的一种网络监视手段。这种技术可以对网络上的数据流量进行实时监测和分析,以便及时发现网络攻击、违法犯罪活动等情况。通过对数据包的来源、目标、内容等信息进行分析,可以检测网络上的异常流量和攻击行为,并对其进行拦截和阻止。

此外,日志分析技术也是网警常用的一种技术手段。通过对网络设备和服务器产生的日志进行分析和监测,可以快速识别和定位网络异常行为,例如异常访问、攻击尝试、漏洞利用等等。这种技术可以对网络安全事件进行全面追踪和记录,为后续执法者的调查取证提供重要的依据。

随着人工智能的发展,人工智能技术也开始被广泛应用于网络监视领域。目前执法者已经可以利用人工智能技术对网络威胁进行自动识别和分类,快速判断威胁的等级和影响范围,并提供预警和建议。此外网警在利用人工智能技术对海量的数据进行处理和分析时,更够更快、更高效的挖掘出其中有价值的信息。

密码破解技术

部分网络犯罪分子落网后,为隐瞒犯罪证据,不愿意透漏作案设备的密码信息。这时候,执法者就会使用密码破解技术,通过对密码进行推测、破解等方式,以达到获取被保护信息的目的。密码破解技术是网警侦查中的一个重要组成部分,用于破解犯罪嫌疑人使用的各类密码,以便获取相关信息,为侦破案件提供依据。

实际操作中,网警使用的密码破解技术主要有以下几种:

字典攻击:犯罪嫌疑人被捕获后,负隅顽抗,不愿意提供设备密码时,执法者可以通过分析网络犯罪分子的生日、电话号码、名字身份证号码等个人信息,制定出一个可行的字典列表,进行不断尝试,猜测设备密码。

暴力破解:暴力破解是一种极端的密码破解方式,其原理是尝试使用各种组合的字符、数字和符号进行猜解,直到找到正确的密码。在字典攻击不能攻破网络犯罪分子的设备时,执法者就会采用暴力破解了,值得一提是,虽然此举能够破解复杂的密码,但需要消耗大量的计算资源和时间。

超级计算机:当暴力破解也不能搞定复杂的密码时,执法者便会祭出采用超级计算机,超级计算机可以通过并行计算和分布式计算来加速破解速度,提高密码破解成功率。

道高一尺魔高一丈

乘着全球数字化转型的“东风”,许多规模大、实力强、组织严密的网络犯罪分子团伙不断“冒出”,网络犯罪活动急速增多,对网络环境造成巨大威胁,执法者和网络犯罪分子之间的较量,俨然成为网络江湖中最激烈的斗争。

目前执法者使用的传统网络安全技术手段已不能完全遏制网络犯罪活动。网络攻击者善用各种漏洞、后门,侵入受害者系统,窃取敏感信息,盗取银行账户信息,甚至入侵政府机构的网站。作案过程中,网络犯罪分子使用的技术手段往往比较高超,警方很难匹配的上。

此外,网络犯罪分子的组织形式也非常隐蔽。这些网络攻击者往往组成一个庞大的团伙,分工明确,密不透风,更让人头疼的是这些团伙分布在全球各地,使用各种方式隐藏自己的身份和行踪,难以被警方追踪和抓捕。

与此同时,网络犯罪分子的作案手段也越来越复杂和隐蔽,让警方的侦查工作更加困难。种种原因叠加在一起导致执法者一直难以彻底遏制网络犯罪活动的快速蔓延。

虽然执法者打击网络犯罪活动面临各种困难,但并不是毫无办法。目前各国也认识到网络犯罪活动带来的危害,逐渐加强对网络执法的资源投入,执法者也在不断地更新技术手段,警方和网络安全公司的合作的也在日渐加深,以期形成一个全球的联合打击网络犯罪体系,通过共享情报信息,整合资源,提高打击网络犯罪的效率,共同维护全球网络安全。

参考文章:

https://zhidao.baidu.com/question/558066840.html


精彩推荐