在黑暗网络上的创新与比赛:犯罪论坛的研究竞赛分析
关键要点
- 研究者与威胁行为者的区别 :安全研究人员通过参与会议和写作与社区分享知识,威胁行为者则在更隐秘的环境中工作。
- 犯罪论坛的研究比赛 :如XSS和Exploit等俄罗斯语网络犯罪论坛,定期举行研究竞赛,不仅提供奖金,也为威胁行为者提供了技能展示的平台。
- 比赛日益专业化 :现今竞赛与正规安全会议的征稿相似,要求参与者提交技术文章,内容要求具体和专业。
- 奖项与认可 :获奖者不仅能获得奖金,还可能获得其他威胁行为者的认可和潜在工作机会。
- 有限的创新 :虽然有众多参赛作品,但新颖性相对较低,许多内容是基础教程或已公开的信息。
威胁行为者的选择
对于那些希望与其他威胁行为者分享研究成果的犯罪分子而言,黑暗网络的论坛提供了一个交流与展示的平台。尽管可以通过正式渠道分享知识,但风险往往较高,所以许多威胁行为者选择留在自己的圈子里,并在犯罪论坛之间分享资源和知识。
众多论坛会定期举办研究竞赛,例如Exploit 和XSS
。这些论坛不仅会提供由知名威胁组织赞助的奖金,还允许参与者展示他们的技术能力和创新思路。
竞赛流程
竞赛通常为一年一度,步骤简单:管理员会公示竞赛内容,并规定截止日期、主题和规则。任何论坛用户均可提交作品,管理员会在截止日期前审核并剔除不合格的作品,其余的就会进行公开投票。
以Exploit的竞赛为例,其最近一次于2021年4月开放,主题围绕加密货币,奖池总额为8万美元。而XSS的竞赛则在2022年进行,奖金相对较少,为4万美元,但相较于2021年的奖池大幅增加。
论坛 | 最近比赛时间 | 奖金行业 | 主题概述
—|—|—|—
Exploit | 2021年4月 | 80,000美元 | 加密货币相关
XSS | 2022年3月 | 40,000美元 | 各类技术攻击与防御
参赛规则
每个论坛都有明确的参赛规则。例如在Exploit论坛中,要求作品为原创,并涵盖技术细节,字数不少于5000字。而XSS论坛则规定每位参赛者最多可以提交三份作品,而且字数要求更高,至少7000字。
Exploit 的规则
- 必须为原创作品。
- 需要涵盖主题的所有重要方面。
- 需包含技术细节,例如算法或代码。
XSS 的规则
- 每位参与者最多可提交三份作品。
- 作品不得有抄袭行为。
- 需包含实际应用,不可仅为理论。
赞助与投票
多年来,知名的黑客团体都在这些竞赛中担任赞助者。Exploit的最新竞赛由一位名为CryptoManiac的用户赞助,提供了15000美元的奖金。另一方面,投票过程声称采用民主形式,由论坛各用户共同投票,然而实际透明度相对较低,最终结果仍由管理员与论坛团队决定。
作品分析
在最近的比赛中,Exploit与XSS分别收到了35和38份作品,涵盖了从社交工程到技术攻击的广泛话题,尤其是在加密货币和悬赏的罪行方面显得更为突出。一些受欢迎的主题包括:
- 创建钓鱼网站获取用户凭证
- 针对首次币发行的攻击
- 利用Nebula进行有针对性的操作
结论
这些竞赛的存在表明,黑暗网络中的威胁行为者在努力寻求创新与合作,尤其是在攻击和规避技术的探索上。虽然参赛作品内容的新颖性可能不足,并且多数仅为基础教程,但依然吸引了大量的潜在威胁者参与。虽然不会导致大的变革,但这种形式可能会继续作为一个交流与发展经验的平台。
想了解更多黑暗网络和网络安全
