文章总结： 本文阐述了暗网合作对象的筛选与画像方法，建议通过积分、注册时长及行为痕迹初筛。结合案例分析识别真实数据源及公职人员行为，提出利用AI分析历史发帖辅助画像，强调人工洞察结合AI工具可提升情报挖掘效率，认为暗网在人力资源与情报收集方面大有可为。 综合评分： 88 文章分类： 威胁情报,社会工程学,数据泄露

如何在暗网挑选”合作对象”

原创

bigeye_sec bigeye_sec

大眼睛网络安全

2026年1月30日 00:47 山东

如何在暗网挑选”合作对象”

太阳底下没有新鲜事.

在暗网选择合作对象就是一个综合打标的过程,跟SDK收用户信息的原理是一样的,当然了,现在一个自然互联网用户身上都能打几十万个标了—衣食住行吃喝玩乐几十个APP,同一个用户身上几十万个标签稀松平常.

这样比较起来由于暗网用户数量的稀少—远不到百万,我们的打标还是简单的,挑选的难度也是可控的.

小编认为至少下面几个表面维度是需要首先考虑的是可以作为初筛的:

• 点数多的
• 注册早创始成员的
• 发言中有fed痕迹的
• 没有使用常见商业VPN的
• 有特殊头衔的
• reputation多的
• 在线时长最多的有持续售卖行为的
• 头像中二的
• 使用的国家语言和发布的泄露数据一致的

假设暗网有100万用户,按照上面的维度加权挑选能够挑出来多少适合的呢?

举两个例子—只以对话举例不涉及其他维度.

例1:

+begin_example

A(买家): 我说了我的朋友们不是系统管理员,而是安全部门的同事.没错,他们是有权限的,你的截图里可坐着不少不同运营商的人呢.

B(卖家):你明白这对我有风险吧?我怎么能保证你不是”少校同志”(指内务部/特工)?

A:关于风险的问题,纯属扯.”少校同志”早就该把你的截图发给联邦电信、信息技术和大众传媒监督局然后找到是谁泄露的了.有些图上标明了会议日期.如果他还没这么做的话.

B:假设是吧.过考虑到他们的蠢笨程度,要找我也得花上几个世纪.

A: 这只是5天中的一天.那里有几百GB的录像.这是最第一天的开始. 至于你的信息—你觉得会有人出这个价吗?我可不是在开玩笑.但在隔壁帖子里,老兄们卖类似的数据库只要2-5千美元.而你的是120个比特币.是不是有点太贵了?是吧?

B: 那他们卖的是什么数据库?只是个人信息导出?我卖的是访问虚拟机的权限,可以在上面查看某人什么时候去看了医生,某个人的所有信息,医生如何检查的,开了什么药,化验结果.打个比方,你有纸质的病历卡吧?想象一下,这就是全俄罗斯所有人的病历档案.所以才有这个价格.

A: 我是不会为这个付185万的但祝你好运,但愿能卖掉.反正我多半也不在那里面.我上次去医院已经是大概6年前了.

from:rutwo_result.txt

+end_example

卖家和买家都是俄罗斯人,卖家的东西真实程度无限趋近于100%.

这个情况下,我们就可以说,这个俄罗斯人,我们不用管他手里的这份全俄罗斯的病例数据了,只要能够和这个俄罗斯人搭上线,那么其他的同类数据大概率就是有来处的了.

而且,最重要的是,这是花钱就能交上的朋友.

例2:

+begin_example

我们需要交易担保人,请帮助我们,非常感谢.”,”致版主, 我从XXX那里购买一个数据库.而且我已经付了钱. XXX收到了那笔钱,却说:不满意. XXX想要更多的钱,却不给我数据库. 我们的交易条件是150. 先付100,然后XXX会发数据库给我验证. 但是,XXX至今没有发给我任何数据… XXX仍然不打算发给我任何数据… 然后,XXX要求我们的交易可以使用第三方托管,XXX说管理员可以担任交易担保人,帮助我们双方继续完成这笔交易. 现在,我们僵持住了.XXX不给我发数据库,我也不打算把余款付给XXX. 所以我们需要你们团队的帮助.” from:twbuy.txt

+end_example

一条上当受骗寻求管理员帮助的信息,按图索骥找到诈骗ID发布的帖子,只有4条,全部是台湾相关的数据.

即,买家是在购买台湾数据的情况下上当的.

查看一下买家的注册IP,标签是代理,最后登录IP,标签是hosting,没有问题.

疏漏发生在这条信息中记录的IP地址:TaiPei康乐里民活动中心( Chunghwa Telecom Co.,Ltd.  注意这是家宽),一个周遭很繁华的商圈.

离这个地方最近的地方有哪些办公单位呢? 答案是几乎所有行政机都能覆盖.

• 松江路367号,最核心的行政大楼聚集点.

再远一些就是:Office of the President,Executive Yuan,Taipei City Government,Legislative Yuan (Headquarters),Ministry of the Interior,Ministry of Justice,Ministry of Foreign Affairs

再远一些十公里以上:

• 警察局中山分局
• 新北政府大楼

我们再加权,除了这次购买台湾数据上当,此人的其他痕迹还包括:

• [中国居民database]下载链接失效了,请更新.
• 询问”正协办公室记账日常办公经费财政拨款收入”数据库样本.

结论呼之欲出,中国台湾台北行政单位密集区,有一个小伙子,娴熟使用多个代理登录到暗网,花着数字货币,目光炯炯的,搜寻购买台湾相关的数据/中国大陆相关的数据.

此人的IP痕迹、email地址、tg号码、jabber号码等等都可以放到库中跑一跑结果了,在只有买买买这一个动作的情况下,在有针对性的购买国内小众数据的情况下,我们有理由怀疑,这是公款登录暗网—不是个人行为而是工作行为了.

说个题外话,在比较重大事件发生的时候,比如sh那次数据泄露,比如美国议员保险那次数据泄露,国内总会有一些人出于工作原因急吼吼的在暗网进行一些不是那么安全的动作.

这些当然都被记录了下来,当然都是有痕迹的.

现在唯一能够笃定的就是暗网的论坛几乎都是蜜罐.

为了照顾不是这个行当的人员的阅读,下面说一个不需要分析技能就能挑选出来”合适”人员的方法.

将感兴趣人员的所有帖子都爬取出来,喂给AI后,让AI总结.

prompt就可以围绕此人的,技术能力(工具漏洞脚本)、泄露数据类型(规模、行业敏感度)、是否有身份相关信息(签名/网站/联系方式/PGP/钱包地址/团队名/域名),是否有鲜明的倾向(泄露目的,攻击理由,政治言等),从俚语等内容猜测发帖人国籍等.

prompt要限制:禁止猜测,关键结论要引用具体证据.

等到一个人的行为刻画的一定程度了,就可以带上发帖集中到什么时间,威胁等级判定等结论性内容了.

当然,AI得出的结论肯定是一个辅助的动作.

真正的”洞察”还是得人来做.

比如,我们爬取名为AntiBro用户的完整36个历史发帖:

+begin_example

{   “listUrl”: “https://br.bf/search.php?action=results”,   “sid”: “”,   “scrapedAt”: “2026-01-20T09:35:10.126Z”,   “totalPages”: 15,   “total”: 36,   “items”: [     {       “url”: “https://br.bf/Thread-DATABASE-hc-com-EmployeeDirectory-2023-05-280-693-Lines”,       “title”: “hs.com_EmployeeDirectory |2023-05| 280,693 Lines”,       “author”: “by AntiBro – Friday November  8, 2024 at  11:13 PM”,       “body”: “”,       “error”: null     },     }   ] }

+end_example

应用prompt之后,结果如下:

+begin_example

威胁情报分析报告

技术能力评估

发帖人展示出中等偏上的技术水平:

• 数据来源理解:明确标注数据来自MOVEit漏洞利用（CVE-2023-34362）,表明对勒索软件团队Cl0p的攻击链有认知
• 数据处理能力:能够处理和分类大规模CSV数据（28万+行）,理解字段结构和企业目录格式
• 攻击链知识:了解供应链攻击路径（MOVEit → JLL公司 → HSBC客户数据）

注意:发帖人是数据经销商而非原始攻击者,其技术能力主要体现在数据整理和二次分发上.

泄露数据分析

数据规模与类型

• 数量:280,693条员工记录
• 目标:汇丰银行（HSBC）全球员工目录
• 数据时间:2023年5月
• 字段类型:包含21个字段,涵盖: – 个人身份信息:姓名、员工ID、邮箱   – 联系方式:电话、地址、邮编   – 组织信息:部门、职位、上级ID、成本中心

敏感度评估

极高风险:

• 金融行业核心机构的完整组织架构
• 可用于精准钓鱼攻击、社会工程学
• 跨国数据（涵盖英国、印度、中国、埃及、斯里兰卡、香港等）
• 包含管理层级关系（SUPERVISOR_ID字段）便于绘制组织图谱

身份相关线索

直接标识

• 用户名:AntiBro（别名Nam3）
• 个人网站:https://antibro.ir/（.ir为伊朗域名）
• 联系方式:通过论坛私信（PM）
• 签名特征:强调”Antibro aka Nam3 Website”

威胁倾向评估

商业化动机

• 主要目标:数据变现（”向律师推销数据用于诉讼”）
• 定价策略:初期付费访问,后期免费释放施压
• 客户定位:针对法律诉讼需求方

未发现明显的仇恨、暴力或极端主义言论.

综合风险评级:⚠️ 高危威胁行为者 – 掌握敏感金融数据,具备明确变现路径,数据公开威胁可能引发连锁攻击.

+end_example

相比较专业情报分析人员的洞察,上面AI给出的结果虽然浅了一点,但是胜在速度快,作为辅助作为参考完全是可行的.

上面的例子看完、AI辅助的表达看完,我们就可以思考下面两个小问题了:

• 暗网100 0000万个黑阔,从里面挑选出来100个为我所用,现实不现实?
• 暗网100 0000万个黑阔,有没有不是黑阔,而是之内的人员?

如果答案都是Yes的话,那么小编觉得,就像公众号去年发布的多篇人力相关帖子中的说法一样.

暗网这个平台,对人力来说,四个字,大有可为啊.为什么不为啊?

会有大产出的.

如果,水平逮的话.

如果,水平逮的话.

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：大眼睛网络安全 bigeyesec bigeyesec《如何在暗网挑选”合作对象”》