意外と知られていない、お得情報ですが、ネットワーク管理者は自分のASNかCIDRとメアドを以下のサイトに登録すると、毎日「無料で」レポートが届きます。
shadowserver.org/what-we-do/net…
雑記系ブログ。セキュリティとか、マイルとか、投資とか、、、 / Miscellaneous Blogs. Security, miles, investments, etc
ダークネットマーケットは可用性に左右され、これらのダークウェブマーケットの動作に貢献する多くの要因の1つは、その性能です。トップダークネット市場2022は、Torネットワーク内の各市場がそのパフォーマンスを何度も実証しています。そこで、この記事では、2022年のトップダークネットマーケットリストをお届けし、それらが現時点でどのように機能しているかをお知らせします。ただし、始める前に、マーケットプレイスに入るためのルールをすべて守っていることを確認してください。
ダークネットのトップ市場2022年:ベストパフォーマーのリスト
今年のディープウェブマーケット空間におけるベストパフォーマーをすべてリストアップしてみました。これは、今年の最も重要なダークネット市場を見逃さないようにするためであり、また、どこから始めればいいのか判断に迷うことがないようにするためでもあります。
World Market
Dark0de RebornとCartel Marketの撤退騒動に伴い、World Marketは最大のダークネットマーケットとして1位の座に君臨しています。Empire MarketやAlphaBay Marketに慣れ親しんでいる人たちは、このマーケットになじみがあることでしょう。これは、World Marketが、すでに述べた市場と同じ機能とデザインを持っているためです。
最も重要な機能がほぼ全て揃っている機能豊富なマーケットです。マーケットのメインページでは、マーケットのアップデートや頻繁に更新されるニュースを見つけることができます。さらに、あなたはあなたのアカウント、あなたのアカウントのセキュリティ、入札で必要とされるアクションを見つけることができます。
児童ポルノ、売春、武器の販売、ヒットマンのサービスなどは厳しく制限されているようです。
Kingdom Market
Kingdom Marketはとてもモダンで、デザイン要素に一貫性がありながらとても使いやすくなっています。インターフェイスは、必要なナビゲーションオプションをすべて備えたトップバーを備えています。その下には、重要なセキュリティ情報、トップリスト、最新のマーケットニュースなどが表示されます。左側には、すべての市場カテゴリが表示されたナビゲーションバーがあります。その下には、高度な検索クエリが表示されます。フロントページの下部には、受け入れられている暗号通貨の現在の価格のすべてが記載されているリストが表示されます。
Kingdom Marketは、安全に買い物をするために必要な機能をすべて備えた、典型的なダークネットマーケットとされています。BTC、XMR、LTC、ZCashなど、ほとんどの暗号通貨がマーケットで受け入れられています。ウォレットアカウントにそれらすべてを入金することができます。2022年のディープウェブマーケットプレイスは、メッセージの自動暗号化のための従来のPGPサポートを備えています。2FAのログインには、PGPキーを使用することができます。FEは、信頼できる出品者のために利用することもできます。
The Versus Project
The Versus Projectは、コミュニティによって、コミュニティのために構築されてきました。現在、市場のさらなる発展のため、可能な限りバイヤーの方々を取り込んでいます。Versus市場ダークウェブマーケットへの登録は非常にシンプルで簡単です。あなたが必要とするのは、4〜24文字の長さのユーザー名、少なくとも8文字の長さだけでなく、ログインフレーズであるパスワードです。登録が完了するとすぐに、ユーザ名とパスワードの入力を求められ、メインページにリダイレクトされます。ASAP Market
ASAP Marketは、最も重要な2つの点である詐欺的な業者と偽のレビューを識別するシステムを開発したと主張しています。また、ベンダーがマーケットに付加しうる価値を考慮し、ベンダーボンドにもさらに柔軟に対応するとしている。
ASAPの管理者は、Dreadフォーラムで積極的にユーザーと関わり、問題を解決する手助けをする用意があります。時折、動作が少し遅くなることがありますが、平均的なダークネットマーケットより少し多い程度です。
ドラッグに比べ、デジタルグッズの品揃えが豊富な数少ないマーケットです。特に、Fraudのセクションに入ると、その品揃えはかなり豊富です。ASAPダークウェブマーケットを評価する必要があるクールな機能は、そこにアカウントを作成し、ログインすることなく、市場を表示することができるという点です。これは、ウェブサイトにアカウント登録をする価値があるかどうかを事前に判断する機会を提供します。
マーケットプレイスに参加している業者は、他のマーケットプレイスに比べて経験が浅いかもしれませんが、中にはそのマーケット内だけでかなりの売上をあげている業者もます。
合計で約17,000件の出品があり、巨大なマーケットとなっています。出品は、覚せい剤、RC、大麻、ハッシュ、麻薬、ステロイド、バルビツール酸塩、詐欺、ダイエット、エクスタシー、処方、オピオイド、偽造品、解離剤、デジタルグッズ、ベンゾ、精神薬などの多くのカテゴリに分かれています。これらのカテゴリのうち、デジタルグッズが最も多く、次いで詐欺、大麻・ハッシュ、覚せい剤の順となっています。
マーケットプレイスの最も顕著な欠点は、製品を検索するためのフィルターがあまり機能していないように見えることです。しかし、検索ボックスはよりよく機能している傾向があります。
Heineken Express Market
Heineken Express Marketは、ベンゾ、ケタミン、カンナビス、MDMA/XTC、覚せい剤、サイケデリックを扱うドラッグ専門ベンダーです。
また、検索オプションを使って希望の商品を探すことも可能です。また、他のバイヤーが商品をより良く判断できるように、購入した商品に対してフィードバックを残すことができます。
アメリカ、オーストラリア、ニュージーランド、スウェーデン、ノルウェー、クロアチア、トルコ、モロッコ、イラン、カナダでは発送が制限されています。これ以外では、配送に関する制限はありません。
CannaHome Market
CannaHome Marketは、USA同士の市場に特化したダークネットマーケットで、それ以外の国への出荷は禁止されています。2018年に運営を停止していたCGMCマーケットの後継とされ、このマーケットも同じソースコードとデザインを使用しています。大麻とキノコ製品の販売のみを許可しています。
この市場では、管理されたウォレットはなく、コインは2種類(LTCとBTC)が用意されています。
Hydra Market
マーケットの理念のひとつに、「分散型リーダーシップ構造」があります。これにより、もし管理者やベンダー、モデレータの誰かが倒れたとしても、Hydra Marketは複数のリーダーを擁しているため、運営を続けることができるのです。
市場全体はロシア語で書かれています。Hydraのサービス対象国は、ロシア、ウクライナ、ベラルーシ、カザフスタン、アゼルバイジャン、アルメニア、キルギスタン、ウズベキスタン、タジキスタン、モルドバです。それぞれの国は、オブラートと呼ばれる大都市圏の数に細分化されており、ローカル・デッドドロップのような配達を容易にすることができます。あなたはこれらの国の一つからではない場合、あなたはあなたの場所に出荷して喜んでいるベンダーを根気強く探す必要があるかもしれません。
マリファナ、覚せい剤、催眠剤、幻覚剤、エクスタシー、解離剤、アヘン、化学試薬、医薬品、BTCキャッシュアウトサービス、SSH/VPNサービスなど、ほぼすべてのカテゴリにおいて数千ものリスティングを所有しており、2022年のトップダークネットマーケットの1つとなっています。
出品も通常通りカテゴリー別に分かれていますが、特定業者のショップの宣伝に重きを置いています。物理的な商品を受け取りたい場合は、上記のいずれかに所属していることが条件となります。ただし、デジタルアイテムはどこからでも購入することができます。
Cypher Market
このディープウェブマーケットは、それなりの歴史があるようです。この市場は人気が出始めており、スムーズでシンプルな体験を提供し、目立つことを目的としています。この市場では、盗まれたクレジットカードなどのデジタル商品から違法薬物に至るまで、あらゆる種類の商品を見つけることができます。他のダークネットマーケットと同様に、このマーケットプレイスでも、危険物や物質などの販売を制限するいくつかのルールがあります。
出典:Top Darknet Markets 2022: The Outstanding Performances To Consider Now
[Hakin9 Magazine(H9)]:ダニエルさん、こんにちは。インタビューに応じていただき、ありがとうございます。最近どうですか?読者の皆さんに、ダニエルさんについて教えていただけますか?
こんにちは!お招きいただきありがとうございます。私は人生の大半をIT分野で過ごしてきました。ここ10年ほどは、ほとんどセキュリティの仕事一筋です。執筆、教育、そしてセキュリティの新入生を助けることに忙しく、本当に楽しんでいますよ。
[H9] 先日、最新刊「Advanced Security Testing with Kali Linux」を出版されましたね。この本についてもう少し詳しく教えてください。
もちろんです、ご質問ありがとうございます。"Advanced Security Testing with Kali Linux" (Amazonで購入可能)は、Kali Linuxに焦点を当てた私の7冊目(合計)の本です。要するに、私のKali Linuxシリーズの最後となる本なのです。この本は、私の「Basic Kali」の本が終わったところから始まり、読者をより高度なトピックに深く導いてくれます。MITRE ATT@CK Frameworkの使用、ウェブアプリケーション・ペンテスト、高度なパスワードクラッキング、コマンド&コントロール(C2)フレームワークの使用、攻撃型フォレンジック、そしてIoTデバイスを使ったペンテストについて少し触れています。もう一つの良い点は、この本が700ページ以上あるので、読み終わったら、モニタースタンドとして使ったり、ドアを開けたままにしておくことができることです(笑)。
[H9] なぜ、この本を書こうと思ったのですか?
この本は、実は以前から計画されていたものです。Kaliの基礎編と中級編を書いたとき、すぐに上級編でフォローする計画だったのです。しかし、結局、NetHunterとRaspberry Piのセキュリティの本という2種類の本を書き、Kaliの基礎編を更新してから上級編を書きました。そうなんですよね、ほんの少しの時間のズレなんですよね(笑)。でも、この本を最後に書いたのは、実は良かったんです。この本では、読者から長年にわたって寄せられた多くのトピックを取り上げています。
[H9] この本を書くにあたって、一番苦労したことはなんですか?
一番苦労したのは、私たちの分野は変化が激しいということです。この本は昨年ほぼ完成したのですが、その後、複数のツールに大きな変更があり、いくつかの章を書き直すことになりました。結果的には良かったのですが、当初予定していなかった新しい資料をたくさん追加することになりました。だから、全体としては、時間をかけた甲斐があったというものです。
[H9] この本のためのリサーチはどのようなものだったのでしょうか?
この本は、この分野の初心者や、OSCP(Offensive Security Certified Professional)のような業界のセキュリティ試験を受ける人のために、本当に役立つものにしたかったのです。そこで、先輩ペンテスターやレッドチームのメンバーと、彼らが現場で実際に使っているツールやテクニックについて、多くの時間をかけて話し合いました。試験で扱われる内容もよく調べました。また、合格者がどのようなツールやテクニックを使っているかも調査しました。最後に、私自身の経験から得たことをたくさん盛り込みました。
[H9] この本が他のKaliガイドと違う点は何ですか?
Kali Linuxの本の多くは、同じ内容を何度も取り上げています。私のAdvancedの本では、他の本では扱っていないような、活発に使われているツールやテクニックをたくさん盛り込もうとしました。例えば、MITRE ATT@CKフレームワークの使用に関するセクションがあります。フレームワークそのものだけでなく、Atomic Red Teamsや「Invoke-Atomic」のような、フレームワークのアウトラインを使ってセキュリティをテストするための攻撃的なツールもカバーしています。また、この本はリファレンスガイドとして使ってもらいたかったので、セキュリティの専門家が常に複数のソースから調べているような情報をたくさん盛り込みました。そのため、サイズが大きくなってしまいました(笑)。
[H9] 作家として、文章を書くことはサイバーセキュリティにおいて見落とされているスキルだと思いますか?
ああ、とてもそう思います。最近、非常に優秀な友人と話したのですが、雇用主が面接の一環として使用した模擬ペンテストで、十分な情報が記述できていなかったそうです。技術的なスキルも必要ですが、クライアントとのコミュニケーションやインターフェイスの能力も必要なのです。包括的な「アフター・エンゲージメント」レポートを書けることも、この職業の一部なのです。
[H9] Kali Linuxでペンテストを行う場合、普段は見落とされているようなツールはありますか?
すぐに思い浮かぶのは、コマンド&コントロール(C2)フレームワークです。Kaliは基本的に昔からC2のスタンバイとして「Metasploit」に頼ってきました。Metasploitは素晴らしいプラットフォームですが、現在では多くの異なるC2オプションが利用できます。”The C2 Matrix "というウェブサイトでは、スプレッドシートタイプのインターフェースで、それらの機能を含む多くのC2がリストアップされています。
Metasploitは非常に堅牢で機能豊富なプラットフォームですが、Kaliの開発者は、C2の追加を求める声に耳を傾けてきました。昨年、「Empire」とそのグラフィカル・インターフェースである「StarKiller」が追加され、すでに2つが含まれています。今年のKaliの最新版には、"PoshC2 "が含まれています。
予定通りであれば、今後のリリースで、Kaliの基本インストールにさらにいくつかの機能が追加される予定です。新しい本では、Empire、SharpSploit、SilentTrinity、そしてCobalt Strikeのプロフェッショナル版の概要など、複数のC2の使用について取り上げています。
[H9] セキュリティテストで最も難しいことは何ですか?
一番難しいのは、この分野の進化のスピードが速いことですね。平均して、今「最先端」であるツールやテクニックが、数年後には時代遅れになっていることが多々あります。攻撃者は常に学習し、適応し、攻撃戦略やツールを変化させています。防御者は常にその変化に対応しなければなりません。
機密や知的財産を盗むため、選挙に影響を与えるため、あるいは産業統制を妨害するために国家が国家を攻撃するというサイバーエスピオネージは、大きな問題です。また、最近の出来事を見てみると、サイバー攻撃と通常攻撃を併用する「ハイブリッド戦争」が増えていることが分かります。このような事態はますます増加し、強固なサイバー防衛能力を持たない多くの国々は、国防組織を迅速に構築することに苦慮しています。
[H9] これまでの経験から、上級と中級を分けるものは何だと思いますか?また、上級者であると判断するためのスキルは何ですか?
通常、セキュリティの中級者というと、標準的なツールや戦術を知っていて、実際にクライアントとのセキュリティテストで使えるような人を想像します。上級のセキュリティプロフェッショナルは、次のステップに進み、仕事に必要なツールを実際に作成する人たちだと思います。これは、トップクラスのレッドチームによく見られることです。彼らのツールの多くは、改造またはカスタムメイドされています。また、企業のブルーチームと密接に連携し、彼らがどのように脆弱性を悪用したのか、その問題に対処し修正する方法を教えることができるのです。
[H9] 今後、ペンテストにおいてどのような変化があるとお考えでしょうか?
ひとつは、セキュリティにおける機械学習や人工知能の活用が進んでいることです。私は、政府のセキュリティ特別会議に出席し、現代の攻撃戦略について話を聞くことができました。人工知能とディープフェイクで今開発され、利用可能な作品は、多くの人が考えているよりもずっと進んでいます。将来のある時点で、AIシステムは、AIシステムによって保護されているシステムを攻撃するようになるでしょう。その攻撃は非常に高速で、人間の介入はほとんど不可能になるでしょう。これはエキサイティングなことであると同時に、懸念すべきことでもあります。本当に非常に興味深い時代です
[H9] セキュリティテストの際によくある間違いは何でしょうか?
私が目にする最も一般的な間違いは、無関心であることです。私は、何度も何度も、企業がセキュリティテストチームを使ってセキュリティ評価を行っているのを目にしてきました。そのチームは、システムを悪用して、問題を修正するように報告書を提出しますが、その後、何も行われません。何も変更されないか、ほとんど変更されないのです。特に、社内のテストチームである場合は、その傾向が顕著です。時には、対象となる部門は、他の部門が自分たちを悪者にしたのだと考えることもある。そして、次に予定されているテストでは、同じエクスプロイトが使用され、一部は成功しますが、これはターゲットが真剣に対処せず、問題を修正しなかったためです。
私が考える最大の問題は、十分な訓練を受けたサイバーセキュリティの専門家が非常に必要であることです。拙著「Advanced Security Testing with Kali Linux」で、多くの読者や学生が「次のステップ」を踏み出し、この分野の次のセキュリティ専門家やリーダーになることを後押しできればと願っています。
出典:The intricacies of security testing with Kali Linux – interview with Daniel W. Dieterle
今号は、夜間にクロノロケーションを使用するための新しい簡単なツールを紹介します。古代の船乗りが星をナビゲートできたのなら、これと同じことをクロノロケーションに使うことができるに違いない、そう思いませんか?そうですね、ある程度までは絶対に可能です。でも、今週はこれだけではありません。
リンク: Malfrat's OSINT Map
OSINTFrameworkは何年も更新されていなかったので、Twitterユーザーの@MalfratsIndがGitHub上のオリジナルのレポをフォークして作り直し、現在アクティブで調査に役立つリンクで埋め尽くしました。まだ、たくさんのサイトがあるので、もしアイデアがあれば、GitHubのレポにアクセスして、このサイトを成長させてください。
メディア: IP Geolocation
先月、The OSINTCurious Projectに、私が書いたIPアドレスの特定とその精度の低さに関する記事の一つが掲載されました。私は通常、主にサーバーを対象としていますが、そこに書いたテクニックは一般的なものです。そんな中、Half as Interestingが6年前の出来事を描いたビデオを偶然見つけました。これは、IP2Geoデータセットによって提供される位置を盲目的に追うことの危険性についてです。そして、法執行機関でさえも、そのような情報を検証していなかったというのは、衝撃的です。だから、もう一度言いますが、どうかこのような間違いを犯さないように...。検証は重要です! すべてにおいてです。
メディア: Obsidian in Your OSINT Work
Micah Hoffmanはすでに何年も自分の会社を持っていて、MyOSINT.Trainingで素晴らしい教材を提供しています。ここ数週間、彼が取り組んでいることのひとつがObsidianで、以前にも私のニュースレターで紹介したことがあります。数週間前、彼はOSINT調査のためのライブストリームでその可能性を示しました。
記事: Accessibility and Reporting
そしてもうひとつ、Micahについて触れている部分があります。先週、彼は画像の中のハイライトされたボックスを使って遊びました。画像をグレースケールに変換した後、見えるものはあまり残っていませんでした。これは最良のシミュレーションではないかもしれませんが(より良いオプションはコブリスを見てください)、問題はまだ存在しています。最も一般的な問題は、赤や緑の問題で、弱く見えるものから色が全く見えないものまで様々です。そして、赤と緑は、私たちが世界と共有しているこれらすべての画像に使用されている非常に一般的な色であるとしましょう。
先週、Julia BayerがQuiztimeの課題を投稿したとき、私は星やその他の天体の要素を並べるツールを探しに出かけました。「天球図」はいくつかありますが、このツールはシンプルできれいで使い勝手がよいです。月の大まかな位置がわかったら、あとは日付と時間を一致するまで合わせていきます。また、天体を選択すると、その正確な位置と昇る時間、沈む時間を見ることができます。もう一つ、Quiztimeのチャレンジを見て、新しい発見をしました
出典:【限定】「あんずの安全標識」「あんずのヘルメット」からのカード情報漏えい
・・・自分はいったいどこの層なんだろうというという感じのポートフォリオになってる。
あとはペーパーアセットへの投資額が全然足りていない。
さてどうするか・・・・
「Yclean(ワイクリン)」は「1か月分のワイシャツのレンタル&クリーニングをセットで行うサブスクサービス」です。
ワイシャツが毎月20枚届くので、毎日1枚着て、月末に一気に返却すればいいだけというとても楽なサービスです!
洗わずに保管することで、においや汚れが落ちにくくなるのでは?と思ったのですが、洗濯糊に抗菌剤が含まれており、実験の結果問題ないことが検証されているようです!
ただし、雨で濡れてしまったりした場合は乾かしてから保管したほうが良いです!
その他の大きな特徴は下記5つになります!
①自分専用のワイシャツを毎月お届け
ワイシャツ1枚1枚に識別番号がついており、お客様毎にシャツを管理しています。
この管理によって、自分専用のワイシャツが届くことを実現しています。
他の人が来たかもしれないワイシャツを着るのは抵抗がある方も安心ですね!
※契約継続時に合計40枚のワイシャツが割り当てられます。
②ワイシャツは国内最大大手メーカー製
オンワード製(プレミアムプラン専用)及び国内最大大手メーカー製の確かな高品質のワイシャツを提供しています。
ワイシャツは全10種類の中から自由に選択できます。(アソートプランは選択不可)
③クリーニングマイスターと熟練スタッフによる万全なケア
返却されたワイシャツは、専門のクリーニングマイスターが清潔&適切にアフターケアを行います。
落ちない汚れや経時劣化を見つけた場合、新たな専用シャツへ取り換えを無償で行います。
④かかる手間は月1回の「返却」のみ
着用済みのワイシャツは、洗濯せずに専用の回収袋に入れて返却するのみ!
返送料無料なので、備え付けの着払い伝票を使用して返却すればOKです!
対応のコンビニからの返却も可能なので、とても便利ですね!
⑤継続利用期間に応じて、月額費用が安くなっていきます
長く使えば使うほどおトクのサービスです!
下記のように、継続利用の回数に応じて割引額が異なります!
継続利用5~8回:10%OFF
継続利用8~12回:15%OFF
継続利用13回~:23%OFF