monitoring-darkweb-sources

监控暗网论坛、市场、粘贴站点和勒索软件泄露站点,寻找组织资产提及、泄露凭据、威胁攻击和威胁行为者通信,提供早期预警情报。当建立暗网监控覆盖、调查特定数据泄露声明,或用暗网背景丰富事件调查时使用。适用于涉及暗网 OSINT、泄露站点监控、凭据暴露、Recorded Future 暗网或 Tor 隐藏服务情报的请求。

9 stars

Best use case

monitoring-darkweb-sources is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

监控暗网论坛、市场、粘贴站点和勒索软件泄露站点,寻找组织资产提及、泄露凭据、威胁攻击和威胁行为者通信,提供早期预警情报。当建立暗网监控覆盖、调查特定数据泄露声明,或用暗网背景丰富事件调查时使用。适用于涉及暗网 OSINT、泄露站点监控、凭据暴露、Recorded Future 暗网或 Tor 隐藏服务情报的请求。

Teams using monitoring-darkweb-sources should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/monitoring-darkweb-sources/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/monitoring-darkweb-sources/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/monitoring-darkweb-sources/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How monitoring-darkweb-sources Compares

Feature / Agentmonitoring-darkweb-sourcesStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

监控暗网论坛、市场、粘贴站点和勒索软件泄露站点,寻找组织资产提及、泄露凭据、威胁攻击和威胁行为者通信,提供早期预警情报。当建立暗网监控覆盖、调查特定数据泄露声明,或用暗网背景丰富事件调查时使用。适用于涉及暗网 OSINT、泄露站点监控、凭据暴露、Recorded Future 暗网或 Tor 隐藏服务情报的请求。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 监控暗网来源

## 适用场景

在以下情况下使用本技能:
- 对暗网论坛上的组织域名、高管姓名和产品品牌建立持续监控
- 调查在勒索软件泄露站点或粘贴站点发现的数据泄露声明
- 用有关被盗凭据或计划攻击的背景信息丰富事件调查

**请勿在没有适当操作安全措施的情况下使用**本技能——在没有隔离的情况下浏览暗网会将分析师基础设施暴露给对手反情报。

## 前置条件

- 商业暗网监控服务(Recorded Future、Flashpoint、Intel 471 或 Cybersixgill)
- 隔离操作环境:在无持久存储的 VM 中运行的 Whonix OS 或 Tails OS
- 关键词观察列表:组织域名、关键高管姓名、产品名称、IP 范围、已知凭据
- 法律指导确认被动监控在您所在司法管辖区已获授权

## 工作流程

### 步骤 1:通过商业服务建立关键词监控

在您的 CTI 平台(例如 Recorded Future 暴露模块)中配置暗网监控关键词:
- 域名变体:`company.com`、`@company.com`、`company[dot]com`
- 高管姓名:CEO、CISO、CFO 全名
- 产品/品牌名称
- 内部代号或项目名称(如果怀疑泄露范围广泛)
- 凭据监控的已知电子邮件域

大多数商业服务(Flashpoint、Intel 471、Cybersixgill)在不暴露分析师的情况下爬取 XSS、Exploit[.]in、BreachForums 等论坛和俄语网络犯罪社区。

### 步骤 2:使用操作安全进行手动调查

对于需要直接访问暗网的调查:

**环境设置**:
1. 使用专用物理机或隔离 VM(Whonix + VirtualBox)
2. 仅通过 Tor Browser 连接——永远不要使用标准浏览器
3. 使用与组织无关联的掩护身份
4. 永远不要在暗网站点上使用真实凭据登录
5. 在调查日志中记录所有会话及时间戳

**粘贴站点监控**(明网可访问,无需 Tor):
```bash
# 通过 API 搜索粘贴站点
curl "https://psbdmp.ws/api/search/company.com" | jq '.data[].id'
curl "https://pastebin.com/search?q=company.com" # 限速公共搜索
```

### 步骤 3:调查勒索软件泄露站点

勒索软件组织维护 .onion 泄露站点。通过商业服务而非直接访问来监控这些站点。当出现针对您组织的声明时:

1. 通过商业服务捕获截图证据(不要直接访问)
2. 评估合法性:威胁行为者声称的数据是否与任何已知内部系统一致?
3. 检查时间戳:此声明是近期还是历史的?
4. 与该时期的任何已知安全事件或网络钓鱼活动交叉参考
5. 如果声明看起来可信,在公开披露前联系 IR 团队

已知活跃勒索软件泄露站点运营者(截至 2025 年初):LockBit(2024 年 2 月被打击)、ALPHV/BlackCat(2023 年 12 月被打击)、Cl0p、RansomHub、Play。

### 步骤 4:凭据暴露监控

对于泄露凭据监控:
- **Have I Been Pwned Enterprise**:针对泄露数据集中凭据暴露的域级别通知
- **SpyCloud**:商业凭据监控,从犯罪市场恢复防破解和明文密码
- **Flare Systems**:针对凭据转储的粘贴站点和暗网市场的自动监控

当确认凭据暴露时:
1. 立即强制受影响账户重置密码
2. 检查凭据是否可以访问任何组织系统(SSO、VPN)
3. 审查凭据暴露和检测之间的访问日志,查找未授权访问

### 步骤 5:记录并上报发现

对于每个暗网发现:
- 捕获证据(商业服务截图、粘贴站点存档)
- 分类严重性:P1(即时攻击威胁或活跃数据暴露)、P2(凭据暴露)、P3(一般提及)
- 在规定 SLA 内通知适当相关方
- 开立调查票据并链接到证据产物
- 对任何引用命名高管或具体攻击计划的发现应用 TLP:RED

## 核心概念

| 术语 | 定义 |
|------|-----------|
| **暗网(Dark Web)** | Tor 可访问的隐藏服务(.onion 域),未被标准搜索引擎索引;托管合法和犯罪内容 |
| **粘贴站点(Paste Site)** | 明网文本共享站点(Pastebin、Ghostbin),常用于发布被盗数据或恶意软件配置 |
| **勒索软件泄露站点(Ransomware Leak Site)** | 勒索软件组织运营的 .onion 站点,发布受害者被盗数据作为勒索筹码 |
| **操作安全(OPSEC)** | 在暗网调查期间保护分析师身份和组织从属关系 |
| **凭据填充(Credential Stuffing)** | 对身份验证系统自动使用泄露的用户名/密码对 |
| **信息窃取器日志(Stealer Logs)** | 信息窃取恶意软件外泄的数据包,包含保存的浏览器凭据、Cookie 和会话令牌 |

## 工具与系统

- **Recorded Future 暗网模块**:自动监控暗网来源,针对组织特定关键词发出告警
- **Flashpoint**:暗网论坛监控,配合人力情报增强对犯罪社区背景的理解
- **Intel 471**:闭源访问网络犯罪社区,提供威胁行为者的结构化情报
- **SpyCloud**:凭据暴露监控,从犯罪市场捕获明文密码
- **Have I Been Pwned Enterprise**:大规模凭据监控的域级泄露通知 API

## 常见陷阱

- **无操作安全的直接访问**:在没有 Tor 和掩护身份的情况下访问暗网论坛,可能将分析师 IP、浏览器指纹和组织从属关系暴露给对手。
- **对未经验证的声明过度反应**:勒索软件组织和论坛发帖者为勒索或声誉捏造攻击声明。在上报至事件响应前验证。
- **遗漏明网来源**:大多数暗网情报计划遗漏在明网上运营并承载大量犯罪活动的 Telegram 频道、Discord 服务器和粘贴站点。
- **法律审查不足**:暗网监控必须经过法律顾问审查——被动监控通常合法,但主动参与犯罪市场则不合法。
- **无证据保全**:暗网内容消失迅速。使用商业服务导出,在发现后立即捕获带时间戳的证据。

Related Skills

performing-paste-site-monitoring-for-credentials

9
from killvxk/cybersecurity-skills-zh

使用自动化抓取和关键词匹配技术,监控 Pastebin 和 GitHub Gists 等粘贴站点上的泄露凭证、API 密钥和敏感数据转储,实现早期泄露检测

performing-dark-web-monitoring-for-threats

9
from killvxk/cybersecurity-skills-zh

暗网威胁监控涉及系统性扫描 Tor 隐藏服务、地下论坛、粘贴站点和暗网市场,以识别针对组织的威胁,包括泄露凭据、数据泄露、威胁行为者讨论、漏洞利用工具和预谋攻击。

performing-brand-monitoring-for-impersonation

9
from killvxk/cybersecurity-skills-zh

监控域名、社交媒体、移动应用和暗网渠道中的品牌仿冒攻击,检测针对组织的网络钓鱼活动、虚假站点和未授权品牌使用行为。

implementing-security-monitoring-with-datadog

9
from killvxk/cybersecurity-skills-zh

使用 Datadog 的云安全信息和事件管理(Cloud SIEM)、日志分析和威胁检测能力实施安全监控,识别并响应整个云基础设施中的安全事件。

implementing-privileged-session-monitoring

9
from killvxk/cybersecurity-skills-zh

监控和审计特权用户会话,包括 SSH、RDP 和数据库访问。 跟踪会话元数据、记录命令执行、检测异常活动, 并为 PAM 合规性执行会话策略。

implementing-osquery-for-endpoint-monitoring

9
from killvxk/cybersecurity-skills-zh

部署 osquery 计划查询进行持续终端监控,涵盖进程清单、网络连接、文件完整性和持久化机制。 生成包含查询包的 osquery.conf,配置差异结果日志记录,并分析查询结果以检测 可疑进程、未授权监听端口和系统目录中的文件修改。

implementing-file-integrity-monitoring-with-aide

9
from killvxk/cybersecurity-skills-zh

配置 AIDE(高级入侵检测环境)进行文件完整性监控,包括基线创建、定期完整性检查、变更检测和告警

implementing-dragos-platform-for-ot-monitoring

9
from killvxk/cybersecurity-skills-zh

为OT网络监控部署和配置Dragos平台,利用其600+工业协议解析器、情报驱动的威胁检测分析和资产可见性能力,保护ICS环境免受VOLTZITE、GRAPHITE和BAUXITE等威胁组织的攻击。

deploying-osquery-for-endpoint-monitoring

9
from killvxk/cybersecurity-skills-zh

部署和配置 osquery,使用基于 SQL 的查询对运行进程、开放端口、已安装软件和系统配置进行实时端点监控。 适用于构建端点状态可见性、跨部署范围进行威胁狩猎或实施合规监控的场景。

configuring-suricata-for-network-monitoring

9
from killvxk/cybersecurity-skills-zh

部署和配置 Suricata IDS/IPS,使用 Emerging Threats 规则集、EVE JSON 日志记录和自定义规则, 进行实时网络流量检测(intrusion detection)、威胁检测,并与 SIEM 平台集成实现集中化安全监控。

triaging-vulnerabilities-with-ssvc-framework

9
from killvxk/cybersecurity-skills-zh

使用 CISA 的利益相关方特定漏洞分类(SSVC)决策树框架对漏洞进行分类和优先排序,产出可操作的修复优先级:Track、Track*、Attend 或 Act。

triaging-security-incident

9
from killvxk/cybersecurity-skills-zh

使用 NIST SP 800-61r3 和 SANS PICERL 框架对安全事件进行初始分类,确定严重性、范围和所需响应行动。 按类型对事件分类,根据业务影响分配优先级,并路由到相应的响应团队。适用于事件分类、 安全告警分类、严重性评估、事件优先级排序或初始事件分析等请求场景。