performing-dark-web-monitoring-for-threats
暗网威胁监控涉及系统性扫描 Tor 隐藏服务、地下论坛、粘贴站点和暗网市场,以识别针对组织的威胁,包括泄露凭据、数据泄露、威胁行为者讨论、漏洞利用工具和预谋攻击。
Best use case
performing-dark-web-monitoring-for-threats is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
暗网威胁监控涉及系统性扫描 Tor 隐藏服务、地下论坛、粘贴站点和暗网市场,以识别针对组织的威胁,包括泄露凭据、数据泄露、威胁行为者讨论、漏洞利用工具和预谋攻击。
Teams using performing-dark-web-monitoring-for-threats should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/performing-dark-web-monitoring-for-threats/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How performing-dark-web-monitoring-for-threats Compares
| Feature / Agent | performing-dark-web-monitoring-for-threats | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
暗网威胁监控涉及系统性扫描 Tor 隐藏服务、地下论坛、粘贴站点和暗网市场,以识别针对组织的威胁,包括泄露凭据、数据泄露、威胁行为者讨论、漏洞利用工具和预谋攻击。
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 执行暗网威胁监控
## 概述
暗网威胁监控涉及系统性扫描 Tor 隐藏服务、地下论坛、粘贴站点和暗网市场,以识别针对组织的威胁,包括泄露凭据、数据泄露、威胁行为者讨论、漏洞利用工具和预谋攻击。本技能涵盖搭建监控基础设施、使用基于 Tor 的收集工具、为品牌提及和凭据泄露实现自动告警,以及分析暗网情报以获取可操作的威胁指标。
## 前置条件
- Tor Browser 和 Tor 代理(SOCKS5,端口 9050)
- Python 3.9+,安装 `requests`、`stem`、`beautifulsoup4`、`stix2` 库
- 了解 Tor 隐藏服务架构(.onion 域)
- 暗网监控服务 API 访问权限(Flare、SpyCloud、DarkOwl、Intel 471)
- 了解暗网研究的法律和道德边界
- 用于暗网浏览的隔离 VM(避免个人或企业身份泄露)
## 核心概念
### 暗网情报来源
- **地下论坛**:威胁行为者讨论 TTP、出售漏洞利用程序和共享工具的黑客论坛
- **粘贴站点**:用于共享被盗数据、凭据和代码片段的平台
- **市场**:出售被盗数据、RaaS、漏洞利用套件和访问权限的暗网市场
- **Telegram/Discord**:网络犯罪团伙的替代通信渠道
- **勒索软件泄露站点**:勒索软件组织发布受害者被盗数据的博客
### 收集方法
- **自动化爬取**:扫描隐藏服务的基于 Tor 的网络爬虫
- **基于 API 的监控**:商业暗网监控 API(Flare、DarkOwl、Intel 471)
- **手动人力情报**:分析师主导的特定论坛和市场研究
- **凭据监控**:泄露数据库和粘贴站点监控,检测泄露凭据
### 暗网研究的操作安全
- 使用专用 VM,不保留个人数据
- 所有流量通过 Tor 路由(推荐使用 Whonix 或 Tails)
- 切勿使用个人账号或可识别信息
- 论坛注册使用独立的电子邮件地址和化名
- 在 Tor Browser 中禁用 JavaScript 以增强安全性
- 切勿在生产系统上下载或执行来自暗网来源的文件
## 操作步骤
### 步骤 1:搭建基于 Tor 的 HTTP 客户端
```python
import requests
from requests.adapters import HTTPAdapter
def create_tor_session():
"""创建通过 Tor SOCKS5 代理路由的 requests 会话。"""
session = requests.Session()
session.proxies = {
"http": "socks5h://127.0.0.1:9050",
"https": "socks5h://127.0.0.1:9050",
}
session.headers.update({
"User-Agent": "Mozilla/5.0 (Windows NT 10.0; rv:109.0) Gecko/20100101 Firefox/115.0",
})
return session
def verify_tor_connection(session):
"""验证流量是否通过 Tor 路由。"""
try:
resp = session.get("https://check.torproject.org/api/ip", timeout=30)
data = resp.json()
return {
"is_tor": data.get("IsTor", False),
"ip": data.get("IP", ""),
}
except Exception as e:
return {"error": str(e)}
```
### 步骤 2:监控粘贴站点上的凭据泄露
```python
import re
from datetime import datetime
def monitor_paste_sites(session, organization_domains):
"""监控粘贴站点,查找与组织域名匹配的泄露凭据。"""
findings = []
# 检查 Have I Been Pwned API(明网)
for domain in organization_domains:
try:
resp = requests.get(
f"https://haveibeenpwned.com/api/v3/breaches",
headers={"hibp-api-key": "YOUR_HIBP_KEY"},
timeout=30,
)
if resp.status_code == 200:
breaches = resp.json()
for breach in breaches:
if domain.lower() in breach.get("Domain", "").lower():
findings.append({
"source": "HIBP",
"breach_name": breach["Name"],
"breach_date": breach.get("BreachDate"),
"data_classes": breach.get("DataClasses", []),
"pwn_count": breach.get("PwnCount", 0),
"domain": domain,
})
except Exception as e:
print(f"[-] {domain} 的 HIBP 查询出错:{e}")
return findings
def search_for_keywords(session, keywords, onion_paste_urls):
"""在暗网粘贴站点中搜索特定关键词。"""
results = []
for paste_url in onion_paste_urls:
try:
resp = session.get(paste_url, timeout=60)
if resp.status_code == 200:
content = resp.text.lower()
for keyword in keywords:
if keyword.lower() in content:
results.append({
"url": paste_url,
"keyword": keyword,
"timestamp": datetime.utcnow().isoformat(),
"snippet": extract_context(content, keyword.lower()),
})
except Exception as e:
print(f"[-] 获取 {paste_url} 时出错:{e}")
return results
def extract_context(text, keyword, context_chars=200):
"""提取关键词匹配周围的文本上下文。"""
idx = text.find(keyword)
if idx == -1:
return ""
start = max(0, idx - context_chars)
end = min(len(text), idx + len(keyword) + context_chars)
return text[start:end]
```
### 步骤 3:监控勒索软件泄露站点
```python
def check_ransomware_leak_sites(session, organization_name):
"""检查已知勒索软件组织泄露站点是否有组织提及。"""
# 使用 Ransomwatch API(勒索软件泄露站点的明网聚合器)
try:
resp = requests.get(
"https://raw.githubusercontent.com/joshhighet/ransomwatch/main/posts.json",
timeout=30,
)
if resp.status_code == 200:
posts = resp.json()
matches = []
for post in posts:
post_title = post.get("post_title", "").lower()
if organization_name.lower() in post_title:
matches.append({
"group": post.get("group_name", ""),
"title": post.get("post_title", ""),
"discovered": post.get("discovered", ""),
"url": post.get("post_url", ""),
})
return matches
except Exception as e:
print(f"[-] Ransomwatch 查询出错:{e}")
return []
```
### 步骤 4:生成暗网情报报告
```python
def generate_dark_web_report(findings, organization):
"""生成结构化暗网情报报告。"""
report = {
"organization": organization,
"report_date": datetime.utcnow().isoformat(),
"executive_summary": "",
"credential_leaks": [],
"ransomware_mentions": [],
"dark_web_mentions": [],
"recommendations": [],
}
for finding in findings:
if finding.get("source") == "HIBP":
report["credential_leaks"].append(finding)
elif finding.get("group"):
report["ransomware_mentions"].append(finding)
else:
report["dark_web_mentions"].append(finding)
# 生成执行摘要
cred_count = len(report["credential_leaks"])
ransom_count = len(report["ransomware_mentions"])
report["executive_summary"] = (
f"监控发现 {organization} 存在 {cred_count} 个凭据泄露来源"
f"和 {ransom_count} 个勒索软件组织提及。"
)
if ransom_count > 0:
report["recommendations"].append(
"严重:组织在勒索软件泄露站点被提及。"
"立即启动事件响应。"
)
if cred_count > 0:
report["recommendations"].append(
"高危:检测到泄露凭据。强制受影响账户重置密码"
"并启用 MFA。"
)
return report
```
## 验收标准
- Tor 连接已建立并通过 check.torproject.org 验证
- 凭据泄露监控从 HIBP 和粘贴站点返回结果
- 勒索软件泄露站点监控识别相关提及
- 暗网情报报告生成并含可操作建议
- 所有监控在法律和道德范围内执行
- 维护操作安全:无个人或企业身份暴露
## 参考资料
- [Tor 项目](https://www.torproject.org/)
- [Have I Been Pwned API](https://haveibeenpwned.com/API/v3)
- [Ransomwatch](https://github.com/joshhighet/ransomwatch)
- [DarkOwl](https://www.darkowl.com/)
- [Intel 471](https://intel471.com/)
- [Flare Systems](https://flare.io/)Related Skills
performing-yara-rule-development-for-detection
通过识别可执行文件中的唯一字节模式、字符串和行为指标,开发精准的 YARA 恶意软件检测规则,同时将误报率降至最低。
performing-wireless-security-assessment-with-kismet
使用 Kismet 通过被动射频监控进行无线网络安全评估,检测流氓接入点(Rogue AP)、隐藏 SSID、弱加密和未授权客户端。
performing-wireless-network-penetration-test
执行无线网络渗透测试,通过捕获握手包、破解 WPA2/WPA3 密钥、检测流氓接入点以及使用 Aircrack-ng 和相关工具测试无线网络分段,评估 WiFi 安全性。
performing-windows-artifact-analysis-with-eric-zimmerman-tools
使用 Eric Zimmerman 的开源 EZ Tools 套件(包括 KAPE、MFTECmd、PECmd、LECmd、JLECmd 和 Timeline Explorer)执行全面的 Windows 取证制品分析,解析注册表 hive、预取文件、事件日志和文件系统元数据。
performing-wifi-password-cracking-with-aircrack
在授权无线安全评估中捕获 WPA/WPA2 握手包,并使用 aircrack-ng、hashcat 和字典攻击进行离线密码破解, 以评估密码短语强度和无线网络安全状况。
performing-web-cache-poisoning-attack
在授权安全测试期间,通过未纳入缓存键的头部和参数毒化缓存响应,利用 Web 缓存机制向其他用户投递恶意内容。
performing-web-cache-deception-attack
通过利用 CDN 缓存层与源服务器之间的路径规范化差异,执行 Web 缓存欺骗攻击,从而缓存并获取敏感的已认证内容。
performing-web-application-vulnerability-triage
使用 OWASP 风险评级方法论对 DAST/SAST 扫描器的 Web 应用程序漏洞发现进行分类,区分真阳性和假阳性,并确定修复优先级。
performing-web-application-scanning-with-nikto
Nikto 是一款开源 Web 服务器和 Web 应用程序扫描器,可针对超过 7,000 个潜在危险文件/程序进行测试,检查超过 1,250 个服务器的过期版本,并识别超过 270 个服务器的版本特定问题。
performing-web-application-penetration-test
遵循 OWASP Web 安全测试指南(WSTG)方法论,对 Web 应用程序执行系统化安全测试,识别认证、授权、 输入验证、会话管理和业务逻辑中的漏洞。测试人员以 Burp Suite 作为主要拦截代理,结合手动测试技术 发现自动化扫描器遗漏的缺陷。适用于 Web 应用渗透测试、OWASP 测试、应用安全评估或 Web 漏洞测试等请求场景。
performing-web-application-firewall-bypass
使用编码技术、HTTP 方法操控、参数污染和载荷混淆绕过 Web 应用防火墙保护,将 SQL 注入、XSS 及其他攻击载荷穿透 WAF 检测规则。
performing-vulnerability-scanning-with-nessus
使用 Tenable Nessus 执行认证和未认证漏洞扫描,识别网络基础设施、服务器和应用程序中的已知漏洞、 错误配置、默认凭据和缺失补丁。扫描器将发现与 CVE 数据库和 CVSS 评分关联,生成优先级修复指导。 适用于漏洞扫描、Nessus 评估、补丁合规检查或自动化漏洞检测等请求场景。