Skill

monitoring-darkweb-sources

Monitors dark web forums, markets, paste sites, and ransomware leak sites for organization asset mentions, leaked credentials, threats, and actor communications. Use for OSINT, leak investigations, and threat intel enrichment.

Bash

security

monitoring

npx claudepluginhub killvxk/cybersecurity-skills-zh

Tool Access

This skill uses the workspace's default tool permissions.

Preview

在以下情况下使用本技能：

Supporting Assets

LICENSEreferences/api-reference.mdscripts/agent.py

SKILL.md

Similar Skills

monitoring-darkweb-sources

5.9k

Monitors dark web forums, paste sites, ransomware leaks for assets, credentials, threats. For OSINT coverage, breach claims, incident enrichment with threat intel.

3 files

cybersecurity-skills

monitoring-darkweb-sources

Monitors dark web forums, marketplaces, paste sites, and ransomware leaks for organizational assets, leaked credentials, threats, and actor communications. Useful for OSINT coverage, breach investigations, and incident enrichment.

asi

performing-dark-web-monitoring-for-threats

Monitors dark web threats like leaked credentials, data breaches, and actor discussions by scanning Tor services, forums, and paste sites with Python and Tor proxies.

7 files

cybersecurity-skills-zh

Stats

Stars10

Forks1

Last CommitMar 17, 2026

Actions

View Source View Plugin View on GitHub View README

Help us improve

Share bugs, ideas, or general feedback.

监控暗网来源

适用场景

在以下情况下使用本技能：

对暗网论坛上的组织域名、高管姓名和产品品牌建立持续监控
调查在勒索软件泄露站点或粘贴站点发现的数据泄露声明
用有关被盗凭据或计划攻击的背景信息丰富事件调查

请勿在没有适当操作安全措施的情况下使用本技能——在没有隔离的情况下浏览暗网会将分析师基础设施暴露给对手反情报。

前置条件

商业暗网监控服务（Recorded Future、Flashpoint、Intel 471 或 Cybersixgill）
隔离操作环境：在无持久存储的 VM 中运行的 Whonix OS 或 Tails OS
关键词观察列表：组织域名、关键高管姓名、产品名称、IP 范围、已知凭据
法律指导确认被动监控在您所在司法管辖区已获授权

工作流程

步骤 1：通过商业服务建立关键词监控

在您的 CTI 平台（例如 Recorded Future 暴露模块）中配置暗网监控关键词：

域名变体：company.com、@company.com、company[dot]com
高管姓名：CEO、CISO、CFO 全名
产品/品牌名称
内部代号或项目名称（如果怀疑泄露范围广泛）
凭据监控的已知电子邮件域

大多数商业服务（Flashpoint、Intel 471、Cybersixgill）在不暴露分析师的情况下爬取 XSS、Exploit[.]in、BreachForums 等论坛和俄语网络犯罪社区。

步骤 2：使用操作安全进行手动调查

对于需要直接访问暗网的调查：

环境设置：

使用专用物理机或隔离 VM（Whonix + VirtualBox）
仅通过 Tor Browser 连接——永远不要使用标准浏览器
使用与组织无关联的掩护身份
永远不要在暗网站点上使用真实凭据登录
在调查日志中记录所有会话及时间戳

粘贴站点监控（明网可访问，无需 Tor）：

# 通过 API 搜索粘贴站点
curl "https://psbdmp.ws/api/search/company.com" | jq '.data[].id'
curl "https://pastebin.com/search?q=company.com" # 限速公共搜索

步骤 3：调查勒索软件泄露站点

勒索软件组织维护 .onion 泄露站点。通过商业服务而非直接访问来监控这些站点。当出现针对您组织的声明时：

通过商业服务捕获截图证据（不要直接访问）
评估合法性：威胁行为者声称的数据是否与任何已知内部系统一致？
检查时间戳：此声明是近期还是历史的？
与该时期的任何已知安全事件或网络钓鱼活动交叉参考
如果声明看起来可信，在公开披露前联系 IR 团队

已知活跃勒索软件泄露站点运营者（截至 2025 年初）：LockBit（2024 年 2 月被打击）、ALPHV/BlackCat（2023 年 12 月被打击）、Cl0p、RansomHub、Play。

步骤 4：凭据暴露监控

对于泄露凭据监控：

Have I Been Pwned Enterprise：针对泄露数据集中凭据暴露的域级别通知
SpyCloud：商业凭据监控，从犯罪市场恢复防破解和明文密码
Flare Systems：针对凭据转储的粘贴站点和暗网市场的自动监控

当确认凭据暴露时：

立即强制受影响账户重置密码
检查凭据是否可以访问任何组织系统（SSO、VPN）
审查凭据暴露和检测之间的访问日志，查找未授权访问

步骤 5：记录并上报发现

对于每个暗网发现：

捕获证据（商业服务截图、粘贴站点存档）
分类严重性：P1（即时攻击威胁或活跃数据暴露）、P2（凭据暴露）、P3（一般提及）
在规定 SLA 内通知适当相关方
开立调查票据并链接到证据产物
对任何引用命名高管或具体攻击计划的发现应用 TLP:RED

核心概念

术语	定义
暗网（Dark Web）	Tor 可访问的隐藏服务（.onion 域），未被标准搜索引擎索引；托管合法和犯罪内容
粘贴站点（Paste Site）	明网文本共享站点（Pastebin、Ghostbin），常用于发布被盗数据或恶意软件配置
勒索软件泄露站点（Ransomware Leak Site）	勒索软件组织运营的 .onion 站点，发布受害者被盗数据作为勒索筹码
操作安全（OPSEC）	在暗网调查期间保护分析师身份和组织从属关系
凭据填充（Credential Stuffing）	对身份验证系统自动使用泄露的用户名/密码对
信息窃取器日志（Stealer Logs）	信息窃取恶意软件外泄的数据包，包含保存的浏览器凭据、Cookie 和会话令牌

工具与系统

Recorded Future 暗网模块：自动监控暗网来源，针对组织特定关键词发出告警
Flashpoint：暗网论坛监控，配合人力情报增强对犯罪社区背景的理解
Intel 471：闭源访问网络犯罪社区，提供威胁行为者的结构化情报
SpyCloud：凭据暴露监控，从犯罪市场捕获明文密码
Have I Been Pwned Enterprise：大规模凭据监控的域级泄露通知 API

常见陷阱

无操作安全的直接访问：在没有 Tor 和掩护身份的情况下访问暗网论坛，可能将分析师 IP、浏览器指纹和组织从属关系暴露给对手。
对未经验证的声明过度反应：勒索软件组织和论坛发帖者为勒索或声誉捏造攻击声明。在上报至事件响应前验证。
遗漏明网来源：大多数暗网情报计划遗漏在明网上运营并承载大量犯罪活动的 Telegram 频道、Discord 服务器和粘贴站点。
法律审查不足：暗网监控必须经过法律顾问审查——被动监控通常合法，但主动参与犯罪市场则不合法。
无证据保全：暗网内容消失迅速。使用商业服务导出，在发现后立即捕获带时间戳的证据。