1 什么是暗网

暗网英文名称为“Deep Web”，是与公众可访问的因特网相对而言的，暗网中的资源无法被搜索引擎收录，Tor（The Onion Router，洋葱路由器）是目前访问暗网最流行的手段。

Tor网络由已经安装了Tor软件的电脑连接而成。Tor网络之所以被称为onion，是因为它的结构和洋葱类似，从外面只能看出它的外表，而想要看到核心，就必须把它层层的剥开。Tor网络中每个路由器间的传输都经过点对点密钥（symmetric key）来加密，从而形成有层次的结构。

2 暗网为什么可以匿名和反追踪

假设一个用户想匿名浏览“百度”首页，在Tor网络中，他的计算机将把Web请求包裹在几层加密中随机发送到另一个安装了Tor的电脑，这台电脑被称为guard，guard在剥离掉当前第一层加密后将继续随机转发至网络中的另一台计算机，之后的计算机再剥离一层然后转发，如此循环往复。

整个链中的最后一台计算机，被称为出口节点（exit node），出口节点剥离最后一层加密后，露出请求的真正终点，即“百度”首页地址。在这次访问中，第一台计算机知道发送者的网络地址，出口节点知道目标站点的网络地址，但在该链中没有一台电脑知道完整的信息。这个经过层层加密的路由方案，就是Tor。

用 Tor 创建一条私有网络路径时，用户的软件或客户端通过网络上的中继递增地建立一条由若干加密连接组成的环路（circuit）。环路一次扩展一跳（hop），环路上的中继仅仅知道它从哪一个中继接收数据以及向哪一个中继发送数据。没有一台单独的中继会知道数据包的完整路径。客户端与环路上的每一跳都协商一组独立的密钥，这样可以保证数据通过任何一跳时都无法被跟踪。

3 WannaCrypt是如何使用Tor躲避追查的

我们来看一下，这次WannaCrypt勒索蠕虫后面的犯罪团伙是如何使用Tor来隐藏自己的。

通过我们的分析，WannaCrypt运行后会在C:\windows目录下（win7环境）释放名为tasksche.exe的可执行程序，该程序为勒索程序，它负责对磁盘文件加密，该程序执行后就会出现我们出现熟悉的勒索界面：

在样本释放的的文件列表中，有一堆后缀名为“wnry”的文件和文件夹，在TaskData目录下我们发现了Tor相关的客户端程序：

这个tor客户端程序被用来和暗网中的服务器进行通信，通信的服务器配置列表在c.wnry里：

暗网服务器列表如下：

gx7ekbenv2riucmf.onion

57g7spgrzlojinas.onion

xxlvbrloxvriy2c5.onion

76jdd2ir2embyv47.onion

cwwnhwhlz52maqm7.onion

那么这些暗网中的服务器在本次勒索事件中起到了什么作用呢？在上面的勒索软件界面上有个“Decrypt”按钮，点击后，我们发现可以解密部分文件，但仅能解密少量文件：

经分析，WannaCrypt在本地存有解密密钥，但该密钥仅仅能解密少量文件，如果用户想要解密全部文件，则需要支付费用来获得解密私钥。经分析发现，付费私钥是由隐匿在Tor网络的服务器下发，因此上述服务器便是隐匿在暗网中用于下发付费解密私钥的服务器。

下面我们整理了WannaCrypt解密的过程：

以下是CheckPayment后截获的勒索软件与暗网中服务器网络通信的部分报文，可以看到通信的服务器是gx7ekbenv2riucmf.onion。

可以看到，在这次勒索事件中，密钥服务器是勒索流程中非常重要的角色，犯罪团伙为了逃避追溯和打击，选择将服务器部署于暗网，并用Tor客户端与其通信。

4 网络犯罪还可以用Tor来做什么？

利用Tor构建僵尸网络：

僵尸网络的运营者可以把C&C服务部署在Tor网络中以实现隐藏C&C服务器的目的。这类僵尸网络在投递的恶意程序中会包含Tor组件程序，受感染的僵尸主机通过Tor与C&C服务器通信，控制者通过Tor网络内的C&C服务器来对僵尸主机进行控制：

基于Tor构建僵尸网络，控制者身份不易被追踪和暴露，且C&C服务器也不会被暴露，几乎可以免除被关闭的风险。

利用Tor进行敲诈勒索：

勒索软件主要分为加密型勒索软件和锁定型勒索软件。加密型勒索软件主要是感染目标设备后通过强大的加密算法将用户文件、磁盘、数据库进行加密，而锁定型勒索软件主要通过感染目标设备后篡改设备密码将设备锁定，使得用户无法正常使用。

勒索软件经常使用Tor网络在本地进行控制和支付。在本地进行控制时与僵尸网络的场景类似，通常把服务器放置在Tor网络内隐藏；而在勒索支付阶段则使用Tor网络提供支付比特币赎金地址，例如勒索软件CryptoWall3.0和PETYA ransomware，在其勒索信息里会包含一条以“.onion”结尾的链接地址，告知用户交易地址，这样很难被追踪：