Tor出力ノードをアンロードし、結果のコンテンツを分析します

「ネットワークオーバーネットワーク」の概念は昨日は現れませんでした。 過去10年半ばに、「Hacker」はTorとI2Pに直面してタマネギとニンニクのルーティングについて書き、「Sharwarez」セクションで対応するソフトウェアのレビューを公開しましたが、最近の有名な情報ラインと注目の啓示を受けて、それらに対する本当の関心が一般に現れました。 ダークネットとは何ですか？ 誰がそこに住んでいますか？ 彼らは何に興味があり、何を呼吸していて、何を買って、何を売っていますか？ ハッカーの方法でこれに対処してみましょう：スニファーと直接没入を使用します。

警告

すべての情報は情報提供のみを目的として提供されています。 編集者も著者も、この記事の資料によって引き起こされる可能性のある損害について責任を負いません。

オニオンドメイン監視システム

ネットワークの各レジデントは、ノードクライアントを編成するためのコンピューティングリソースを提供できます。ノードサーバーは、ネットワーククライアントの情報交換の仲介役として機能するネットワークのノード要素です。 このダークネットには2つのタイプのノードがあります：中間ノードと出力（いわゆる出口ノード）。 後者はトラフィック復号化操作の極端なリンクです。つまり、エンドポイントを表し、興味深い情報の漏洩のチャネルになる可能性があります。



私たちのタスクは非常に具体的です。既存の、そして最も重要なことには、関連するタマネギ資源を収集する必要があります。 同時に、内部検索エンジンとサイトディレクトリを完全に信頼することはできません。なぜなら、それらに含まれる情報の関連性とその完全性には、多くの要望が残っているからです。



ただし、関連サイトの集約の問題に対する解決策は表面にあります。 最近アクセスしたタマネギリソースのリストを作成するには、それらにアクセスした事実を追跡する必要があります。 既に述べたように、出口ノードは暗号化されたパケットのパス上のエンドポイントです。つまり、「従来のWeb」でサーフィンしているユーザーのTor / HTTP / HTTPSプロトコルのパケットを自由に傍受できます。



HTTPパケットには、以前にアクセスしたリソースに関する情報が含まれることがあります。 データはリファラーリクエストのヘッダーにあり、リクエストソースのURLが含まれている場合があります。 「従来のウェブ」では、この情報は、ウェブマスターが、制御されたウェブリソースのユーザーが検索エンジンからどのクエリにアクセスするかを判断するのに役立ちます。



私たちの場合、文字列のタマネギを含む正規表現で、傍受したトラフィックのダンプを調べるだけで十分です。

パッシブモニタリングシステム

出口ノードの構成については非常に多くの記事が書かれているため、ここでは出力ノードの構成プロセスに焦点を当てず、最も重要なもののみを取り上げます。



最初に、torrc設定ファイルで、すべてのポートでトラフィックを送信できるようにするExit Policyを設定する必要があります。 この設定は、ある種の魔法の操作ではなく、重要なポートで何か面白いものを「見る」だけの希望を与えます。

>> ExitPolicy accept *:*
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ニックネームフィールドには意味がありません。したがって、この場合の唯一の推奨事項は、原因となるノード名（たとえば、WeAreCapturingYourTraffic）を使用せず、同様のノードのネットワーク全体を示唆する番号（たとえば、NodeNumber3）を使用しないことです。



Torサーバーを起動した後、ディレクトリサーバーに座標をアップロードする手順が完了するのを待つ必要があります。これは、ノードがダークネットのすべての参加者に対して「宣言」するのに役立ちます。



出力ノードを上げて、Torユーザーのトラフィックを既に通過させ始めた後、パケットスニファーを実行し、通過するトラフィックをキャッチする必要があります。 この例では、tsharkはスニファーとして機能し、インターフェース＃1をリッスンし（Torがハングします）、dump.pcapにダンプを追加します。

 >>tshark -i 1 -w dump.pcap
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

説明されているすべてのアクションは、より多くの興味深い情報を収集するために、できるだけ多くのサーバーに対して実行する必要があります。 ダンプは非常に急速に成長しているため、分析のために定期的に取得する必要があることに注意してください。

マルバーとダークネット

ますます多くのマルウェア（モバイルおよびデスクトップのトロイの木馬）は、TorにあるC＆Cサーバーと連携できます。 ボットネット管理の従来のアプローチと比較した場合の利点は明らかです。ドメインをプロバイダーのブラックリストに入れることを心配する必要はありません。サーバー



そのため、Torと最初に連携したのは、銀行のトロイの木馬ZeuSでした。その開発者は、マルウェアと一緒にtor.exeユーティリティをプルしました。 これをsvchost.exeプロセスに導入することにより、悪役は頭脳とコマンドサーバーとの安全な接続を開始しました。 理由は明らかです-誰かが実行してサーバーの電源を切るか、さらに悪いことに、それを内部で使用する可能性はほとんどありません。



Torボットネットの登場から6か月後、オニオンドメインを操作する機能がモバイルトロイの木馬に実装され始め、ウイルス作成者は完全に既製のTorクライアントの使用を停止し、実装を実装し、既存のソリューションを変更しています。



したがって、現時点で多くのタマネギドメインは、特定のボットネットを管理する手段にすぎません。

ボットネットの1つの管理パネル





モバイルマルウェアの1つのソースコードフラグメント

アクティブシステム

パッシブモニタリングシステムの機能中に得られた結果に移る前に、アクティブシステムの概念について説明します。 これまで、出力Torノードを通過するデータを傍受するという考えは空中にありました。 この場合、システムには情報を収集するという受動的な概念があり、そのオペレーターは「ネットワーク」に分類される結果に満足することを余儀なくされます。 ただし、アクティブな監視システムの概念を使用して収集すると、ダークネットの内部リソースに関するより多くの情報を取得できます。



出口ノードを介した外部インターネットリソースとの通常の情報交換の前提条件は、Webサーバーからの応答の存在です。これは、出力ノードが必ずTorユーザーに配信する必要があります。 それ以外の場合、応答しないWebサーバーへの要求のみがノードを通過する場合、DDoS攻撃があると結論付けることができます。



アクティブシステムの主な本質は、MITM攻撃を組織化する可能性です。ユーザーが私たちが制御するWebリソースにリダイレクトするか、応答コンテンツにコードを追加して、クライアントのブラウザーからの情報の漏洩を引き起こします。



ユーザーの匿名化のトピックとそのテクニックの説明には別の記事が必要ですが、多くのテクニックが関連リソースに関する情報の取得に役立つと結論付けることができます。 このタスクは簡単ではなく、その解決策にアプローチする方法はさまざまです。



この場合、それはすべて出口ノードの所有者の想像力に依存します。 たとえば、ソーシャルエンジニアリングの手法を使用して、（要求されたリソースの管理に代わって）ダークネットの住民に挑発し、自分自身と訪問したリソースに関する情報を送信できます。 別の方法として、被害者の側に何らかの「ペイロード」をロードしようとすることができます。





機能しているプロセスの終了ノード





Tsharkは、出口ノードを通過するパケットをクリアテキストでキャッチします



従来のWebテクノロジーもこのタスクに役立ちます。 たとえば、Webサイトの所有者が訪問者に関する統計情報を取得するために使用するCookie。 Cookieの有効期間は限られていることに注意してください。また、ユーザーはいつでも削除できます。 このため、開発者は、Cookieに保存される情報の有効期間と量を増やすために、さまざまなトリックを使用します。



1つの方法は、フラッシュストレージを使用することです。この場合、情報はローカル共有オブジェクト（LSO）に格納されます。LSOは、Cookieに似ており、ユーザーのコンピューターにもローカルに格納されます。 さらに、Cookieを操作するためのさらに強力なツール、evercookie JavaScriptライブラリがあります。 このライブラリは、従来のHTTP Cookie、LSOファイル、およびHTML5タグを同時に使用して、削除が困難なCookieを作成する機能を提供します。 そして、これらの情報はすべて、アクティブな監視システムによって抽出できます。

ダークネットヒーローズ

ザッカーバーグと彼のFacebookのように、ダークネットにはヒーローがいます。 雑誌のページで、ロスウィリアムウルブリヒトと彼のプロジェクトSilk Roadについて読むことができます。その訪問者は、ドラッグから武器まで、「次の世界への配送手段」を注文できます。 彼のビジネスの規模はプロジェクトに人気をもたらしましたが、これはそのサイトが一種のものであったという意味ではありません。 雨が降った後のキノコのように、シルクロードの閉鎖が発表されるたびに、違法物質を販売する小さな店の形で選択肢が現れました。 さらに、「シルク」の経験から学んだアナキスト開発者のグループは、従来のダークネットストアに固有の欠点のないDarkMarketストアコンセプトを提示しました。 ただし、この分散型サイトはまだ視聴者を獲得しておらず、Torユーザーの大部分が既に既存のサイトのエコシステムに貢献しています。

ダークウェブスパイダー

したがって、自由に巨大なダンプを取得したら、タマネギのリソースについて分析を開始する必要があります。 対角線ダンプの大まかな読み取りにより、ダークネットWebアプリケーションのカテゴリを編集し、典型的なTorユーザーの心理的な肖像を表示することができました。





ログインしたタマネギのリソースの例



1日（平日）連続したトラフィックの傍受では、1つのノードのダンプが3 GBに増加することに注意してください。 そのため、単にWiresharkで開くだけではうまくいきません。プログラムは単純にこのような大きなファイルを停止します。 ダンプを分析するには、サイズが200 MB以下のファイルに分割する必要があります（経験的に決定）。 これを行うために、Wiresharkにはeditcapユーティリティが付属しています。

 >> editcap -c 200000 input.pcap output.pcap
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

この場合、200,000の値は、1つのファイル内のパケット数です。



ダンプを分析するときのタスクは、サブストリング「.onion」を含むストリングを見つけることです。 高い確率で、Torの内部リソースが見つかります。





Referentrコンテンツヘッダーの例



それでは、darknetユーザーは何に興味がありますか？ ネットワークに入ったタマネギのリソースのうち、小さなリストを作成しました。

成人向けの親密なサービス。

多くのポルノ、簡単な美徳の女の子とのリソース、および外部ネットワークとダークネット内の両方で「物理的」特性を高めるためのあらゆる種類のフォーラムがあります。 彼らが言うように、コメントはありません。





親密なリソース

政治。

ここで彼らは政治にも興味があることがわかりました！ ダンプには、外部ネットワーク上にあるかなり多数のウクライナのWebリソースが見つかりました。

禁止されているコンテンツ。

禁止されているデバイス（爆弾）の設計について、あらゆる種類の資料が積極的に訪問されました。 論理的に：まれな個人が、ダークネットの古典的な外部Webリソースをサーフィンします。

市場

典型的なダークマーケット製品カタログ



DarknetとそのWebリソースは、あらゆる種類の違法商品の真のバザーです。 麻薬および武器市場の豊富さは、外部インターネットリソースからダークネットへのリンクの形だけでなく、Torユーザーのリファラーの見出しにも現れています。



これらのリソースは、さまざまな種類の化合物だけでなく、Breaking Badシリーズのファン（自分の手で薬を作るのが好きな人）のための材料も提供しています。 さらに、そのようなサイトの作成者は顧客にAliExpressほど悪いサービスを提供しません-通常の顧客には割引のシステムがあり、低品質の商品には払い戻しがあります。 注文ステータスを追跡するためのトランザクションコードもあります。



古典的なダークネット市場を訪れてみましょう。 ユーザー名とパスワードのみを求められる簡単な登録手順の後、「暗号通貨」アカウントのコントロールパネルに表示されます。 市場のインターフェースは、ユーザーが外部のコントロールに邪魔されないように設計されており、あらゆる種類の「nishtyak」の豊富なオファーを楽しんでいます。

注意ビッグデータ

連続的なトラフィック傍受から24時間以内に、出力ノードで3 GBのダンプが形成されます。

原価計算：

10ノード×3 GB×7日= = 210 GB。 蓄積された情報の分析プロセスに参加したい場合は、メールで私に連絡してください。

麻薬性物質、処方箋、およびいくつかの抽象的な「デジタル商品」のカテゴリで、最も多くの職位が認められています。こちらをご覧ください。 価格の降順で並べ替えると、このカテゴリで最も高価な商品が盗まれたアカウントデータベースであることがわかります。 選択肢はたくさんあります。高価な銀行口座（データベースのコストは約1000ドル）から、最近リークされたオンラインサービスのデータベースまで。



ちなみに、「流出した」YahooおよびGoogleアカウントについては非常に好意的なレビューがあります。つまり、それらを購入した人は情報セキュリティの問題に関して無能です。 他のリソース、疑わしくて「インターネットでお金を稼ぐ秘密の方法」への招待-これらはすべて十分に収益化されています。





デジタルグッズの高価な代表者



別の市場では、疑わしいインターフェイスと同じカテゴリのDigital Goodsが見つかりました。このカテゴリには、0dayという興味深い名前のサブカテゴリがありました。同じ「新しい秘密のレシピ」がありました。 結論：従来の暗い市場には実際にサイバー犯罪者の申し出はありません。





これが「zirodei」です...



一部の大規模なサイトでは、見つかった脆弱性に対する報酬プログラムが存在することに注意してください（バグバウンティ）。



確かに、レポートの品質はありません。ほとんどの場合、「バグ」は本質的に視覚的なものです。 さらに、ストアフォーラムには、「iPadからあなたから薬を購入しても匿名ですか？」というメッセージがいっぱいです。



ゴミと洪水の中には、マネーロンダリングの提案があります。 サービスの説明にあるように、ユーザーはビットコインを転送し、少数のサービス所有者がこのお金を多くの制御されたウォレットに分配し、それにより多くのトランザクションを開始します。





デジタルグッズのフィードバック：慎重に、詐欺師に！



インターネット上で自分の市場を上げたいが、インターネット上でウェブアプリケーションを開発する過程で何も理解していない人のために、まさにそのようなサービスに特化した開発者のグループが形成されます。



ダークネット用のリソースを開発するコストは、一般的なオンラインストアの市場価格と大差はありませんが、ここには特殊性があります。 たとえば、これらの開発者への支払いは、暗号通貨のみで行われます。





Darknet Webアプリケーション開発者サービス

閉じたリソース

かなり頻繁に、私たちは普通の訪問者の目に閉ざされたさまざまなリソースに出会いました。 背後に隠されたコンテンツについてのみ推測できます。これは別のフォーラムまたは市場である可能性があり、これはボットネットの管理パネルである可能性があります。 非常にまれに、閉じたリソースが名前とパスワードを要求しました。多くの場合、404エラーが発生しましたが、同時に、Webリソーススクリプトの最近のクリックがログに記録されました。

エクスプロイト、トロイの木馬

ログには、この主題の単一のリソースはありませんでした。 ただし、「情報セキュリティの専門家の閉じたコミュニティ」の代表者がこの状況についてコメントする方法は次のとおりです。

「Darknet全般、特にTorは、標準のサイバー犯罪ビジネスプロセスに変更を加えていません。 マルウェアが販売されたサイト、脆弱性のエクスプロイト、スプリットパックなどは、外部ネットワークに残りました。 暗闇の中に行く必要は全くありません-これは溶剤の観客と顧客を遮断し、サービスを複雑にします。 マルウェア開発者は、顧客とのコミュニケーションを可能な限り簡素化したいと考えており、このプロセスではTorは不便で疑わしいツールです。 機能の観点からのみ、malvari darknetはボットネット管理パネルを保持するための良い方法です。 カーディングサイトに関しては、カーダーは非常に貪欲で怠け者です。 Webエンジンの標準ツールを使用してコンテンツへのアクセスを制限するのに十分な場合、なぜダークネットに入るのですか？ または、フォーラムに参加するための会費を紹介しますか？ ゼロデイ脆弱性は、ダークネットだけでなく、従来のWeb上の閉じた領域でも発見するのが困難です。 「エクスプロイトビルダーは特定の顧客と直接チームで作業するため、フォーラムをほとんど必要とせず、ダークネットサイトはほとんど必要ありません。」

閉鎖区域の例



Torタマネギリソース内の「グーグル」プロセスにより、ZeuSバンキングトロイの木馬の売り手にいくつかのリンクが与えられましたが、これらのリンクはすべて、トロイの木馬とともに薬物などを販売する大きな市場内にありました。

Torだけではない

ダークネットの技術的本質は、IPプロトコルの上で機能する追加のネットワークレイヤーを整理することにあります。 これにより、匿名データ転送（Tor）を実行でき、場合によっては、Webアプリケーション（I2P）を匿名でホストできます。

Torは情報交換の参加者の匿名性を維持することに重点を置いており、I2PとFreenetは匿名ホスティングの実装により適していることに注意してください。 ダークネットコンテンツのディガーは、これが実際の「静かなプール」であるため、I2Pおよび小規模な匿名ピアツーピアネットワークFreenetによって無視できません。

I2P

I2P Javaクライアントをインストールすると、ローカルサイトのスタブが127.0.0.1:7658ページに表示されます。 このサイトがこのダークネットのすべての参加者に見えるようにするには、トンネルを設定する必要があります。 Base64文字列を表す識別子は、ネットワーク内のアドレス指定に使用されます。 読みにくい識別子とプロジェクトの一意の名前（project.i2pなど）を比較するには、この識別子のドメイン名を登録する必要があります。 ドメインネームシステムがなくても気にしないでください。それ自体はネットワークの運用における「ボトルネック」になるため、存在しません。つまり、送信される情報の安全性を脅かすからです。



DNSは、分散ハッシュテーブルストレージシステムとして実装されます。 一意のアドレスが作成されたら（その一意性により内部サービスを検証できます）、プロジェクトをアクティブ化できます。 プロジェクトに関する情報は、分散アドレスストレージに入力する必要があります。その後、すべてのネットワークユーザーに配布されます。 内部リソースに関する情報の収集を簡素化するのはこの事実です。

光出口

ダークネットでの絶対的な匿名性の主張を心に留めないでください。Torや同様のネットワークでの匿名性は、「隣人」の注意から自分を保護する他の手段の単なる代替であることがますます多くの研究で証明されています ダークネットは現在、アナキスト（および「デバイス」を増やしたい人）、麻薬中毒者の市場、および研究の分野にのみ希望を持っています。



パッシブモニタリングシステムを使用して、ダークネットのターゲットオーディエンスを特定し、実際のコンテンツを少し調べて、アクティブモニタリングシステムの開始点を見つけました。これにより、ダークネットに匿名性が存在するかどうかの質問にしっかりと答えることができます。

感謝の気持ち

記載されている監視システムの構成と管理の支援について、Amiran Gebenovに感謝します。

著者： デニス・マクルシン







2014年9月から最初にHacker誌に掲載されました。



ハッカーを購読する

• 紙版
• iOS / iPadのハッカー
• Androidのハッカー