Хакер - Де-onion. Как ловят администраторов сайтов в Tor

http://t.me/hacker_frei

moon

Содержание статьи

• Как работает Tor Network
• «Луковый» DNS
• Структура сайтов
• Теневая экономика
• Поисковики
• Ловушки
• Фингерпринтинг
• Анализ текста
• Краулеры, спайдеры, скреперы
• Форензика
• Выводы

В этой статье я рас­ска­жу о том, как вычис­ляют адми­нис­тра­торов ресур­сов в Tor Network, то есть в дар­кве­бе. Мы рас­смот­рим струк­туру сай­тов в Tor, обсу­дим извес­тные слу­чаи деано­на и мно­гие дру­гие осо­бен­ности это­го тем­ного угол­ка интерне­та, который счи­тает­ся ано­ним­ным. По ходу дела я буду рекомен­довать прог­раммы, которые помогут в работе.

Ду­маю, ты уже в кур­се, что сай­ты, адрес которых закан­чива­ется на .onion, — не прос­тые и без допол­нитель­ных уси­лий открыть их в обыч­ном бра­узе­ре не вый­дет. Так называ­емый дар­квеб сос­тоит из таких вот сай­тов. Очень час­то они пос­вящены тор­говле незакон­ными товара­ми и услу­гами. Конеч­но, ведь адми­нис­тра­торам этих сай­тов не при­ходит­ся запол­нять свои кон­так­тные дан­ные при регис­тра­ции, никакой цен­зуры нет, а «луковая» мар­шру­тиза­ция через череду прок­си‑сер­веров дол­жна обес­печивать ано­ним­ность.

Сай­ты в Tor Network не индекси­руют­ся обыч­ными поис­ковика­ми, зато сущес­тву­ют спе­циали­зиро­ван­ные поис­ковики, которые ищут толь­ко в Tor. В общем, как ты понял, это целый отдель­ный мир.

КАК РАБОТАЕТ TOR NETWORK

При обыч­ной пря­мой IP-мар­шру­тиза­ции все отно­ситель­но прос­то: один узел дела­ет зап­рос по какому‑то адре­су, дру­гой отве­чает на тот же адрес, с которо­го пос­тупил зап­рос. В луковой же мар­шру­тиза­ции любой зап­рос сна­чала про­ходит через три узла, называ­емых нодами Tor. По умол­чанию вход­ной и выход­ной узлы шиф­руют информа­цию так, что­бы она прош­ла через сле­дующий узел.

Иде­аль­ная защита от слеж­ки? Не сов­сем. Любой в теории может сде­лать свой компь­ютер узлом‑пос­редни­ком и собирать дан­ные о зап­росах. Ты спро­сишь, кому это нуж­но, если информа­ция зашиф­рована? А что, если ата­кующий будет собирать часть информа­ции до шиф­рования, заразив вход­ную ноду? Или наобо­рот — выход­ную, и получать дан­ные о зап­рашива­емых ресур­сах? Имен­но вто­рой вари­ант наибо­лее рас­простра­нен­ный.

К тому же зло­умыш­ленник может модифи­циро­вать или пол­ностью изме­нить информа­цию, переда­ваемую от сер­вера кли­енту. Так мож­но даже заразить устрой­ство кли­ента вре­донос­ным кодом.

В 2020 году была обна­руже­на хакер­ская груп­пиров­ка KAX17, которая управля­ла 900 заражен­ными сер­верами, к которым обра­щалось до 16% поль­зовате­лей Tor.

Вот нес­коль­ко инс­тру­мен­тов, которые помога­ют иссле­довать ноды Tor:

• TOR Node List — спи­сок нод;
• ExoneraTor — про­вер­ка IP на исполь­зование в качес­тве нод Tor;
• Onionite — информа­ция о нодах;
• Tor Metrics — информа­ция о нодах;
• Collector Tor — архив IP и пор­тов узлов.

Как и в обыч­ном интерне­те, сай­ты в Tor могут получать от кли­ента информа­цию о раз­решении экра­на, количес­тве ядер компь­юте­ра и дру­гих парамет­рах, которые в совокуп­ности могут сос­тавлять уни­каль­ный отпе­чаток.

Имен­но поэто­му экспер­ты совету­ют не вклю­чать JavaScript на сай­тах в дар­кне­те или как минимум не исполь­зовать бра­узер в пол­ноэк­ранном режиме, что­бы не выдавать раз­мер экра­на. Циф­ровой отпе­чаток — это, конеч­но, не так страш­но, как нас­тоящие лич­ные дан­ные, но поз­воля­ет выделить уни­каль­ного посети­теля из опре­делен­ного количес­тва.

«ЛУКОВЫЙ» DNS

Раз­ведка через Whois и сер­висы типа DNSdumpster в сети Tor прос­то невоз­можна, ведь лукович­ная сис­тема доменов работа­ет сов­сем не так, как обыч­ная. Вот ее основные отли­чия:

1. Су­щес­тву­ет толь­ко еди­ная домен­ная зона .onion, домены сос­тоят из сге­нери­рован­ных иден­тифика­торов, из‑за чего в прин­ципе отсутс­тву­ет та самая иерар­хичес­кая струк­тура с TLD, SLD и под­домена­ми.
2. Де­цен­тра­лизо­ван­ное хра­нение — это глав­ная проб­лема собира­юще­го информа­цию, ведь из‑за него невоз­можно пос­лать зап­рос к Whois. В клас­сичес­кой DNS информа­ция о доменах и соот­ветс­тву­ющих им IP-адре­сах хра­нит­ся на цен­тра­лизо­ван­ных DNS-сер­верах. В Tor информа­ция о доменах .onion и их адре­сах хра­нит­ся на рас­пре­делен­ных узлах в сети Tor.
3. От­лича­ются и про­токо­лы. Если в клас­сичес­кой DNS исполь­зуют­ся зап­росы UDP и TCP-зап­росы, то сис­тема DNS в Tor нап­рямую обра­щает­ся к рас­пре­делен­ным узлам хра­нения, что­бы получить нуж­ный адрес.

WWW

TorWhois — неч­то вро­де сер­виса Whois для Tor. Поз­воля­ет получить информа­цию об откры­тых пор­тах, сер­тифика­тах, клю­чах и информа­цию о robots.txt.

Есть ис­сле­дова­ние, которое показа­ло, что DNS-тра­фик в сети Tor мож­но исполь­зовать для точ­ного опре­деле­ния посеща­емых сай­тов. Иссле­дова­тели раз­ными метода­ми ана­лизи­рова­ли DNS-зап­росы, про­ходя­щие через выход­ные узлы Tor, и выяс­няли кор­реляции этих зап­росов с кон­крет­ными сай­тами.

Мож­но прос­то искать в зап­росах домены. Пос­коль­ку в адре­сах .onion домены сос­тоят из сге­нери­рован­ных иден­тифика­торов, их лег­ко срав­нивать с иден­тифика­тора­ми в DNS-зап­росах и уста­нав­ливать соот­ветс­твия. Это поз­воля­ет опре­делить, какие кон­крет­ные сай­ты поль­зователь посещал через Tor.

В ред­ких слу­чаях адми­нис­тра­торы не уда­ляют метадан­ные у фай­лов, раз­мещен­ных на сай­те, а метадан­ные могут вклю­чать такую информа­цию, как модель фото­аппа­рата, имя, геоло­кация и мно­гое дру­гое. Сей­час даже обыч­ные соц­сети уда­ляют метадан­ные при заг­рузке фай­лов

СТРУКТУРА САЙТОВ

Сай­ты в Tor исполь­зуют обык­новен­ные CMS, как и сай­ты в «клир­нете». Конеч­но, внут­ри всё те же HTML, CSS и дру­гие при­выч­ные тех­нологии. То есть тут нет ничего уди­витель­ного и нового. На скрин­шоте ты можешь уви­деть, что автор сай­та сде­лал его на Bootstrap. А исполь­зование популяр­ных тех­нологий, конеч­но, откры­вает воз­можность для авто­мати­зации ауди­та в целях раз­ведки. Для это­го есть:

• Onionscan (аудит onion-сай­та);
• Onion Nmap (Nmap для onion-сай­та);
• OWASP ZAP (ска­нер);
• Nikto (ска­нер);
• WPScan (ска­нер);
• Burp Suite (ска­нер);
• Wapiti (ска­нер);
• спи­сок уяз­вимос­тей на Mitre.org.

ТЕНЕВАЯ ЭКОНОМИКА

Ча­ще все­го дар­квеб исполь­зуют для тор­говли зап­рещен­ными товара­ми и услу­гами. Выручен­ные день­ги потом нуж­но как‑то выводить, и здесь тор­говцы зап­рещен­ным изоб­рета­ют самые изощ­ренные схе­мы. Обыч­но — с исполь­зовани­ем крип­товалю­ты. Имен­но на эта­пе вывода денег чаще все­го и попада­ются вла­дель­цы мар­кет­плей­сов.

Пред­ставь: кли­ент покупа­ет крип­ту, покупа­ет на нее что‑то в дар­кне­те, крип­товалю­та хра­нит­ся на депози­те мар­кет­плей­са, затем боль­шая часть перехо­дит про­дав­цу, а даль­ше он пыта­ется ее обме­нять на фиат­ную валюту.

По­луча­ется, что мож­но уста­новить, каким обменни­ком поль­зует­ся про­давец, если знать адрес его крип­товалют­ного кошель­ка. Для это­го дос­таточ­но визу­али­зиро­вать его активность с помощью спе­циаль­ной прог­раммы. На кошель­ке обменни­ка, конеч­но же, будет огромное чис­ло тран­закций и немалая сум­ма денег.

Ви­зуали­зато­ры зачас­тую плат­ные, но есть и нес­коль­ко бес­плат­ных:

• Breadcrumbs;
• OXT.ME;
• Blockpath.

Час­то при отмы­ве денег при­меня­ются крип­товалют­ные мик­серы. Они поз­воля­ют скры­вать крип­товалют­ные акти­вы, рас­пре­деляя их по мно­жес­тву дру­гих кошель­ков, и затем сно­ва перево­дят в один. Это усложня­ет отсле­жива­ние тран­закций, но не дела­ет их пол­ностью ано­ним­ными.

Ес­ли визу­али­зиро­вать тран­закции кошель­ка, который исполь­зовал мик­сер, мож­но заметить сле­дующие осо­бен­ности:

• мно­жес­тво вхо­дов и выходов в одной тран­закции, вклю­чая адре­са, не свя­зан­ные с исходным кошель­ком;
• пе­реме­шива­ние средств меж­ду раз­ными адре­сами и кошель­ками;
• свя­зи с дру­гими тран­закци­ями — цепоч­ки и клас­теры тран­закций, свя­зан­ные с бит­коин‑мик­сером;
• не­одно­род­ность сумм тран­закций;
• не­обыч­ные вре­мен­ные интерва­лы меж­ду тран­закци­ями.

Най­ти нас­тоящий адрес покупа­теля тяжело, но впол­не реаль­но. Одна­ко ПО для ана­лиза тран­закций мик­серов в откры­том дос­тупе пока что нет. Поэто­му при­ходит­ся прос­то идти по цепоч­ке тран­закций, пока не най­дешь что‑то похожее на кошелек, при­над­лежащий челове­ку.

Как ты понял, отмыв денег и их отсле­жива­ние — это отдель­ная боль­шая тема. Но знать о ней нуж­но, хотя бы на базовом уров­не. Сущес­тву­ет огромное количес­тво схем легали­зации средств, получен­ных прес­тупным путем, — от соз­дания офшорных орга­низа­ций до покуп­ки раз­ного иму­щес­тва. Все это, мы, конеч­но, здесь раз­бирать не будем.

ПОИСКОВИКИ

По­иско­вики и дор­ки (рецеп­ты зап­росов) всег­да были глав­ным ору­жием сов­ремен­ного OSINT-спе­циалис­та, и в сети Tor всё точ­но так же. Давай пос­мотрим, какие поис­ковики ищут по дар­кве­бу.

Вот поис­ковые сис­темы, дос­тупные в кли­рене­те, и индекси­рующие onion-сай­ты:

• Onion Search Engine;
• Torry;
• OnionLand Search;
• Tor Search;
• OnionSeach;
• DuckDuckGo.

Мно­гие из них удоб­ны и поз­воля­ют ком­биниро­вать резуль­таты из клир­нета и дар­кве­ба.

А вот спи­сок поис­ковых сис­тем, у которых есть сай­ты в сети Tor (ссыл­ки при­веде­ны на onion-адре­са):

• DuckDuckGo;
• Not Evil;
• Ahmia;
• Haystak;
• Torch;
• Demon.

С эти­ми сис­темами мож­но про­бовать базовые дор­ки вро­де поис­ка точ­ного сов­падения (двой­ные кавыч­ки), ука­зания сай­та, на котором искать (опе­ратор site), опе­рато­ра intext и про­чих в том же духе. В боль­шинс­тве поис­ковиков это сра­бота­ет.

INFO

Под­робнее о дор­ках читай в стать­ях «Ис­поль­зуем мало­извес­тные фун­кции Google, что­бы най­ти сок­рытое» и «Google как средс­тво взло­ма. Раз­бира­ем акту­аль­ные рецеп­ты Google Dork Queries».

Ес­ли наша цель — вычис­лить адми­нис­тра­тора форума, то в ход идут любые при­емы раз­ведки. Нап­ример, если извес­тны его инте­ресы, то мож­но прой­тись по темати­чес­ким форумам в поис­ках упо­мина­ния его ник­ней­ма.

Вот при­мер зап­роса, который выдаст резуль­тат поис­ка по архи­ву форума «Хакера» в поис­ках поль­зовате­ля moon:

site:oldforum.xakep.ru intext:moon

Кста­ти, о темати­чес­ких форумах. Есть вики, которые кол­лекци­они­руют ссыл­ки на сай­ты в дар­кве­бе, и отту­да лег­ко почер­пнуть под­борку адре­сов кри­миналь­ных форумов. Вот некото­рые из них:

• The Hidden Wiki;
• IACA DarkWeb;
• DarkWeb Links;
• The DarkWeb Links.

Ес­ли ты зна­ешь, что человек увле­кает­ся, нап­ример, чте­нием, можешь про­верить соот­ветс­тву­ющие раз­делы форумов.

Поль­зовате­ли форумов и адми­нис­тра­торы мар­кет­плей­сов тоже не роботы, так что им свой­ствен­но допус­кать ошиб­ки. К при­меру, кто‑то может отпра­вить свою фотог­рафию челове­ку, с которым поз­накомил­ся в интерне­те. Я лич­но слы­шал о нес­коль­ких слу­чаях, ког­да задер­живали адми­нис­тра­торов круп­ней­ших нелегаль­ных пло­щадок, пред­лагая встре­тить­ся. Экспер­ты исполь­зуют самые раз­ные ловуш­ки и ханипо­ты, что­бы под­сунуть прес­тупни­ку файл, ссыл­ку, а иног­да целое фей­ковое при­ложе­ние или мар­кет­плейс. 

ЛОВУШКИ

Ло­вуш­ки вро­де IP Logger или Canary Tokens — это самое прос­тое и малобюд­жетное, что быва­ет. В слу­чае с Canary Tokens ты можешь раз­вернуть свой сер­вер с помощью готово­го об­раза для Doсker, который любез­но пре­дос­тавили нам раз­работ­чики. У это­го инс­тру­мен­та мно­го инте­рес­ных воз­можнос­тей, и, на мой взгляд, его час­то недо­оце­нива­ют.

Что до IP Logger, то не рекомен­дую исполь­зовать его при попыт­ках выс­ледить про­фес­сиона­лов. Эта прог­рамма ско­рее напоми­нает дет­скую игрушку, а не рабочий инс­тру­мент, и мало‑маль­ски прод­винутый поль­зователь сра­зу заподоз­рит недоб­рое.

ФИНГЕРПРИНТИНГ

Пос­коль­ку сай­там в Tor не зап­рещено исполь­зовать все стан­дар­тные тех­нологии, здесь может работать и фин­гер­прин­тинг — отсле­жива­ние поль­зовате­лей через уни­каль­ные отпе­чат­ки.

Для при­мера заг­лянем на сайт AmIUnique.org. Сер­вис без проб­лем опре­делит вер­сию движ­ка, ОС, язык, шриф­ты, пла­гины и с некото­рой точ­ностью — под­держи­ваемые бра­узе­ром аудио- и виде­опла­гины. Это слож­но наз­вать точ­ной иден­тифика­цией, но выделить одно­го подоз­рева­емо­го из тысячи может помочь.

Tor Browser спе­циаль­но мас­киру­ет раз­решение экра­на, что­бы зат­руднить иден­тифика­цию, плюс поль­зовате­ли могут сами под­менить отпе­чаток на осно­ве тега canvas. Все это дела­ет фин­гер­прин­тинг менее точ­ным, но не пре­дот­вра­щает его пол­ностью.

Есть и более изощ­ренные так­тики, осно­ван­ные на фин­гер­прин­тинге. Не все зна­ют, что если открыть Tor Browser и обыч­ный и потом перек­лючать­ся меж­ду ними горячи­ми кла­виша­ми или мышью, то мож­но выдать связь сво­его реаль­ного IP и IP в сети Tor. Под­водят уни­каль­ные законо­мер­ности вро­де положе­ния кур­сора мыши, которое мож­но отсле­дить. То же каса­ется и исполь­зования двух вкла­док в Tor Browser. Tor будет исполь­зовать для них раз­ные вход­ные узлы, но, если вклю­чен JavaScript, вза­имос­вязь меж­ду табами все же мож­но будет уста­новить.

АНАЛИЗ ТЕКСТА

Не сек­рет, что у каж­дого свой стиль сооб­щений в соци­аль­ных сетях, и адми­нис­тра­торы форумов и мар­кет­плей­сов не исклю­чение. Кто‑то час­то ста­вит про­белы перед запяты­ми, кто‑то не фанат про­пис­ных букв, а у кого‑то прос­то сло­мана кла­виату­ра и какая‑то кноп­ка час­то не нажима­ется.

Все эти малень­кие осо­бен­ности помогут най­ти дру­гие акка­унты на дру­гих форумах, в соци­аль­ных сетях и так далее. Говорят, что имен­но такие ошиб­ки допус­кал Росс Уль­брихт, вла­делец круп­ного мар­кет­плей­са Silk Road.

КРАУЛЕРЫ, СПАЙДЕРЫ, СКРЕПЕРЫ

Су­щес­тву­ют раз­ные типы инс­тру­мен­тов для сбо­ра дан­ных в интерне­те.

• Crawler (кра­улер) — это прог­рамма, которая авто­мати­чес­ки обхо­дит сай­ты и собира­ет информа­цию. Она работа­ет подоб­но паукам, но спо­соб­на собирать информа­цию раз­ных типов.
• Scraper (скре­пер) — прог­рамма, которая извле­кает дан­ные с веб‑сай­тов, час­то авто­мати­чес­ки, и сох­раня­ет их в струк­туриро­ван­ном фор­мате для даль­нейше­го исполь­зования или ана­лиза.
• Spider (паук) — прог­рамма, которая авто­мати­чес­ки перехо­дит по ссыл­кам на сай­тах, ана­лизи­рует содер­жимое стра­ниц и индекси­рует их для поис­ка или дру­гих целей.

Эти инс­тру­мен­ты полез­ны при ана­лизе сай­тов в сети Tor. Они помога­ют соб­рать информа­цию о фотог­рафи­ях, дирек­тори­ях и самую раз­ную информа­цию о струк­туре сай­тов. Инте­рес­ны они тем, что дают мак­симум све­дений о том, что про­исхо­дит на сай­те, без посеще­ния самого сай­та.

Нач­нем с кра­уле­ров, их мож­но исполь­зовать для сбо­ра опре­делен­ного типа дан­ных на сай­те, к при­меру фото, видео, тек­ста и так далее. Нап­ример, ты хочешь переб­рать все фото на сай­те и най­ти те, которые содер­жат метадан­ные.

Вот нес­коль­ко кра­уле­ров для Onion:

• TorBot;
• OnionBot;
• OnionScan;
• VigilantOnion;
• OnionIngestor.

Скре­перы работа­ют по задан­ному алго­рит­му, который опре­деля­ет, какие дан­ные нуж­но собирать и как их извле­кать. Обыч­но они дела­ют зап­росы к сер­веру, а затем ана­лизи­руют получен­ный HTML, что­бы извлечь нуж­ную информа­цию. В ход идут раз­ные методы раз­бора стра­ниц — пар­синг HTML, поиск по тегам и клас­сам CSS, регуляр­ные выраже­ния и так далее. Час­то сай­ты выг­ружа­ются целиком для даль­нейше­го ана­лиза.

Вот некото­рые прог­раммы и биб­лиоте­ки для скре­пин­га:

• Scrapy;
• BeautifulSoup;
• Selenium;
• Puppeteer;
• Frontera.

Па­уки же пред­назна­чены для индекса­ции сотен и тысяч ссы­лок. Для Tor сущес­тву­ют Onioff и Onion Spider.

ФОРЕНЗИКА

Под конец нем­ного зат­ронем тему форен­зики, а не OSINT. При судеб­но‑тех­ничес­кой экспер­тизе компь­юте­ра, на котором исполь­зовал­ся Tor, в пер­вую оче­редь сто­ит про­верять:

1. Пап­ку C:\Windows\Prefetch, где могут находить­ся фай­лы, свя­зан­ные с запус­ком Tor Browser (исполня­емый файл бра­узе­ра или фай­лы DLL, заг­ружа­емые при его работе). Ана­лиз их вре­мен­ных меток поз­воля­ет уста­новить, ког­да запус­кался бра­узер.
2. Кеш мини­атюр. В нем могут сох­ранять­ся превью изоб­ражений, прос­мотрен­ных через Tor. Их мож­но сопос­тавить с опре­делен­ными сай­тами.
3. Файл под­качки. Здесь тоже может быть инфа о запус­ке бра­узе­ра, посеще­нии сай­тов и фай­ловых опе­раци­ях, свя­зан­ных с исполь­зовани­ем Tor.
4. Ре­естр Windows. Помога­ет извлечь нас­трой­ки бра­узе­ров, исто­рию посеще­ний, кеширо­ван­ные дан­ные, а так­же записи о заг­ружен­ных рас­ширени­ях и пла­гинах.

Ана­лиз дам­пов — так­же неотъ­емле­мая часть судеб­но‑тех­ничес­кой экспер­тизы. В них содер­жится мас­са информа­ции о том, что про­исхо­дило на компь­юте­ре. Зах­ватить дамп опе­ратив­ной памяти мож­но, к при­меру, при помощи Belkasoft RAM Capturer.

Для ана­лиза реес­тра может при­годить­ся прог­рамма Regshot.

Для ана­лиза сетево­го тра­фика рекомен­дую Wireshark и NetworkMiner. Wireshark хорош для выяв­ления раз­ных типов пакетов и фак­тов уста­нов­ки свя­зей меж­ду узла­ми. Он помога­ет иден­тифици­ровать харак­терис­тики про­токо­лов, исполь­зуемых в Tor. А NetworkMiner спе­циали­зиру­ется на ана­лизе сетево­го тра­фика и выяв­лении скры­тых свя­зей и законо­мер­ностей. NetworkMiner может помочь в обна­руже­нии и ана­лизе активнос­ти в сети Tor, вклю­чая обмен информа­цией и исполь­зование ано­ним­ных прок­си‑сер­веров.

И конеч­но, нуж­но изу­чить базу дан­ных самого Tor Browser. Она находит­ся по такому пути:

TorBrowser\Browser\TorBrowser\Data\Browser\Profile.default

Здесь при опре­делен­ных нас­трой­ках бра­узе­ра может хра­нить­ся исто­рия прос­мотра, зак­ладки, сох­ранен­ные пароли, cookie и дру­гие поль­зователь­ские дан­ные.

Изу­чение дан­ных кошель­ков Bitcoin — тема отдель­ная и слож­ная, но для сбо­ра доказа­тель­ств мож­но исполь­зовать Internet Evidence Finder.

ВЫВОДЫ

При видимой ано­ним­ности сай­тов в Tor всег­да есть спо­собы иден­тифици­ровать их вла­дель­цев. Да, некото­рые из них слож­ны и тре­буют серь­езной работы, но, пос­коль­ку адми­нис­тра­торы тоже совер­шают ошиб­ки, нет‑нет да сра­баты­вают. Рекомен­дую всем, кто занима­ется подоб­ными рас­сле­дова­ниями, не забывать при­менять не толь­ко опи­сан­ные так­тики, но и те методы, которые сра­баты­вают и в клир­нете.

Читайте ещё больше платных статей бесплатно: http://t.me/hacker_frei