Обложка канала

Черный Треугольник 🥀⃤

57819 @black_triangle_tg
Открыть

Чёрный Треугольник. Канал про IT.

Черный Треугольник 🥀⃤

3 года назад
Открыть в
​​Сервера TOR можно деанонимизировать🧅 ☝🏻ИБ-специалист, известный под ником Sh1ttyKids, продемонстрировал способ выявления реальных IP-адресов серверов Tor. Для этого он использовал ETag (entity tag) в заголовке HTTP-ответов: 🔻Sh1ttyKids начали это исследование после взлома Capcom в 2020 году группой вымогателей Ragnar Locker. Capcom отказалась платить выкуп, тогда около 67 ГБ украденных файлов были опубликованы в даркнете. Cайт группировки содержал только ссылку на утечку, но не сами файлы, и Sh1ttyKids заметил, что существует отдельный Onion-адрес для размещения «сливов» Ragnar Locker. Файлы были размещены на Onion-адресе, начинающемся на «t2w…» Попытка прямого доступа к этому адресу приводила на пустую страницу. 🔻Тогда исследователь подумал о том, что при поиске IP-адресов даркнет-сайтов обычно проверяется исходный код сайта, SSL-сертификат, заголовки ответов и так далее. Это делается для того, чтобы получить уникальные строки и фингерпринтинг, которые затем можно использовать в Shodan, Censys и других аналогичных сервисах, для обнаружения реального IP-адреса ресурса. Однако исходный код сайта в данном случае получить не удалось.🤷🏼‍♀️ 🔻Тогда Sh1ttyKids проверил хэдеры ответов, ведь если они содержат уникальную строку, их можно использовать для получения IP-адреса источника. 🔻В итоге исследователь пришел к вводу, что даже ETag в хэдере ответа тоже может принести пользу. 🔻Через Shodan он поискал полученный от сайта Ragnar Locker ETag «0–5a4a8aa76f2f0» и нашел одно совпадение. При попытке получить доступ к этому IP-адресу напрямую, можно было обнаружить лишь пустую страницу, точно так же, как и при прямом доступе к адресу t2w5by<…>.onion. ☝🏻Однако, проверив заголовки ответа, исследователь обнаружил, то же самый ETag. Затем Sh1ttyKids попытался загрузить файл с одинаковым именем с Onion-адреса и по IP-адресу, в итоге подтвердив, что файл обнаруживается в обоих случаях. Таким образом, исследователь пришел к выводу, что исходный IP-адрес Onion-сайта t2w5by<…>.onion — это 5[.]45[.]65[.]52.🎉 Более того, спустя время обнаружилось, что обнаруженный специалистом адрес 5[.]45[.] 65[.]52 фигурирует в отчете ФБР. Sh1ttyKids отмечет, что эту информацию могут использовать правоохранительные органы, ведь знание IP-адреса потенциально может помочь им захватить сервер и использовать его в расследовании.👮🏻‍♀️