Обложка канала

Типичный Сисадмин

23746 @sysodmins
Открыть

Крупнейшее сообщество айтишников и сисадминов в частности.

Типичный Сисадмин

3 года назад
Открыть в
Сервера TOR можно деанонимизировать ИБ-специалист Sh1ttyKids продемонстрировал способ выявления реальных IP-адресов серверов Tor. Для этого он использовал ETag (entity tag) в заголовке HTTP-ответов. Sh1ttyKids начали это исследование после взлома Capcom в 2020 году группой вымогателей Ragnar Locker. Capcom отказалась платить выкуп, тогда около 67 ГБ украденных файлов были опубликованы в даркнете. Cайт группировки содержал только ссылку на утечку, но не сами файлы, и Sh1ttyKids заметил, что существует отдельный Onion-адрес для размещения «сливов» Ragnar Locker. Файлы были размещены на Onion-адресе, начинающемся на «t2w…». Попытка прямого доступа к этому адресу приводила на пустую страницу. ⏺Тогда исследователь подумал о том, что при поиске IP-адресов даркнет-сайтов обычно проверяется исходный код сайта, SSL-сертификат, заголовки ответов и так далее. Это делается для того, чтобы получить уникальные строки и фингерпринтинг, которые затем можно использовать в Shodan, Censys и других аналогичных сервисах, для обнаружения реального IP-адреса ресурса. Однако исходный код сайта в данном случае получить не удалось. Тогда Sh1ttyKids проверил хэдеры ответов, ведь если они содержат уникальную строку, их можно использовать для получения IP-адреса источника. В итоге исследователь пришел к вводу, что даже ETag в хэдере ответа может принести пользу. Через Shodan он поискал полученный от сайта Ragnar Locker ETag «0–5a4a8aa76f2f0» и нашел одно совпадение. При попытке получить доступ к этому IP-адресу напрямую, можно было обнаружить лишь пустую страницу, точно так же, как и при прямом доступе к адресу t2w5by<…>.onion. Однако проверив заголовки ответа, исследователь обнаружил тот же самый ETag. Затем Sh1ttyKids попытался загрузить файл с одинаковым именем с Onion-адреса и по IP-адресу, в итоге подтвердив, что файл обнаруживается в обоих случаях. Таким образом, исследователь пришел к выводу, что исходный IP-адрес Onion-сайта t2w5by<…>.onion — это 5[.]45[.]65[.]52. Более того, спустя время обнаружилось, что обнаруженный специалистом адрес 5[.]45[.] 65[.]52 фигурирует в отчете ФБР. Sh1ttyKids отмечет, что эту информацию могут использовать правоохранительные органы, ведь знание IP-адреса потенциально может помочь им захватить сервер и использовать его в расследовании. 🥸 godnoTECH