Статья Исследователь продемонстрировал деанонимизацию Tor-серверов через ETag

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.223
Репутация
11.695
Реакции
61.957
RUB
50
ИБ-специалист, известный под ником Sh1ttyKids, способ выявления реальных IP-адресов серверов Tor.


Исследователь использовал для этого (entity tag) в заголовке HTTP-ответов.

Свое исследование Sh1ttyKids начал в связи со , которую еще в 2020 году скомпрометировала вымогательская группировка Ragnar Locker. Так как Capcom отказалась платить выкуп, тогда около 67 ГБ украденных файлов были опубликованы в даркнете.

Тогда сайт группировки содержал только ссылку на утечку, но не сами файлы, и Sh1ttyKids заметил, что существует отдельный Onion-адрес для размещения таких «сливов» Ragnar Locker. Так, файлы были размещены на Onion-адресе, начинающемся на «t2w…», как показано на скриншоте ниже.



Попытка прямого доступа к этому адресу приводила на пустую страницу. Тогда исследователь подумал о том, что при поиске IP-адресов даркнет-сайтов обычно проверяется исходный код сайта, SSL-сертификат, заголовки ответов и так далее. Это делается для того, чтобы получить уникальные строки и фингерпринтинг, которые затем можно использовать в Shodan, Censys и других аналогичных сервисах, для обнаружения реального IP-адреса ресурса. Однако исходный код сайта в данном случае получить не удалось.

Тогда Sh1ttyKids проверил хэдеры ответов, ведь если они содержат уникальную строку, их можно использовать для получения IP-адреса источника. В итоге исследователь пришел к вводу, что даже ETag в хэдере ответа тоже может принести пользу.

Через Shodan он поискал полученный от сайта Ragnar Locker ETag «0–5a4a8aa76f2f0» и нашел одно совпадение.



При попытке получить доступ к этому IP-адресу напрямую, можно было обнаружить лишь пустую страницу, точно так же, как и при прямом доступе к адресу t2w5by<…>.onion. Однако, проверив заголовки ответа, исследователь обнаружил, то же самый ETag. Затем Sh1ttyKids попытался загрузить файл с одинаковым именем с Onion-адреса и по IP-адресу, в итоге подтвердив, что файл обнаруживается в обоих случаях.



Таким образом, исследователь пришел к выводу, что исходный IP-адрес Onion-сайта t2w5by<…>.onion — это 5[.]45[.]65[.]52.

Он отмечет, что эту информацию могут использовать правоохранительные органы, ведь знание IP-адреса потенциально может помочь им захватить сервер и использовать его в расследовании.

Более того, спустя время обнаружилось, что обнаруженный специалистом адрес 5[.]45[.] 65[.]52 фигурирует в . Хотя в документе нет никакой дополнительной информации об этом IP-адресе, Sh1ttyKids уверен, что он связан с сервером, который использовался для размещения скомпрометированных данных Capcom.

 
Исследователь с ником Sh1ttyKids нашел способ выявить реальные IP-адреса серверов Tor, используя ETag в заголовках HTTP-ответов. Он применил этот метод при исследовании утечки данных компании Capcom, которая была скомпрометирована взломщиками. Sh1ttyKids обнаружил, что утечка файлов была размещена на Onion-адресе, но при прямом доступе к нему показывалась пустая страница. Однако, проверив заголовки ответа, исследователь обнаружил ETag, который использовался для поиска реального IP-адреса сервера. Он пришел к выводу, что IP-адрес Onion-сайта связан с адресом 5[.]45[.]65[.]52. Полученная информация может быть полезной для правоохранительных органов, чтобы идентифицировать сервер и использовать его в расследовании.
 
Пути обхода данного бага имеются?
 
  • Теги
    etag tor деанонимизация tor-серверов через etag
  • Сверху Снизу