Searching for Black Spots in the

Great Big Onion

from 黒林檎(r00tapple)

2014年11月15日 AVKansai特別プレゼン

自己紹介Google検索1:黒林檎Google検索2:黒林檎 slide

www.packr.org

[今回のお話]

https://facebookcorewwwi.onion/checkpoin

t/?next#

[最初に]不特定なHidden Service(Webサービス)

を見つけたいので、tor-socks使用してランダムなURL投げてサイトが存在するか見ます。

[そもそもtorって何?]

TCP/IP通信経路の匿名化ツールの代表例

各種OSに対応

匿名サービスを作成出来る(web/mail/..)

ただ”exit Node”(匿名経路の最終通過地点)は匿名化されていないので別途暗号化必須(SSL等)

[基本的な流れ]

entry

relay

tor

Client

目的地

exit

小文字英数字16個.onion ?..いわゆる疑似アドレス(疑似TLD)

[疑似TLDアドレスって何?]

Pseudo-top-level domain(疑似TLD)

公式に参加していないコンピュータネットワークラベルの様物で..

.exit, .i2p, .onion, .oz, .bit, .zkey

などがある。

[どんなURL?]

小文字英数字16個.onion なアドレスRSA→SHA-1→HASH求め(ダイジェスト)→Base32エンコード[a-z]-[2-7]を使用した16文字URL

勿論torにはtor-proxyを経由しないとアクセス出来ない

[簡単に推測用のURL生成]

source_str = 'abcdefghijklmnopqrstuvwxyz1234567890'

name = "".join([random.choice(source_str) for x in xrange(16)])

url = name + “.onion”

とかで生成は出来てるわけで..(苦笑)

生成したURL→

[始めるに至って..]

tor-socksが動作している事確認無い人は、sudo apt-get tor とか叩いてください。

[Let’s go to tor hidden service IN!!]lxxltqocclzfdrl6.onion

テスト用にtorのwebサービス作成

-hostname

-private-key

….が割り振られる。

[下手な鉄砲も数撃ちゃ当たる?]

client サービスXtor network

生成したURLを投げて応答来たの表示

不特定の.onion

つらい

[URL LIST..]

url.csvというカンペを作成

[From random to list !!]

From failure to success

[.onion見つける改善点]

URLの生成時にある程度キーワードを付け加える例)yamato[11文字の乱数].onion

demo?

malware

[Tor base POS Malware]

仕組み自体はC＆Cと仕組みは同じで、RSAで暗号化させ実際のIPアドレスを隠蔽する。Torネットワークを介して処理されネットワークレベルの検出を回避サーバーアドレスも.onion(疑似TLD)を使用。

Generic keylogger(キーストロークキャプチャ)

Memory scrape(正規表現を使用して情報ダンプ)

([0-9]{15,16}[D=](0[7-9]|1[0-5])((0[1-9])|(1[0-2]))[0-9]{8,30})

[memory scrape]基本的にPOS malwareではよく使われる手法

[memory scrape流れ]

CreateToolhelp32Snapshot

OpenProcessReadProcessMemory

Scrape process memory

Black List

Process32First

Black List

Process32Next

Future Works

ご清聴ありがとうございました!!Connect to me{

twitter:r00tapple

facebook:村島正浩}