searching for black spots in the great big onion [avkansai特別プレゼン]
TRANSCRIPT
Searching for Black Spots in the
Great Big Onion
from 黒林檎(r00tapple)
2014年11月15日 AVKansai特別プレゼン
[今回のお話]
[最初に]不特定なHidden Service(Webサービス)
を見つけたいので、tor-socks使用してランダムなURL投げてサイトが存在するか見ます。
[そもそもtorって何?]
TCP/IP通信経路の匿名化ツールの代表例
各種OSに対応
匿名サービスを作成出来る(web/mail/..)
ただ”exit Node”(匿名経路の最終通過地点)は匿名化されていないので別途暗号化必須(SSL等)
[基本的な流れ]
entry
relay
tor
Client
目的地
exit
小文字英数字16個.onion ?..いわゆる疑似アドレス(疑似TLD)
[疑似TLDアドレスって何?]
Pseudo-top-level domain(疑似TLD)
公式に参加していないコンピュータネットワークラベルの様物で..
.exit, .i2p, .onion, .oz, .bit, .zkey
などがある。
[どんなURL?]
小文字英数字16個.onion なアドレスRSA→SHA-1→HASH求め(ダイジェスト)→Base32エンコード[a-z]-[2-7]を使用した16文字URL
勿論torにはtor-proxyを経由しないとアクセス出来ない
[簡単に推測用のURL生成]
source_str = 'abcdefghijklmnopqrstuvwxyz1234567890'
name = "".join([random.choice(source_str) for x in xrange(16)])
url = name + “.onion”
とかで生成は出来てるわけで..(苦笑)
生成したURL→
[始めるに至って..]
tor-socksが動作している事確認無い人は、sudo apt-get tor とか叩いてください。
[Let’s go to tor hidden service IN!!]lxxltqocclzfdrl6.onion
テスト用にtorのwebサービス作成
-hostname
-private-key
….が割り振られる。
[下手な鉄砲も数撃ちゃ当たる?]
client サービスXtor network
生成したURLを投げて応答来たの表示
不特定の.onion
つらい
[URL LIST..]
url.csvというカンペを作成
[From random to list !!]
From failure to success
[.onion見つける改善点]
URLの生成時にある程度キーワードを付け加える例)yamato[11文字の乱数].onion
demo?
malware
[Tor base POS Malware]
仕組み自体はC&Cと仕組みは同じで、RSAで暗号化させ実際のIPアドレスを隠蔽する。Torネットワークを介して処理されネットワークレベルの検出を回避サーバーアドレスも.onion(疑似TLD)を使用。
Generic keylogger(キーストロークキャプチャ)
Memory scrape(正規表現を使用して情報ダンプ)
([0-9]{15,16}[D=](0[7-9]|1[0-5])((0[1-9])|(1[0-2]))[0-9]{8,30})
[memory scrape]基本的にPOS malwareではよく使われる手法
[memory scrape流れ]
CreateToolhelp32Snapshot
OpenProcessReadProcessMemory
Scrape process memory
Black List
Process32First
Black List
Process32Next
Future Works
ご清聴ありがとうございました!!Connect to me{
twitter:r00tapple
facebook:村島正浩}