Обзор

Еще в июне 2022 года Talos опубликовал чрезвычайно интересный пост в блоге, посвященный деанонимизации скрытых сервисов Tor с помощью различных методов. После этого поста я хотел попытаться деанонимизировать некоторые из этих хорошо известных блогов-вымогателей или сайтов утечки не только для проверки описанных методов, но и для потенциального получения дополнительных ценных сведений об угрозах.

Введите Lockbit 3.0. Эта группа программ-вымогателей в последнее время разрослась, взяв на себя ответственность за различные вторжения и последующее шифрование различных компаний, таких как:

Континентальный



Continental, новая жертва программы-вымогателя LockBit
LockBit, одна из самых известных группировок программ-вымогателей, берет на себя ответственность за кибератаку, поразившую…безопасность heimdal. ком



SteelSolutions (блог Lockbit)

tdwood.com (блог Lockbit)

Последовательный протокол SSL

Их сайт утечки довольно легко найти (https://darkfeed.io/ransomwiki/) из-за их публичной позиции, согласно которой любой может стать аффилированным лицом. Таким образом, после просмотра сайта я решил попробовать метод SSL Hash, так как их значок не присутствовал во время моего тестирования.

Метод хеширования SSL можно описать следующим образом:

«Часто мы можем деанонимизировать группы программ-вымогателей с помощью сопоставления сертификатов TLS. При таком подходе мы идентифицируем самозаверяющие сертификаты TLS участников, связанные с их темными веб-сайтами, и индексируем прозрачную сеть, чтобы узнать, используются ли они в общедоступном Интернете».



Деанонимизация доменов программ-вымогателей в даркнете
Мы разработали три метода для выявления темных веб-сайтов операторов программ-вымогателей, размещенных на общедоступных IP-адресах…blog.talosintelligence. ком



Следует отметить, что организация, занимающаяся программами-вымогателями, относительно редко использует сертификат TLS, поскольку он может быть предоставлен только центром сертификации и, как вы вскоре увидите, может использоваться в качестве идентификационные маркеры. Если некоторые из этих уникальных маркеров, такие как хэш SSL, впоследствии используются в других веб-ресурсах, может стать тривиальным определение местонахождения сайта в чистой сети или поиск других ресурсов, принадлежащих и управляемых группой вымогателей.

Кроме того, каждый веб-сайт должен где-то размещаться, поэтому, когда в сети обнаруживается незаконный сайт, это может привести к возможной идентификации лица, платящего хостинг-провайдеру. В наши дни большинство хостинг-провайдеров требуют кредитная карта должна быть в файле для обработки платы за хостинг. Следует отметить, что в даркнете есть множество хостинг-провайдеров, которые принимают криптовалюту в качестве формы оплаты, что обеспечивает более анонимный опыт.

Деанонимизация Lockbit 3.0

При просмотре сайта вы можете заметить, что они на самом деле используют сертификат TLS, аннотированный значком замка рядом с полным доменным именем. При нажатии на замок вы можете дополнительно выбрать дополнительную информацию, чтобы просмотреть сам сертификат. .

В разделе Разное вы увидите запись Серийный номер. Скопируйте это значение в shodan.io. Просто создайте учетную запись, необходимую для фильтра поиска, и введите ssl.cert.serial:SERIAL_NUMBER».

Это приведет к поиску по всему shodan сайта, размещенного в клиринговой сети, с соответствующим серийным номером TLS. Как вы можете видеть на изображении ниже, мы видим один результат для сервера, размещенного в Люксембурге. Это согласуется с местом, где, по утверждению группы, базируется (Нидерланды/Люксембург) для дальнейшего усиления наших доказательств. Мы можем заметить, что IP-адрес IP_ADDRESS и открыты три порта. Порт 80 перенаправит вас на эквивалент HTTPS, оставив HTTPS и SSH в качестве двух основных портов, используемых этим сервером.

Следует отметить, что это не всегда будет работать. Многие факторы, в основном возможности индексации shodan, зависят от результатов, которые вы получите. Например, если сайт был недавно размещен, есть большая вероятность, что shodan еще не просканировал этот сайт. Таким образом, со временем этот метод будет только усиливаться, поскольку shodan, скорее всего, будет сканировать сайт, в конечном итоге захватив его серийный номер TLS.

Подтверждение

Для официального подтверждения того, что этот клирнет-сайт на самом деле является тем же сайтом, что и луковый адрес, мы можем просмотреть серийный номер TLS этого клирнет-сайта и убедиться, что числа совпадают, что они и делают в данном случае.

Я надеюсь, что этот краткий пост прольет свет на очень простой, но мощный TTP для деанонимизации некоторых из этих ссылок .onion. Удачного взлома