btzgrp
  • ソフトウェアエンジニアになる方法:チートシート - TechRepublic
Headlines

不正なTorウェブサーバーの匿名性を解除する方法 - TechRepublic

05 mins
不正なTorウェブサーバーの匿名性を解除する方法 - TechRepublic
タマネギの形のロゴが表示された PC のディスプレイ上の Tor ブラウザ。
画像: sharafmaksumov/Adobe Stock

サイバー犯罪者は、窃取したデータの収集、マルウェアを介して感染したマシンとの通信、フィッシングページのホスティングなど、様々な目的でオンラインサーバーを利用することがよくあります。こうした脅威アクターが強固な匿名性を確保するために用いる一般的な手法の一つは、The Onion Router(Tor)ネットワークを利用してサーバーの場所を隠すことです。

特にランサムウェアの脅威アクターは、自分たちが多くの注目を集め、セキュリティ研究者と法執行機関の両方によって活動が追跡され、調査されることを知っているため、Tor ネットワークを頻繁に利用します。

Tor は適切に使用すればかなり強力な匿名性を提供しますが、設定が不適切だと詐欺師に利用できる情報が漏洩してしまう可能性もあります。

参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)

Tor ネットワーク上でホストされているサーバーは、インターネット上でホストされている一般的なサーバーにすぎず、ユーザーは特別なネットワーク経由でアクセスしているだけであることに注意することが重要です。

不正なTorウェブサーバーの匿名性を解除する方法

Cisco Talos は、Tor ネットワークでホストされ、ランサムウェアの脅威アクターによって使用されるドメインからより多くの情報を取得し、匿名性を解除する 3 つの異なる方法を明らかにする新しい調査を公開しました。

最初の方法: 証明書のマッチング

トランスポート層セキュリティ(TLS)は、インターネット上のコンピュータ間のエンドツーエンド暗号化に使用されるプロトコルです。通常、HTTPS通信を確立する際に使用されるプロトコルです。そのためには、ユーザーがアクセスするウェブサーバーにTLS証明書が必要です。この証明書は通信時に提供されます。この証明書には、追跡および調査に使用できる情報が含まれています。

ランサムウェアの脅威アクターの中には、実際にこれらの証明書を自身の Web サイトに使用している場合があり、サーフェス ウェブで調査して一致するものを見つけることが可能です (図 A )。

図A

画像: Cisco Talos。Dark Angels ランサムウェアの脅威アクターが使用する TLS 証明書。

脅威アクターのTLS証明書がサーフェスウェブ上にインデックスされている場合、その証明書はTorネットワークを使用しているウェブサーバーにリンクするため、ホスティングは完全に匿名化されています。また、同じ脅威アクターによる他のコンテンツにもリンクされる可能性があり、これも更なる調査に有用です。

TLS 証明書を含むインターネットからの情報をインデックスする Shodan オンライン サービスなどの助けを借りれば、調査が容易になります。

2番目の方法: ファビコンのマッチング

ファビコンとは、ユーザーが Web サイトを閲覧したりブックマーク リストを表示したりするときにブラウザーの URL バーに表示される小さなアイコンです (図 B )。

図B

Firefox Web ブラウザの赤いボックス内に表示される TechRepublic のファビコン。

もう一度、Shodan を使用すると、Tor ネットワークでホストされている不正な Web サイトで見つかったファビコンを、サーフェス Web 上のファビコンと照合することが可能です。

Talos の研究者は、Quantum ランサムウェア グループを例として取り上げています (図 C )。

図C

画像:Cisco Talos。Torネットワーク上のQuantumランサムウェアグループのページ。ページタイトルの左側にファビコンが表示されています。

彼らはダーク ウェブのファビコンを使用して、サーフェス ウェブ上で同等のものを見つけ、脅威アクターの Web サーバーを見つけることができました (図 D )。

図D

画像: Cisco Talos。Shodan は Quantum ランサムウェア ウェブサーバーの実際の IP アドレスを表示しています。

3番目の方法: 壊滅的なOpSec障害

OpSec の失敗により、最も熟練した攻撃者であってもインフラストラクチャからデータを漏洩する可能性があります。

Talosは、Nokoyawaランサムウェアグループが一部のスクリプトを適切に保護していなかったため、研究者がディレクトリトラバーサルの脆弱性を悪用できたと指摘しています。これは基本的に、HTTPリクエストのURLで送信されるパラメータを利用して、通常はインターネット上に公開されるべきではないフォルダやファイルにアクセスするものです。

この失敗に加え、ディレクトリとファイルの権限が不適切だったため、研究者はウェブコンテンツをホストするLinuxサーバーの/var/log/auth.log*に直接アクセスすることで、脅威アクターの匿名性を見抜くことができました。このファイルを解析したところ、攻撃者がSSHプロトコル経由でサーバーに接続するために使用したIPアドレスが明らかになりました。

結論

Torホストネットワークにおける脅威情報の調査と収集は困難な作業ですが、多くの場合、Torネットワークはユーザーに100%安全な匿名性を提供していません。これらのサービスをミスなく利用するには、ネットワークとオペレーティングシステムに関する高度な知識が必要です。

この記事で紹介したものを含むさまざまな調査手法を使用することで、不正なサーバーの匿名性を解除し、脅威の実行者自体に関する情報を取得することが可能です。

開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。

Tagged:

Related News