Cómo eliminar el anonimato de los servidores internet Tor fraudulentos


Si bien es una creencia común que no se puede hacer mucho para ubicar servidores remotos alojados en la red Tor, una nueva investigación revela que es posible eliminar el anonimato de algunos y utiliza dominios de ransomware alojados en la Darkish Web como ejemplos.

Navegador Tor en una pantalla de PC con logotipo en forma de cebolla.
Imagen: sharafmaksumov/Adobe Inventory

Los ciberdelincuentes generalmente necesitan usar servidores en línea, ya sea para recopilar datos robados, comunicarse con una máquina infectada a través de malware o alojar páginas de phishing. Una de las técnicas comunes utilizadas por estos actores de amenazas para tratar de agregar una fuerte capa de anonimato consiste en usar la purple The Onion Router (Tor) para ocultar la ubicación de sus servidores.

Los actores de amenazas de ransomware en distinct, que saben que atraen mucha atención y que sus actividades son rastreadas e investigadas tanto por los investigadores de seguridad como por las fuerzas del orden, hacen un uso intensivo de la purple Tor.

Cuando se united states apropiadamente, Tor proporciona una capa bastante fuerte de anonimato, pero también puede estar mal configurado y filtrar información que puede usarse contra los estafadores.

VER: Violación de contraseña: por qué la cultura pop y las contraseñas no se mezclan (PDF gratuito) (República Tecnológica)

Es importante tener en cuenta que los servidores alojados en la pink Tor son solo servidores típicos alojados en Internet: los usuarios simplemente acceden a ellos a través de una pink especial.

Cómo eliminar el anonimato de los servidores website Tor fraudulentos

Cisco Talos publicado nueva investigación que expone tres formas diferentes de obtener más información y eliminar el anonimato de los dominios alojados en la purple Tor y utilizados por los actores de amenazas de ransomware.

Primer método: coincidencia de certificados

Transport Layer Security es un protocolo utilizado para el cifrado de extremo a extremo entre computadoras en Net. Normalmente, es el protocolo que se utiliza al establecer comunicaciones HTTPS. Para ello, el servidor world-wide-web al que accede el usuario necesita un certificado TLS, que se proporciona al comunicarse. Dicho certificado contiene cierta información que se puede rastrear y usar para investigar.

Algunos actores de amenazas de ransomware en realidad usan esos certificados para sus sitios world wide web, lo que hace posible investigar y posiblemente encontrar coincidencias en la world wide web de superficie (Figura A).

Figura A

Imagen: Cisco Talos. Certificado TLS utilizado por el actor de amenazas de ransomware Dim Angels.

Si un certificado TLS de un actor de amenazas se indexa en la world wide web de superficie, conducirá al servidor world-wide-web que está utilizando la purple Tor, por lo que el alojamiento se anonimiza por completo. También podría conducir a otro contenido del mismo actor de amenazas, que también es valioso para una mayor investigación.

Con la ayuda de algo como el Shodan servicio en línea, que indexa la información de Web, incluidos los certificados TLS, se vuelve más fácil de investigar.

Segundo método: coincidencia de Favicon

El favicon es ese pequeño icono que los usuarios ven en la barra de URL del navegador cuando navegan por un sitio net o miran su lista de favoritos (Figura B).

Figura B

TechRepublics Favicon se muestra en el cuadro rojo en un navegador world wide web Firefox.

Una vez más, al usar Shodan, es posible hacer coincidir los favicons encontrados en un sitio internet fraudulento alojado en la pink Tor con favicons en la internet superficial.

El grupo de ransomware Quantum es tomado como ejemplo por los investigadores de Talos (Figura C).

Figura C

Imagen: Cisco Talos. Página del grupo de ransomware Quantum en la purple Tor: favicon visible a la izquierda del título de la página.

Usando su favicon de la net oscura, encontraron su equivalente en la website superficial y pudieron localizar el servidor world wide web del actor de amenazas (Figura D).

Figura D

Imagen: Cisco Talos. Shodan que muestra la dirección IP serious del servidor world-wide-web del ransomware Quantum.

Tercer método: fallas catastróficas de OpSec

Las fallas de OpSec pueden llevar incluso al actor más hábil a filtrar datos de su infraestructura.

Talos señala que el grupo de ransomware Nokoyawa no protegió correctamente algunos de sus scripts, lo que permitió a los investigadores explotar una vulnerabilidad de cruce de directorios. Básicamente, esto consiste en usar un parámetro enviado en la URL de una solicitud HTTP para obtener acceso a una carpeta o archivo que normalmente no debería estar expuesto en Internet.

Esa falla, además de los permisos de archivos y directorios incorrectos, permitió a los investigadores ver a través del anonimato del actor de la amenaza al acceder a /var/log/auth.log* directamente en el servidor Linux que aloja el contenido net. Ese archivo, una vez analizado, reveló las direcciones IP utilizadas por los atacantes para conectarse al servidor a través del protocolo SSH.

Conclusión

Investigar y recopilar información sobre amenazas en las redes alojadas en Tor es una tarea difícil sin embargo, en muchos casos, la purple Tor no proporciona un anonimato 100 % seguro a sus usuarios. Necesita un conocimiento sólido de redes y sistemas operativos para usar esos servicios sin cometer errores.

Mediante el uso de diferentes técnicas de investigación, incluidas las expuestas en este artículo, es posible eliminar el anonimato de algunos servidores fraudulentos y obtener información sobre el autor de la amenaza.

Divulgación: trabajo para Pattern Micro, pero las opiniones expresadas en este artículo son mías.



Enlace a la noticia initial