1. Searching for Black Spots in the
Great Big Onion
from 黒林檎(r00tapple)
2014年11月15日 AVKansai特別プレゼン

2. 自己紹介
Google検索1:黒林檎
Google検索2:黒林檎 slide
www.packr.org

3. [今回のお話]

4. https://facebookcorewwwi.onion/checkpoin
t/?next#

5. [最初に]
不特定なHidden Service(Webサービス)
を見つけたいので、tor-socks使用し
てランダムなURL投げてサイトが存
在するか見ます。

6. [そもそもtorって何?]
TCP/IP通信経路の匿名化ツールの代表例
各種OSに対応
匿名サービスを作成出来る(web/mail/..)
ただ”exit Node”(匿名経路の最終通過地点)は
匿名化されていないので別途暗号化必須(SSL等)

7. [基本的な流れ]
entry
relay
tor
Client
目的地
exit

8. 小文字英数字16個.onion ?
..いわゆる疑似アドレス(疑似TLD)

9. [疑似TLDアドレスって何?]
Pseudo-top-level domain(疑似TLD)
公式に参加していないコンピュータネットワ
ークラベルの様物で..
.exit, .i2p, .onion, .oz, .bit, .zkey
などがある。

10. [どんなURL?]
小文字英数字16個.onion なアドレス
RSA→SHA-1→HASH求め(ダイジェスト)→Base32エンコード
[a-z]-[2-7]を使用した16文字URL
勿論torにはtor-proxyを経由しないとアクセス出来ない

11. [簡単に推測用のURL生成]
source_str = 'abcdefghijklmnopqrstuvwxyz1234567890'
name = "".join([random.choice(source_str) for x in xrange(16)])
url = name + “.onion”
とかで生成は出来てるわけで..(苦笑)
生成したURL→

12. [始めるに至って..]
tor-socksが動作している事確認
無い人は、sudo apt-get tor とか叩いて
ください。

13. [Let’s go to tor hidden service IN!!]
lxxltqocclzfdrl6.onion
テスト用にtorのwebサービス作成
-hostname
-private-key
….が割り振られる。

14. [下手な鉄砲も数撃ちゃ当たる?]
client サービスXtor network
生成したURLを投げて
応答来たの表示
不特定の.onion

16. つらい

17. [URL LIST..]
url.csvというカンペを作成

18. [From random to list !!]

19. From failure to success

20. [.onion見つける改善点]
URLの生成時にある程度キーワードを付け加える
例)yamato[11文字の乱数].onion

21. demo?

22. malware

23. [Tor base POS Malware]
仕組み自体はC＆Cと仕組みは同じで、RSAで暗号化さ
せ実際のIPアドレスを隠蔽する。Torネットワークを介
して処理されネットワークレベルの検出を回避サーバー
アドレスも.onion(疑似TLD)を使用。
Generic keylogger(キーストロークキャプチャ)
Memory scrape(正規表現を使用して情報ダンプ)
([0-9]{15,16}[D=](0[7-9]|1[0-5])((0[1-9])|(1[0-2]))[0-9]{8,30})

24. [memory scrape]
基本的にPOS malwareではよく使われる手法

25. [memory scrape流れ]
CreateToolhelp32Snapshot
OpenProcessReadProcessMemory
Scrape process memory
Black List
Process32First
Black List
Process32Next

26. Future Works

27. ご清聴ありがとうございました!!
Connect to me{
twitter:r00tapple
facebook:村島正浩
}