Etagを用いてTor Hidden Serviceを非匿名化する

筆者は主にShodanなどの一般に公開されているOSINTサービスのほか、アンダーグラウンドコミュニティなどの情報源から調査を行った。すでにサーバーが閉鎖されていること、容疑者と思われる人物が起訴されたことなどからレポートの公開へ踏み切った。Etagを用いた非匿名化手法は巷ではほぼ知られていない手法であり、コミュニティに還元する価値のあるものと考えた。

初版: 2020/11/12作成 (TLP:RED version, 法執行機関向け)

公開版: 2023/06/13作成 (TLP:WHITE version)

概要

暴露型ランサムウェアとして知られているRagnar Lockerはゲーム会社カプコンを攻撃し、 1テラバイト分のデータを盗んだと主張した。カプコン側はRagnar Lockerからの要求を拒否したため、盗まれたファイルのうち67GBがダークウェブ上で公開された。

Ragnar Lockerがリークサイトにて掲載したカプコンのページ

調査

このリークサイトにはリンクだけ書かれており、ファイルそのものは置かれていない。代わりとしてRagnar Lockerの運営者が準備したと思われる漏洩データなどのファイルをホストするための専用のOnionアドレスがある。ファイル自体は以下の画像に示す通り、複数のファイルに分割し、t2w…から始まるOnionアドレス上にてホストされていた。

Onionアドレスと漏洩データのファイル名

このOnionアドレスに直接アクセスすると空のページが表示されたことから、カプコンの漏洩データをホストするための専用のアドレスであると推測した。筆者は本レポート執筆時点(2020/11/12)でカプコンの漏洩データをホストすること以外に使われた形跡を確認していない。

空白のページとレスポンスヘッダー

一般的にダークウェブのウェブサイトからオリジンのIPアドレスを見つける際はウェブサイトのソースコードやSSL証明書、レスポンスヘッダーなどをチェックし、ユニークな文字列やフィンガープリント情報を取得した上でShodanやCensysなどのスキャニングサービスにて検索を行うケースが多いが、本ケースの場合はウェブサイトのソースコードなどの情報を取得できなかった。

そこでレスポンスヘッダーを確認した。スキャニングサービスではソースコードの他、レスポンスヘッダーを取得している。そのため、レスポンスヘッダーにユニークな文字列が含まれている場合、オリジンのIPアドレスを取得できる可能性がある。

HTTP/1.1 304 Not Modified
Date: Wed, 11 Nov 2020 17:09:12 GMT
Server: Apache/2.4.6 (CentOS) mpm-itk/2.4.7–04 OpenSSL/1.0.2k-fips PHP/5.4.16 Connection: Keep-Alive
Keep-Alive: timeout=5, max=100
ETag: "0–5a4a8aa76f2f0"

Serverヘッダーなどで検索したところ、ユニークな文字列ではなかったためか思うように絞り込むことができなかった。他に絞り込んで検索できる箇所がないかをチェックしたところ、レスポンスヘッダー中のETag情報が特定に使えるのではないかと考えた。

ETagはレスポンスヘッダーに含まれる情報で、コンテンツごとに生成され、レスポンスヘッダーに含まれた状態でブラウザに送信される。コンテンツが変更されなければ静的な情報であり、フィンガープリント情報として検索可能であると判明した。Shodanを用いて、ETagの情報0–5a4a8aa76f2f0で検索してみたところ、一件ヒットした。

Shodanでの検索結果

IPアドレスに直接アクセスしてみると、t2w5by… .onionのアドレスに直接アクセスした時と同様に空白のページが表示される。

※余談：スキャニングサービスを利用する際は、ShodanやCensysなどのサービスが「どのようにスキャンして情報を取得・保存し、どのような情報を検索できるか」を把握しておくことが如何に重要であるかをこのリサーチにおいて学んだ。

空白のページが表示される

レスポンスヘッダーを確認し、同一のETagであることが判明した。Serverなどの他のヘッダーが一致していないことについては理由は不明である。

レスポンスヘッダー内のEtag情報

Onionアドレス上とIPアドレス上で同一名のファイルのダウンロードを試行したところ、以 下の画像の通り同一名のファイルが所在していることを確認できた。そのため、t2w5by… .onionのOnionアドレスのオリジンIPアドレスは5[.]45[.]65[.]52であるということが言える。

※実際にはファイルをダウンロードした上でハッシュをチェックするなどして最終的な確認を取るところまでを行いたかったものの、諸々の問題があり行わず。

同じファイルが存在していることがわかる

結果

カプコンの漏洩データをホストしていたOnionアドレス(t2w5by… .onion)から、Etag情報を用いた調査によりオリジンのIPアドレス(5[.]45[.]65[.]52)を取得することができた。例えば、現地の法執行機関がこの情報を得た場合、サーバーを押収し捜査に役立てることができる可能性がある。

後日、FBI Flash Reportより、 5[.]45[.]65[.]52 というIPアドレスが言及されていることを確認することができる。このIPアドレスについての詳細な情報については書かれていないが、 上記で示した調査の通り、Ragnar Lockerの漏洩データをホストするためのサーバーとして使われていたものである。

謝辞

この調査に協力していただいたサイバーディフェンス研究所のHoi Myongさん、TrellixのJohn Fokkerさん、本情報における捜査を行なっていただいた国際的な法執行機関の方々に感謝申し上げます。