ダークウェブ上で違法に大麻を販売する売人のサイトのIP漏洩を探る

 今回も前回同様Hidden Service(秘匿サービス)を用いてサーバーのIPと所在が隠された、ElHerbolarioと呼ばれる大麻を違法に販売しているVendor Shopのウェブサイトに迫りたいと思います。今回はHidden Serviceの説明を省くので簡単な説明については前回の記事を参照してください。下記にリンクを記しておきます。

sh1ttykids.hateblo.jp

Vendor Shopとは?

 Vendor Shopとは売人が持つ専用の販売サイトです。マーケットとは違い仲介者がいないので詐欺であることもあります。一方マーケットではAmazonのように商取引の安全性を保証する仲介サービス(エスクローサービス)がついていることが多いです。

 Vendor Shopの中でもこのサイトは評価が高いです。長続きしているサイトで、何かありそうだと直感で感じたので調べてみることにしました。

-

実際に調べていく

 今回使用したのは以下のサービスです。

Censysだけですが探すのにあたり他にも直感を使用しました。

サイトの外観、ソースから情報を得る

 まず最初にサイトの外観から何か情報が得られないか確認して見ましょう。

f:id:Sh1ttyKids:20171116142608p:plain

 上記がサイトの外観です。ElHerbolarioという特徴的な文字列を確認できるので一応覚えておきましょう。ところで、なんだかwordpressっぽいですよねー?ここでソースコードを見てみましょう。

f:id:Sh1ttyKids:20171116143240p:plain

 ところどころwp-contentといったパスが入っていることがわかります。これはwordpress特有のものです。他にも(URL)/wp-content/にアクセスを試みてみると何も表示されません。そこで右クリックで[要素を調査]をクリックしてNetworkタブを開き、リロードしてみましょう。

f:id:Sh1ttyKids:20171116143519p:plain

 statusは200です。200というのはリロードした際に送られたリクエストが正常であったという意味です。なので、/wp-content/というフォルダが存在したということになります。これにより完全にwordpressであるということがわかります。なぜこのフォルダについて書いたかというと過去に別の麻薬の売人のサイトで同じようにフォルダのパーミッション設定のミスによりデータベースが流出したためです。

他にも私がよく確認する設定ミスの検索に使うパスを以下に貼っておきます。

  • /wp-content/
  • /wp-includes/
  • /wp-admin/
  • /wp-content/uploads/
  • /server-status (Apacheのみ)
  • /server-info (Apacheのみ)
  • /cpanel
  • /phpmyadmin
  • /admin
  • /dump
  • /backup

そもそもElHerbolarioとは一体何なのか?

 最初、私はこれが何語なのかもわからないでいました。しかし不自然にEとHが大文字であることに気づき、これが単語の区切りなのではないか?と思いました。そこでgoogle翻訳で”El Herbolario”とは何語でどういう意味なのか調べることにしました。

f:id:Sh1ttyKids:20171116144148p:plain

 スペイン語で薬草主義者という意味であるということがわかりました。このサーバーを構築した人はスペインにゆかりがある人物なのではないかということがわかります。

 次にヘッダーでipが漏れていないかを確認して見ましょう。

f:id:Sh1ttyKids:20171116144448p:plain

 サーバーはnginxでOSはdebianを使っています。IPこそ漏れてはいませんでしたが後に使えそうなので覚えておきましょう。

Censysでさらに何か情報がないか検索をかけてみる

 ここで私が愛用しているCensysの登場です。先ほどでてきたElHerbolarioという特徴的言葉を用いて検索をかけて見ましょう。

f:id:Sh1ttyKids:20171116144639p:plain

 複数件ヒットしました。複数件の結果の中で一番上の”ElHerbolario Personal Shop”というのがあります。気になったのでこのIPにアクセスしてみましょう。

f:id:Sh1ttyKids:20171116144843p:plain

 なんとDDoS攻撃を受けた際に使用するmirrorサーバーであるということがわかりました。さらにサーバーはBlazingfastを使っています。ここは防弾サーバーとして有名です。下記の通り他にもdebianとnginxを使っていることがわかります。元のサーバーと同じです。

f:id:Sh1ttyKids:20171116144953p:plain

ここで情報が多くなってきたので一旦本物とミラーを比較して一致した点をまとめます。

  • OSはDebianを使用(推測:Debianに慣れている?)
  • webサーバーはnginx/1.6.2(推測:上記に同じく使い慣れている可能性)
  • Hidden Service(秘匿サービス)を使用している

その他

  • BlazingFastを使用している
  • スペインにゆかりがある

 ここで一旦考えてもらいたいのは人の癖です。私もそうですが大多数の人はだいたい同じものを使いたがる性質があると思います(そうでない方は私と一度お話ししましょう。twitterなどで話しかけてきてください。) なのでこのwebサイトの管理人も同じように同じようなものを使っているのではと考えたのでcensysで絞り込みをかけていきます。そこで使用するcensysの検索構文を以下に記します。

  • autonomous_system.description.raw: "DOTSI, PT”

    データセンターをblazingfast(DOTSI, PT)のものに設定します。

  • 80.http.get.headers.server: "nginx/1.6.2”

    nginx/1.6.2にバージョンを限定し設定します。

  • metadata.os_description: Debian

    使用しているOSをDebianに限定し設定します。

  • -protocols.raw: "443/https

    httpsを使用していないので”-“をつけてマイナス検索で排除します。

これらをAND検索してみます。以下に検索文を書いておきます。

  • autonomous_system.description.raw: "DOTSI, PT" AND 80.http.get.headers.server: "nginx/1.6.2" AND metadata.os_description: Debian AND -protocols.raw: "443/https"

f:id:Sh1ttyKids:20171116145940p:plain

 23件ほど検索結果が返ってきました。上から順に見ていくと188.209.52[.]177というIPアドレスのところにサイトのタイトルで”Hidden Service Success”というふうに入っていることを確認できます。何やら怪しいですね。実際にこのIPにアクセスしてみると以下のページに飛びました。

f:id:Sh1ttyKids:20171116174354p:plain

" as instalado tu propio servidor!! :D "と表示されています。最後の":D"は顔文字ですがその前の文章は何語なのでしょうか?google翻訳にかけて見ましょう。

f:id:Sh1ttyKids:20171116174608p:plain

なんとスペイン語であるということがわかりました。サイトのページにもHidden Serviceとの記述があるので非常にこのIPである可能性が高いです。このようにして探し当てることができました。

-

 近年Tor上に違法なサイトを構築している人が多くなってきていますが、セキュリティに関していえばそこまで頑丈と言うことではないことが前回と今回の記事でわかるかと思います。あまり技術を持っていない人でも簡単に見つけられるのでみなさんにもやってみてほしいです。このような手法は法律に一切触れることなく扱うことができるのでもっと認知してもらえれば嬉しい限りです。(どこかでハンズオンができればやりたいですね)

 前回IDC2.0について書きましたが、私のTwitterのフォロワーを通じてイタリアの法執行機関の方を紹介してもらい適切に情報を提出することができました。今後も管理者について一緒に追いかけていくつもりです。今回の件に関しても法執行機関に提出をしていきたいと思います。

Italian Darknet CommunityのIP漏洩を探る

    インターネットへの接続の際に匿名化を行う"Tor”には"Hidden Service(秘匿サービス)"という機能があり、他者からサーバのIPや所在を隠すことができます。
    Italian Darknet Community(以下IDC)はこれを用いて構築された「児童ポルノとテロ関連以外のすべてのもの」の議論と販売を許可しているイタリア圏で最大のコミュニティ兼マーケットです。何かありそうだなと思い、暇だったので調べてみました。

 

 -

 

 今回は下記のサービスを利用して調査を行いました。

 これらのサイトはインターネットに接続されている機器を全てスキャンしており、いくらTorを通していても生ipで公開している箇所があればスキャンされて記録として残ります。

 

    調べていく上で最初にサイトのソースコードを確認しました。何か特徴的な部分や文言が含まれていないかを見る為です。以下がそのソースコードです。

f:id:Sh1ttyKids:20171029002313p:plain上記の画像を見てもらうとわかるように非常に単純なサイトで、このサイトは過去におそらく一つの2qrdpvonwwqnic7j[.]onionというアドレスを使用していたようなのですが、今は別の二つのアドレスを使用しておりそちらへの案内として機能しているようです。ここで注目したいのは<title></title>内に”IDC 2.0 | Mirror”といった特徴的な文言が含まれている事です。今回はこれを使ってfofa.soを利用して検索をかけていきましょう。

f:id:Sh1ttyKids:20171029003057p:plain

 

上記が検索結果になります。いくつか同じ文言を含んだサーバーが発見できました。ここで発見したIPのサイトのソースコードと上記の本物のサイトとを比較して見てみましょう。

f:id:Sh1ttyKids:20171029004413p:plain

※fofaの仕様で全体ではなく一部しか写せなかったです。申し訳ありません。

 

 リンクは本物と全く同じなので本物のサイトかフェイクの可能性が高いです。もしフィッシングだとするならば、上記にも記した通りこのサイトはそもそも別の関連サイトに誘導しているだけなので、本物のソースから少し改変を行い偽物のアドレスに差し替えて偽のフィッシングサイトに誘導する必要があります。

    しかし、今回の場合はリンクも本物を使用しておりフィッシングサイトの可能性はかなり低く本物である可能性がかなり高いです。

 さらに下記の画像の通り、ヘッダーを確認して見てもあまり大差ないことがわかります。

f:id:Sh1ttyKids:20171029005416p:plain

f:id:Sh1ttyKids:20171029005445p:plain

 

Shodanを使用してさらに調べる

 ここからはshodan.ioを使用していきます。先ほどfofa.soの検索結果において出てきた176.123.10[.]203というIPアドレスをshodanで検索してみます。

f:id:Sh1ttyKids:20171029005714p:plain

 

 SSHwebサーバーが稼働していることが確認できます。そこで注目したいのがSSH Fingerprintです。このSSH fingerprintというのはSSHの公開鍵から生成されており、もしこの鍵を管理がめんどくさいなどの理由で使い回しを行なっていた場合同じfingerprintのサーバーがいくつも発見できるはずです。では実際にshodanで”5b:89:7a:16:18:bb:75:3d:01:23:b5:65:05:95:ae:8b”を検索にかけてみましょう。

f:id:Sh1ttyKids:20171029010337p:plain

f:id:Sh1ttyKids:20171029010341p:plain

 

 なんと14個も発見することができました。その中でもモルドバのサーバーがおそらくIDCのものと思われます。理由としてはホストネームを見るとalexhost.mdと書いてあり、このalexhostは防弾ホスティングサービスを提供していることで知名度が高いです。

 さらに検索結果の中でもドイツにある85.214.60[.]153というipアドレスのサーバーに注目したいと思います。このサーバーにはPoenitz.TVというサイトがホストされておりFaceBookにはこのサイトのページが公開されています。

https://www.facebook.com/poenitztv/

もしかするとこの中に写っている誰かがIDCの運営者なのではないかと思っています。

 

-

  下記の通り私はこの一連の情報を発見後ツイートしました。するとそれからIDCは度々ダウンしたり元に戻ったりを繰り返し、不安定な状況が続いています。もしかすると外部からなんらかの攻撃を受けている、もしくは法執行機関が何かしらで動いている可能性があります。

 

 私はこの手の情報をどこに提供をすればいいのかわからない状態でどうしようかと思い結局Twitterに投稿しています(影響力のある人に頼んでいたこともある)。もし何らかの形でここが良いよ!という場所等があれば私のメール又はXMPPのcuckoo(at)cock(dot)luか、Twitterの@Sh1ttyKidsにリプ、もしくはDMで教えてもらえたらなと思います。