ダークウェブ上で違法に大麻を販売する売人のサイトのIP漏洩を探る

　今回も前回同様Hidden Service(秘匿サービス)を用いてサーバーのIPと所在が隠された、ElHerbolarioと呼ばれる大麻を違法に販売しているVendor Shopのウェブサイトに迫りたいと思います。今回はHidden Serviceの説明を省くので簡単な説明については前回の記事を参照してください。下記にリンクを記しておきます。

sh1ttykids.hateblo.jp

Vendor Shopとは？

　Vendor Shopとは売人が持つ専用の販売サイトです。マーケットとは違い仲介者がいないので詐欺であることもあります。一方マーケットではAmazonのように商取引の安全性を保証する仲介サービス(エスクローサービス)がついていることが多いです。

　Vendor Shopの中でもこのサイトは評価が高いです。長続きしているサイトで、何かありそうだと直感で感じたので調べてみることにしました。

実際に調べていく

　今回使用したのは以下のサービスです。

Censys(https://censys.io)

Censysだけですが探すのにあたり他にも直感を使用しました。

サイトの外観、ソースから情報を得る

　まず最初にサイトの外観から何か情報が得られないか確認して見ましょう。

f:id:Sh1ttyKids:20171116142608p:plain

　上記がサイトの外観です。ElHerbolarioという特徴的な文字列を確認できるので一応覚えておきましょう。ところで、なんだかwordpressっぽいですよねー？ここでソースコードを見てみましょう。

f:id:Sh1ttyKids:20171116143240p:plain

　ところどころwp-contentといったパスが入っていることがわかります。これはwordpress特有のものです。他にも(URL)/wp-content/にアクセスを試みてみると何も表示されません。そこで右クリックで[要素を調査]をクリックしてNetworkタブを開き、リロードしてみましょう。

f:id:Sh1ttyKids:20171116143519p:plain

　statusは200です。200というのはリロードした際に送られたリクエストが正常であったという意味です。なので、/wp-content/というフォルダが存在したということになります。これにより完全にwordpressであるということがわかります。なぜこのフォルダについて書いたかというと過去に別の麻薬の売人のサイトで同じようにフォルダのパーミッション設定のミスによりデータベースが流出したためです。

German #darknet drug store, directory listing exposing SQL backup. #opsec fail 😱 h/t @Sh1ttyKids pic.twitter.com/iNhTCynASz
— x0rz (@x0rz) 2017年9月27日

他にも私がよく確認する設定ミスの検索に使うパスを以下に貼っておきます。

/wp-content/
/wp-includes/
/wp-admin/
/wp-content/uploads/
/server-status (Apacheのみ)
/server-info (Apacheのみ)
/cpanel
/phpmyadmin
/admin
/dump
/backup

そもそもElHerbolarioとは一体何なのか？

　最初、私はこれが何語なのかもわからないでいました。しかし不自然にEとHが大文字であることに気づき、これが単語の区切りなのではないか？と思いました。そこでgoogle翻訳で”El Herbolario”とは何語でどういう意味なのか調べることにしました。

f:id:Sh1ttyKids:20171116144148p:plain

　スペイン語で薬草主義者という意味であるということがわかりました。このサーバーを構築した人はスペインにゆかりがある人物なのではないかということがわかります。

　次にヘッダーでipが漏れていないかを確認して見ましょう。

f:id:Sh1ttyKids:20171116144448p:plain

　サーバーはnginxでOSはdebianを使っています。IPこそ漏れてはいませんでしたが後に使えそうなので覚えておきましょう。

Censysでさらに何か情報がないか検索をかけてみる

　ここで私が愛用しているCensysの登場です。先ほどでてきたElHerbolarioという特徴的言葉を用いて検索をかけて見ましょう。

f:id:Sh1ttyKids:20171116144639p:plain

　複数件ヒットしました。複数件の結果の中で一番上の”ElHerbolario Personal Shop”というのがあります。気になったのでこのIPにアクセスしてみましょう。

f:id:Sh1ttyKids:20171116144843p:plain

　なんとDDoS攻撃を受けた際に使用するmirrorサーバーであるということがわかりました。さらにサーバーはBlazingfastを使っています。ここは防弾サーバーとして有名です。下記の通り他にもdebianとnginxを使っていることがわかります。元のサーバーと同じです。

f:id:Sh1ttyKids:20171116144953p:plain

ここで情報が多くなってきたので一旦本物とミラーを比較して一致した点をまとめます。

OSはDebianを使用(推測:Debianに慣れている?)
webサーバーはnginx/1.6.2(推測:上記に同じく使い慣れている可能性)
Hidden Service(秘匿サービス)を使用している

その他

BlazingFastを使用している
スペインにゆかりがある

　ここで一旦考えてもらいたいのは人の癖です。私もそうですが大多数の人はだいたい同じものを使いたがる性質があると思います(そうでない方は私と一度お話ししましょう。twitterなどで話しかけてきてください。) なのでこのwebサイトの管理人も同じように同じようなものを使っているのではと考えたのでcensysで絞り込みをかけていきます。そこで使用するcensysの検索構文を以下に記します。

autonomous_system.description.raw: "DOTSI, PT”

データセンターをblazingfast(DOTSI, PT)のものに設定します。
80.http.get.headers.server: "nginx/1.6.2”

nginx/1.6.2にバージョンを限定し設定します。
metadata.os_description: Debian

使用しているOSをDebianに限定し設定します。
-protocols.raw: "443/https”

httpsを使用していないので”-“をつけてマイナス検索で排除します。

これらをAND検索してみます。以下に検索文を書いておきます。

autonomous_system.description.raw: "DOTSI, PT" AND 80.http.get.headers.server: "nginx/1.6.2" AND metadata.os_description: Debian AND -protocols.raw: "443/https"

f:id:Sh1ttyKids:20171116145940p:plain

　23件ほど検索結果が返ってきました。上から順に見ていくと188.209.52[.]177というIPアドレスのところにサイトのタイトルで”Hidden Service Success”というふうに入っていることを確認できます。何やら怪しいですね。実際にこのIPにアクセスしてみると以下のページに飛びました。

f:id:Sh1ttyKids:20171116174354p:plain

" as instalado tu propio servidor!! :D "と表示されています。最後の":D"は顔文字ですがその前の文章は何語なのでしょうか？google翻訳にかけて見ましょう。

f:id:Sh1ttyKids:20171116174608p:plain

なんとスペイン語であるということがわかりました。サイトのページにもHidden Serviceとの記述があるので非常にこのIPである可能性が高いです。このようにして探し当てることができました。

　近年Tor上に違法なサイトを構築している人が多くなってきていますが、セキュリティに関していえばそこまで頑丈と言うことではないことが前回と今回の記事でわかるかと思います。あまり技術を持っていない人でも簡単に見つけられるのでみなさんにもやってみてほしいです。このような手法は法律に一切触れることなく扱うことができるのでもっと認知してもらえれば嬉しい限りです。(どこかでハンズオンができればやりたいですね)

　前回IDC2.0について書きましたが、私のTwitterのフォロワーを通じてイタリアの法執行機関の方を紹介してもらい適切に情報を提出することができました。今後も管理者について一緒に追いかけていくつもりです。今回の件に関しても法執行機関に提出をしていきたいと思います。