В этой статье расскажем о том, как вычисляют администраторов ресурсов в Tor Network, то есть в дарквебе. Мы рассмотрим структуру сайтов в Tor, обсудим известные случаи деанона и многие другие особенности этого темного уголка интернета, который считается анонимным. По ходу дела будут рекомендованы программы, которые помогут в работе.

Думаю, ты уже в курсе, что сайты, адрес которых заканчивается на .onion, — не простые и без дополнительных усилий открыть их в обычном браузере не выйдет. Так называемый дарквеб состоит из таких вот сайтов. Очень часто они посвящены торговле незаконными товарами и услугами. Конечно, ведь администраторам этих сайтов не приходится заполнять свои контактные данные при регистрации, никакой цензуры нет, а «луковая» маршрутизация через череду прокси‑серверов должна обеспечивать анонимность.

Сайты в Tor Network не индексируются обычными поисковиками, зато существуют специализированные поисковики, которые ищут только в Tor. В общем, как ты понял, это целый отдельный мир.

Как работает Tor Network
При обычной прямой IP-маршрутизации все относительно просто: один узел делает запрос по какому‑то адресу, другой отвечает на тот же адрес, с которого поступил запрос. В луковой же маршрутизации любой запрос сначала проходит через три узла, называемых нодами Tor. По умолчанию входной и выходной узлы шифруют информацию так, чтобы она прошла через следующий узел.

Идеальная защита от слежки? Не совсем. Любой в теории может сделать свой компьютер узлом‑посредником и собирать данные о запросах. Ты спросишь, кому это нужно, если информация зашифрована? А что, если атакующий будет собирать часть информации до шифрования, заразив входную ноду? Или наоборот — выходную, и получать данные о запрашиваемых ресурсах? Именно второй вариант наиболее распространенный.

К тому же злоумышленник может модифицировать или полностью изменить информацию, передаваемую от сервера клиенту. Так можно даже заразить устройство клиента вредоносным кодом.

В 2020 году была обнаружена хакерская группировка KAX17, которая управляла 900 зараженными серверами, к которым обращалось до 16% пользователей Tor.

Вот несколько инструментов, которые помогают исследовать ноды Tor:

• TOR Node List — список нод;
  
• ExoneraTor — проверка IP на использование в качестве нод Tor;
  
• Onionite — информация о нодах;
  
• Tor Metrics — информация о нодах;
  
• Collector Tor — архив IP и портов узлов.

Как и в обычном интернете, сайты в Tor могут получать от клиента информацию о разрешении экрана, количестве ядер компьютера и других параметрах, которые в совокупности могут составлять уникальный отпечаток.

Именно поэтому эксперты советуют не включать JavaScript на сайтах в даркнете или как минимум не использовать браузер в полноэкранном режиме, чтобы не выдавать размер экрана. Цифровой отпечаток — это, конечно, не так страшно, как настоящие личные данные, но позволяет выделить уникального посетителя из определенного количества.

«Луковый» DNS
Разведка через Whois и сервисы типа DNSdumpster в сети Tor просто невозможна, ведь луковичная система доменов работает совсем не так, как обычная. Вот ее основные отличия:

1. Существует только единая доменная зона .onion, домены состоят из сгенерированных идентификаторов, из‑за чего в принципе отсутствует та самая иерархическая структура с TLD, SLD и поддоменами.
   
2. Децентрализованное хранение — это главная проблема собирающего информацию, ведь из‑за него невозможно послать запрос к Whois. В классической DNS информация о доменах и соответствующих им IP-адресах хранится на централизованных DNS-серверах. В Tor информация о доменах .onion и их адресах хранится на распределенных узлах в сети Tor.
   
3. Отличаются и протоколы. Если в классической DNS используются запросы UDP и TCP-запросы, то система DNS в Tor напрямую обращается к распределенным узлам хранения, чтобы получить нужный адрес.

www
TorWhois — нечто вроде сервиса Whois для Tor. Позволяет получить информацию об открытых портах, сертификатах, ключах и информацию о robots.txt.

Есть исследование, которое показало, что DNS-трафик в сети Tor можно использовать для точного определения посещаемых сайтов. Исследователи разными методами анализировали DNS-запросы, проходящие через выходные узлы Tor, и выясняли корреляции этих запросов с конкретными сайтами.

Можно просто искать в запросах домены. Поскольку в адресах .onion домены состоят из сгенерированных идентификаторов, их легко сравнивать с идентификаторами в DNS-запросах и устанавливать соответствия. Это позволяет определить, какие конкретные сайты пользователь посещал через Tor.

В редких случаях администраторы не удаляют метаданные у файлов, размещенных на сайте, а метаданные могут включать такую информацию, как модель фотоаппарата, имя, геолокация и многое другое. Сейчас даже обычные соцсети удаляют метаданные при загрузке файлов.

Структура сайтов
Сайты в Tor используют обыкновенные CMS, как и сайты в «клирнете». Конечно, внутри всё те же HTML, CSS и другие привычные технологии. То есть тут нет ничего удивительного и нового. На скриншоте ты можешь увидеть, что автор сайта сделал его на Bootstrap. А использование популярных технологий, конечно, открывает возможность для автоматизации аудита в целях разведки. Для этого есть:

• Onionscan (аудит onion-сайта);
  
• Onion Nmap (Nmap для onion-сайта);
  
• OWASP ZAP (сканер);
  
• Nikto (сканер);
  
• WPScan (сканер);
  
• Burp Suite (сканер);
  
• Wapiti (сканер);
  
• список уязвимостей на Mitre.org.

Теневая экономика
Чаще всего дарквеб используют для торговли запрещенными товарами и услугами. Вырученные деньги потом нужно как‑то выводить, и здесь торговцы запрещенным изобретают самые изощренные схемы. Обычно — с использованием криптовалюты. Именно на этапе вывода денег чаще всего и попадаются владельцы маркетплейсов.

Представь: клиент покупает крипту, покупает на нее что‑то в даркнете, криптовалюта хранится на депозите маркетплейса, затем большая часть переходит продавцу, а дальше он пытается ее обменять на фиатную валюту.

Получается, что можно установить, каким обменником пользуется продавец, если знать адрес его криптовалютного кошелька. Для этого достаточно визуализировать его активность с помощью специальной программы. На кошельке обменника, конечно же, будет огромное число транзакций и немалая сумма денег.

Визуализаторы зачастую платные, но есть и несколько бесплатных:

• Breadcrumbs;
  
• OXT.ME;
  
• Blockpath.

Часто при отмыве денег применяются криптовалютные миксеры. Они позволяют скрывать криптовалютные активы, распределяя их по множеству других кошельков, и затем снова переводят в один. Это усложняет отслеживание транзакций, но не делает их полностью анонимными.

Если визуализировать транзакции кошелька, который использовал миксер, можно заметить следующие особенности:

• множество входов и выходов в одной транзакции, включая адреса, не связанные с исходным кошельком;
  
• перемешивание средств между разными адресами и кошельками;
  
• связи с другими транзакциями — цепочки и кластеры транзакций, связанные с биткоин‑миксером;
  
• неоднородность сумм транзакций;
  
• необычные временные интервалы между транзакциями.

Найти настоящий адрес покупателя тяжело, но вполне реально. Однако ПО для анализа транзакций миксеров в открытом доступе пока что нет. Поэтому приходится просто идти по цепочке транзакций, пока не найдешь что‑то похожее на кошелек, принадлежащий человеку.

Как ты понял, отмыв денег и их отслеживание — это отдельная большая тема. Но знать о ней нужно, хотя бы на базовом уровне. Существует огромное количество схем легализации средств, полученных преступным путем, — от создания офшорных организаций до покупки разного имущества. Все это, мы, конечно, здесь разбирать не будем.

Поисковики
Поисковики и дорки (рецепты запросов) всегда были главным оружием современного OSINT-специалиста, и в сети Tor всё точно так же. Давай посмотрим, какие поисковики ищут по дарквебу.

Вот поисковые системы, доступные в клиренете, и индексирующие onion-сайты:

• Onion Search Engine;
  
• Torry;
  
• OnionLand Search;
  
• Tor Search;
  
• OnionSeach;
  
• DuckDuckGo.

Многие из них удобны и позволяют комбинировать результаты из клирнета и дарквеба.

А вот список поисковых систем, у которых есть сайты в сети Tor (ссылки приведены на onion-адреса

• DuckDuckGo;
  
• Not Evil;
  
• Ahmia;
  
• Haystak;
  
• Torch;
  
• Demon.

С этими системами можно пробовать базовые дорки вроде поиска точного совпадения (двойные кавычки), указания сайта, на котором искать (оператор site), оператора intext и прочих в том же духе. В большинстве поисковиков это сработает.

info
Подробнее о дорках читай в статьях «Используем малоизвестные функции Google, чтобы найти сокрытое» и «Google как средство взлома. Разбираем актуальные рецепты Google Dork Queries».

Если наша цель — вычислить администратора форума, то в ход идут любые приемы разведки. Например, если известны его интересы, то можно пройтись по тематическим форумам в поисках упоминания его никнейма.

Вот пример запроса, который выдаст результат поиска по архиву форума «Хакера» в поисках пользователя moon:

siteldforum.xakep.ru intext:moon

Кстати, о тематических форумах. Есть вики, которые коллекционируют ссылки на сайты в дарквебе, и оттуда легко почерпнуть подборку адресов криминальных форумов. Вот некоторые из них:

• The Hidden Wiki;
  
• IACA DarkWeb;
  
• DarkWeb Links;
  
• The DarkWeb Links.

Если ты знаешь, что человек увлекается, например, чтением, можешь проверить соответствующие разделы форумов.

Они ведь тоже люди!
Пользователи форумов и администраторы маркетплейсов тоже не роботы, так что им свойственно допускать ошибки. К примеру, кто‑то может отправить свою фотографию человеку, с которым познакомился в интернете. Я лично слышал о нескольких случаях, когда задерживали администраторов крупнейших нелегальных площадок, предлагая встретиться. Эксперты используют самые разные ловушки и ханипоты, чтобы подсунуть преступнику файл, ссылку, а иногда целое фейковое приложение или маркетплейс.

Ловушки
Ловушки вроде IP Logger или Canary Tokens — это самое простое и малобюджетное, что бывает. В случае с Canary Tokens ты можешь развернуть свой сервер с помощью готового образа для Doсker, который любезно предоставили нам разработчики. У этого инструмента много интересных возможностей, и, на мой взгляд, его часто недооценивают.

Что до IP Logger, то не рекомендую использовать его при попытках выследить профессионалов. Эта программа скорее напоминает детскую игрушку, а не рабочий инструмент, и мало‑мальски продвинутый пользователь сразу заподозрит недоброе.

Фингерпринтинг
Поскольку сайтам в Tor не запрещено использовать все стандартные технологии, здесь может работать и фингерпринтинг — отслеживание пользователей через уникальные отпечатки.

Для примера заглянем на сайт AmIUnique.org. Сервис без проблем определит версию движка, ОС, язык, шрифты, плагины и с некоторой точностью — поддерживаемые браузером аудио- и видеоплагины. Это сложно назвать точной идентификацией, но выделить одного подозреваемого из тысячи может помочь.

Tor Browser специально маскирует разрешение экрана, чтобы затруднить идентификацию, плюс пользователи могут сами подменить отпечаток на основе тега canvas. Все это делает фингерпринтинг менее точным, но не предотвращает его полностью.

Есть и более изощренные тактики, основанные на фингерпринтинге. Не все знают, что если открыть Tor Browser и обычный и потом переключаться между ними горячими клавишами или мышью, то можно выдать связь своего реального IP и IP в сети Tor. Подводят уникальные закономерности вроде положения курсора мыши, которое можно отследить. То же касается и использования двух вкладок в Tor Browser. Tor будет использовать для них разные входные узлы, но, если включен JavaScript, взаимосвязь между табами все же можно будет установить.

Анализ текста
Не секрет, что у каждого свой стиль сообщений в социальных сетях, и администраторы форумов и маркетплейсов не исключение. Кто‑то часто ставит пробелы перед запятыми, кто‑то не фанат прописных букв, а у кого‑то просто сломана клавиатура и какая‑то кнопка часто не нажимается.

Все эти маленькие особенности помогут найти другие аккаунты на других форумах, в социальных сетях и так далее. Говорят, что именно такие ошибки допускал Росс Ульбрихт, владелец крупного маркетплейса Silk Road.

Краулеры, спайдеры, скреперы
Существуют разные типы инструментов для сбора данных в интернете.

• Crawler (краулер) — это программа, которая автоматически обходит сайты и собирает информацию. Она работает подобно паукам, но способна собирать информацию разных типов.
  
• Scraper (скрепер) — программа, которая извлекает данные с веб‑сайтов, часто автоматически, и сохраняет их в структурированном формате для дальнейшего использования или анализа.
  
• Spider (паук) — программа, которая автоматически переходит по ссылкам на сайтах, анализирует содержимое страниц и индексирует их для поиска или других целей.

Эти инструменты полезны при анализе сайтов в сети Tor. Они помогают собрать информацию о фотографиях, директориях и самую разную информацию о структуре сайтов. Интересны они тем, что дают максимум сведений о том, что происходит на сайте, без посещения самого сайта.

Начнем с краулеров, их можно использовать для сбора определенного типа данных на сайте, к примеру фото, видео, текста и так далее. Например, ты хочешь перебрать все фото на сайте и найти те, которые содержат метаданные.

Вот несколько краулеров для Onion:

• TorBot;
  
• OnionBot;
  
• OnionScan;
  
• VigilantOnion;
  
• OnionIngestor.

Скреперы работают по заданному алгоритму, который определяет, какие данные нужно собирать и как их извлекать. Обычно они делают запросы к серверу, а затем анализируют полученный HTML, чтобы извлечь нужную информацию. В ход идут разные методы разбора страниц — парсинг HTML, поиск по тегам и классам CSS, регулярные выражения и так далее. Часто сайты выгружаются целиком для дальнейшего анализа.

Вот некоторые программы и библиотеки для скрепинга:

• Scrapy;
  
• BeautifulSoup;
  
• Selenium;
  
• Puppeteer;
  
• Frontera.

Пауки же предназначены для индексации сотен и тысяч ссылок. Для Tor существуют Onioff и Onion Spider.

Форензика
Под конец немного затронем тему форензики, а не OSINT. При судебно‑технической экспертизе компьютера, на котором использовался Tor, в первую очередь стоит проверять:

1. Папку C:\Windows\Prefetch, где могут находиться файлы, связанные с запуском Tor Browser (исполняемый файл браузера или файлы DLL, загружаемые при его работе). Анализ их временных меток позволяет установить, когда запускался браузер.
   
2. Кеш миниатюр. В нем могут сохраняться превью изображений, просмотренных через Tor. Их можно сопоставить с определенными сайтами.
   
3. Файл подкачки. Здесь тоже может быть инфа о запуске браузера, посещении сайтов и файловых операциях, связанных с использованием Tor.
   
4. Реестр Windows. Помогает извлечь настройки браузеров, историю посещений, кешированные данные, а также записи о загруженных расширениях и плагинах.

Анализ дампов — также неотъемлемая часть судебно‑технической экспертизы. В них содержится масса информации о том, что происходило на компьютере. Захватить дамп оперативной памяти можно, к примеру, при помощи Belkasoft RAM Capturer.

Для анализа реестра может пригодиться программа Regshot.

Для анализа сетевого трафика рекомендую Wireshark и NetworkMiner. Wireshark хорош для выявления разных типов пакетов и фактов установки связей между узлами. Он помогает идентифицировать характеристики протоколов, используемых в Tor. А NetworkMiner специализируется на анализе сетевого трафика и выявлении скрытых связей и закономерностей. NetworkMiner может помочь в обнаружении и анализе активности в сети Tor, включая обмен информацией и использование анонимных прокси‑серверов.

И конечно, нужно изучить базу данных самого Tor Browser. Она находится по такому пути:

TorBrowser\Browser\TorBrowser\Data\Browser\Profile .default

Здесь при определенных настройках браузера может храниться история просмотра, закладки, сохраненные пароли, cookie и другие пользовательские данные.

Изучение данных кошельков Bitcoin — тема отдельная и сложная, но для сбора доказательств можно использовать Internet Evidence Finder.

Выводы
При видимой анонимности сайтов в Tor всегда есть способы идентифицировать их владельцев. Да, некоторые из них сложны и требуют серьезной работы, но, поскольку администраторы тоже совершают ошибки, нет‑нет да срабатывают. Рекомендую всем, кто занимается подобными расследованиями, не забывать применять не только описанные тактики, но и те методы, которые срабатывают и в клирнете.

Первоисточник
Источник перевода