Evitar la detección de monitoreo de Dark Web

Navega tus respuestas
2

En nuestra empresa, ofrecemos servicios de seguridad a nuestros clientes. Una de las cosas que la administración nos ha deparado es la necesidad de monitoreo de la web oscura.

Debido a que también estoy en las reuniones de negocios, la administración llegó a esta conclusión porque muchos de los CEO, o con los que trabajamos, se iluminan cuando se menciona "web oscura". Mi administración planea ofrecer el monitoreo de 10 personas clave y / o importantes en una empresa.

Mientras atravesamos este proceso, esto me hizo preguntarme cómo un atacante podría evitar la detección. Claro, muchas de las herramientas existentes son propietarias, pero después de haberlas investigado, en general, parecen estar simplemente rastreando la Web oscura a través de los navegadores Tor.

Mi pregunta ( puramente por razones académicas ): ¿Cómo podría usted, como atacante, evitar la detección en la web oscura dado que tiene información confidencial sobre 10 personas clave de una empresa y está intentando ¿Para recibir algún tipo de valor monetario por ello?

Imagino una respuesta con pasos, desde el día en que accedes a los datos confidenciales hasta el día en que los vendes en la web oscura.

* Esta respuesta realmente me ayudaría a definir el alcance del servicio que vamos a ofrecer y a ser realistas con los clientes.

** En mi humilde opinión, no creo en la utilidad de la supervisión de la web oscura porque da una falsa sensación de seguridad.

    
pregunta pm1391 16.07.2018 - 17:25
fuente

1 respuesta

4

Obteniendo acceso

Para comenzar, una red oscura es una red (a menudo encriptada) que se superpone a Internet pero requiere un software especializado para acceder a ella. El cliente Tor, suministrado dentro del paquete del navegador Tor, se conectará a la red Tor y dirigirá el tráfico a través de un triplete de nodos: entryNode - > relayNode - > exitNode. Los tres nodos cifrarán los datos transmitidos con sus claves públicas en el orden:

  • (entryNodePublicKey (relayNodePublicKey (exitNodePublicKey (data)))

A menos que tenga un spyware cargado en las computadoras host para las "personas importantes", solo verá la dirección IP del nodo de entrada y el tráfico cifrado. Usando esta dirección IP, puede confirmar que pertenece a la red Tor, como nodo de inducción o nodo de protección.

Debido a que Tor se implementa para activistas políticos, denunciantes, disidentes oprimidos, etc ... tiene herramientas integradas para eludir la censura, los puentes OBFS4 se encuentran entre algunos métodos comunes, pero otro está utilizando puentes mansos. Los puentes de Meek se aprovechan de AWS y Azure para el dominio del dominio, lo que hará que el Nodo de entrada Tor al realizar el DPI aparezca como una conexión HTTPS amazon.com o microsoft.com; tráfico normal Este método se implementa para eludir el Gran Cortafuegos de China.

Igualmente, otros métodos para ocultar la conexión de entryNode incluyen, pero no se limitan a:

  • OpenVPN utilizando el cifrado AES: la mayoría de las VPN modernas
  • Proxy: HTTP, HTTPS y SOCKS
  • RDP (o cualquier otro protocolo de acceso remoto, preferiblemente encriptado)

La idea de RDP implicará conectarse a una computadora remota y usarla para acceder a la web oscura, con o sin la protección de VPN (s) o proxy (s).

La mención sobre eludir la censura tiene relevancia, ya que las divulgaciones de Vault 7 describieron el malware de la CIA utilizarían los centros de datos como redes de bots y preferirían realizar cualquier conexión a través de HTTPS (con sistemas de cifrado modernos) en el puerto 443. revisado por un administrador del sistema.

Con esta información en mente, ahora debemos considerar, sin grandes detalles, los metadatos y el "ruido" que hizo el atacante al obtener la información confidencial. Las preguntas incluyen:

  • ¿Dejaron registros y metadatos relacionados con la violación?
  • ¿Utilizaron el acceso de otra persona para acceder a la información confidencial o utilizaron un exploit de día cero?
  • ¿Los registros de direcciones IP pertenecen a direcciones IP residenciales o redes anónimas reconocidas?

Ahora hemos adquirido conocimiento de cuándo se robó la información confidencial. Entonces, ahora podemos ver si el atacante tenía vulnerabilidades dentro de su OpSec que podemos usar para desasignarlas.

Vendiendo la información

Esta sería su segunda (y última) oportunidad de identificar al atacante. Esto tampoco puede ser posible, ya que implica rastrear el método de pago, que también podría emplear el lavado de dinero.

Esta información confidencial es ahora un activo para el ataque. Suponiendo que su objetivo es beneficiarse del ataque, venderemos la información a un comprador. Un mercado web oscuro sería un buen comienzo. Aunque, podrían haber sido contratados por un grupo rico para realizar el ataque. Por lo tanto, la información se venderá a través de cualquiera de los dos métodos:

  1. Dark web marketplace
  2. Subasta cerrada (privada)

El momento para vender esta información dependerá de la naturaleza de la infracción. La propiedad intelectual con patentes no necesitaría una ventana de venta crítica, mientras que una base de datos de hashes de contraseñas debería venderse lo antes posible antes de que se cambien las contraseñas.

El pago sería tu oportunidad de rastrear al atacante. El pago podría cubrir varias formas:

  1. Cuenta (s) bancaria (s) de Drop
  2. PayPal
  3. Tarjeta (s) de crédito / débito
  4. Criptomonedas

No puedo desarrollar mucho más aquí, ya que lavado de dinero es su propio tema y puede ser muy amplio. Puedo afirmar que, cuanto más judicativas sean las direcciones IP y la cobertura de pago, más incómodo y menos probable será que identifique al atacante.

    
respondido por el safesploit 16.07.2018 - 18:33
fuente

Lea otras preguntas en las etiquetas

¿Hay una manera fácil de detectar clientes que ignoran los errores de validación de certificados (en producción)? ¿Cuáles son las consecuencias de revocar las subclaves OpenPGP y generar nuevas?