一名安全研究人员分享了更多细节,他使用一种方法找到了一个Tor隐藏服务的IP地址,该服务托管了Ragnar Locker勒索软件附属公司2020年从Capcom窃取的数据。
这细节当时与联邦调查局分享了这些信息,帮助了调查工作,并最终导致了起诉书攻击者将于2023年5月退役。
奇游加速器好贵
Ragnar Locker 声称于 2020 年 11 月对视频游戏发行商 Capcom 发起了攻击。 在赎金支付谈判破裂后,攻击者在黑暗网页上泄露了67GB的被盗数据。
这些文件托管在一个洋葱网站上,该网站是Tor网络的一部分,因此主机的IP地址被掩盖。 分析师试图找到任何有用的信息,如网站的源代码、SSL证书等,但一无所获。
接下来,他检查了响应头,唯一可访问的可能有价值的信息是ETag数据. 实体标签(Etags)是用于网络缓存的HTTP协议的一部分,它提供了一种资源验证机制,通过减少不必要的数据传输,降低了数据交换、带宽和网络开销。
简单地说,ETag是表征资源(即网站内容)状态的标识符,因此访问者的浏览器将其作为与服务器ETag进行比较的标记,以确定缓存版本是否仍然有效或需要更新。
网游加速器排行
在托管Capcom数据的网站中,Etag (0-5a4a8aa76f2f0)作为一个唯一标识符,可以输入到专门的互联网搜索平台 "Shodan "中,以找到任何匹配的数据。
调查人员发现 5[.]45[.]65[.]52,这是一个指向荷兰数据中心服务提供商的 IP 地址,该提供商提供相同的内容和数据泄漏链接,并且在尝试访问时其响应中具有相同的 ETag。
虽然服务提供商并不负责传播被盗数据,但这一发现可以帮助FBI探员找到该公司的客户,因此可能成为他们调查的一个支点。 事实上,我们可以看到相关报道中提到的特定IP地址。闪光警报然而,执法机构没有透露更多细节。
安全研究员Adam Maxwell早在2018年的一篇文章中就首次强调了使用ET标签来揭示隐藏主机位置的更多信息的可能性。中型职位,解释说尽管ETags可能无法直接识别服务器,但它们总是有助于缩小结果范围。
感谢Heinrich。 这是一篇非常有趣的文章。 我可以看到Etag头并没有阻止跟踪。 这是一个很好的学习机会!