ダークウェブ監視検出の回避

アクセス権の取得

暗いWebを開始するには、インターネットをオーバーレイする（多くの場合暗号化されている）ネットワークですが、アクセスするには専用のソフトウェアが必要です。 Torブラウザバンドル内で提供されるTorクライアントは、Torネットワークに接続し、ノードのトリプレット（entryNode-> relayNode-> exitNode）を介してトラフィックを転送します。 3つのノードはすべて、公開鍵で送信されたデータを次の順序で暗号化します。

• （entryNodePublicKey（relayNodePublicKey（exitNodePublicKey（data））））

「重要な個人」のためにホストコンピュータにスパイウェアをロードしていない限り、entryNode IPアドレスと暗号化されたトラフィックのみが表示されます。このIPアドレスを使用して、誘導ノードまたはガードノードとして、Torネットワークに属していることを確認できます。

Torは政治活動家、内部告発者、抑圧された反対派などのために実装されているため、検閲回避のための組み込みツールがあり、OBFS4ブリッジはいくつかの一般的な方法の1つですが、別の方法は柔和なブリッジを使用しています。 MeekブリッジはAWSとAzureを利用してドメインの前面処理を行います。これにより、DPIの実行時にTor entryNodeがHTTPS Amazon.comまたはMicrosoft.com接続として表示されます。通常のトラフィック。この方法は、中国の大ファイアウォールを回避するために導入されています。

同様に、entryNode接続を隠す他の方法には、以下が含まれますが、これらに限定されません。

• AES暗号化を使用するOpenVPN：最新のVPN
• プロキシ：HTTP、HTTPS、SOCKS
• RDP（または他のリモートアクセスプロトコル、できれば暗号化）

RDPのアイデアには、リモートコンピュータに接続し、VPNまたはプロキシの保護の有無にかかわらず、それを使用してダークWebにアクセスすることが含まれます。

Vault 7の開示ではCIAマルウェアがデータセンターをボットネットとして使用し、ポート443でHTTPS（最新の暗号を使用）を介して接続を実行することを概説しているため、検閲の回避について言及することは妥当です。 SysAdmin。

この情報を念頭に置いて、機密情報を取得するときに攻撃者が作成したメタデータと「ノイズ」を非常に詳細に検討する必要があります。質問は次のとおりです。

• 違反に関するログとメタデータを残しましたか？
• 彼らは機密情報にアクセスするために他人のアクセスを使用しましたか、またはゼロデイエクスプロイトを使用しましたか？
• IPアドレスログは、住宅用IPアドレスまたは認識された匿名ネットワークに属していますか。

これで、機密情報がいつ盗まれたかについての知識を構築しました。これで、攻撃者がOpSec内に脆弱性があったかどうかを確認できます。これらの脆弱性を使用して、攻撃者を匿名化できます。

情報の販売

これは、攻撃者を特定する2番目（最後）の機会です。これは、マネーロンダリングを使用する可能性のある支払い方法を追跡する必要があるため、これも不可能である可能性があります。

この機密情報は今や攻撃の資産となっています。彼らの目標は攻撃から利益を得ることであると推定し、情報をバイヤーに売ります。暗いウェブマーケットプレイスは良いスタートです。ただし、攻撃を実行するために裕福なグループに雇われた可能性があります。したがって、情報は次のいずれかの方法で販売されます。

1. 暗いウェブ市場
2. クローズドオークション（プライベート）

この情報を販売するタイミングは、侵害の性質によって異なります。特許を持つ知的財産は重要な販売期間を必要としませんが、パスワードハッシュのデータベースは、パスワードが変更される前にできるだけ早く販売されるべきです。

支払いは、攻撃者を追跡する機会となります。支払いにはいくつかの形態があります。

1. デッドドロップ銀行口座
2. Paypal
3. クレジット/デビットカード
4. 暗号通貨

マネーロンダリング はそれ自体のトピックであり、非常に広範囲にわたる可能性があるため、ここではこれ以上詳しく説明することはできません。司法府のIPアドレスと支払いカバーが多ければ多いほど、攻撃者を特定するのが面倒であり、可能性が低くなると言えます。