SlideShare a Scribd company logo

Catch-me if you can - TOR tricks for bots, shells and general hacking

Download as ODP, PDF
Jan Seidl
Jan Seidl

The TOR network is widely known nowadays but there's plenty of gold in there that is not. This talk is about everything TOR: Popping shells, tunneling tools and commanding your bots over the world's most popular darknet. This presentation was given on October 19th at the 11th H2HC (Hackers 2 Hackers Conference) 2014 at Sao Paulo, Brazil.

Technology
1 of 87
CCaattcchh mmee iiff yyoouu ccaann TTOORR ttrriicckkss ffoorr bboottss,, sshheellllss aanndd ggeenneerraall hhaacckkiinngg JJaann SSeeiiddll
WWhhoo?? JJaann SSeeiiddll @@jjsseeiiddll RRiioo ddee JJaanneeiirroo –– BBrraazziill CCTTOO @@ TTII SSaaffee DDCC LLaabbss RReesseeaarrcchheerr FF//OOSSSS ddeevveellooppeerr // ccoonnttrriibbuuttoorr CCooddeess aanndd ggiissttss @@ ggiitthhuubb..ccoomm//jjsseeiiddll ((wwaarrnniinngg:: ccooddee mmaayy ccoonnttaaiinn bbuuggss)) AAuutthhoorr SSeegguurraannççaa ddee AAuuttoommaaççããoo IInndduussttrriiaall ee SSCCAADDAA SSppeeaakkeerr @@ HH22HHCC,, DDeeffccoonn BBaannggaalloorree,, CCeeBBIITT,, FFIISSLL,, VVaalleeSSeecc,, LLaattiinnoowwaarree,, BBrraazziill AAuuttoommaattiioonn **NNIIXX,, BBSSDD ffrreeaakk DDiiggiittaall ttoooollss bbllaacckkssmmiitthh // PPyytthhoonn && CC LLoovveerr GGuuiittaarrrriisstt ooff @@uummiinneebbaanndd CCooffffeeee ddeeppeennddeenntt HHaatteess pprriinntteerrss aanndd ssoocciiaall nneettwwoorrkkss SSeelleeccttiivveellyy--ssoocciiaall
AAggeennddaa 00xx00 WWhhyy TTOORR?? ((oorr aannyy ddaarrkknneett)) 00xx11 EEnnhhaanncciinngg aannoonnyymmiittyy 00xx22 PPrreevveennttiinngg lleeaakkss 00xx33 GGeenneerraall hhaacckkiinngg oovveerr TTOORR 00xx44 PPooppppiinngg sshheellllss iinn tthhee ddaarrkk 00xx55 TTooggeetthheerr iinn tthhee ddaarrkk:: BBoottss uunnddeerr tthhee ssuurrffaaccee 00xx66 QQuueessttiioonnss
WWhhyy TTOORR?? NNoobbooddyy lliikkeess ttoo ggeett ccaauugghhtt:: LLoossiinngg aallll tthhaatt ttiimmee yyoouu ssppeenntt sseettttiinngg uupp ssttuuffff.. LLoossiinngg lloottss ooff mmoonneeyy//ffuunn//gglloorryy ffrroomm uunnaavvaaiillaabbiilliittyy.. LLoossiinngg ffooootthhoolldd oonn yyoouurr ttaarrggeett.. TToooo yyoouunngg ttoo bbeeccoommee ssoommeeoonnee''ss ggiirrllffrriieenndd.. ((aanndd ttoooo cclluummssyy wwiitthh ssooaapp bbaarrss))
WWhhyy TTOORR?? HHooww oouurr ccooooll ssttuuffff ggeettss bblloocckkeedd oorr ttaakkeenn ddoowwnn:: OOuurr IIPP // CC&&CC IIPP ggeettss bbaannnneedd DDNNSS ggeettss bbaannnneedd SSiiggnnaattuurree mmaattcchheess ppoooorr ttrraannssppoorrtt iimmpplleemmeennttaattiioonn PPiivvoott hhoosstt oorr eennddppooiinntt ggeettss cclleeaanneedd uupp
WWhhyy TTOORR?? SSoo lleett''ss ggoo DDAARRKK
WWhhyy TTOORR?? BBeenneeffiittss EEnndd--TToo--EEnndd eennccrryyppttiioonn BBuuiilltt--iinn SSOOCCKKSS55 pprrooxxyy sseerrvveerr AAuuxxiilliiaarryy ssooffttwwaarree ffoorr ttuunnnneelliinngg nnoonn--pprrooxxyy aawwaarree ttoooollss oovveerr SSOOCCKKSS55
WWhhyy TTOORR?? BBeenneeffiittss GGeeoo--sseeppaarraattiioonn && cciirrccuuiitt rroottaattiioonn HHiiddddeennSSeerrvviicceess AAnnoonnyymmoouuss ((OOnniioonn rroouuttiinngg)) EEnnttrryyGGuuaarrddss
WWhhyy TTOORR?? BBeenneeffiittss RRuunnss oonn llooccaallhhoosstt ((nneettwwoorrkk ssccaannnneerrss wwoonn''tt ffiinndd yyoouu)) HHiigghhllyy CCoonnffiigguurraabbllee UUnnlliisstteedd bbrriiddggeess PPlluuggggaabbllee TTrraannssppoorrttss!!
WWhhyy TTOORR?? CCoonnss AAnnoonnyymmiittyy ccoommeess aatt tthhee pprriiccee ooff ssppeeeedd..
WWhhyy TTOORR?? IIss TTOORR bbaadd?? MMaannyy lleeggiitt uusseess ((WWiikkiilleeaakkss,, SSeeccuurreeddrroopp)) CCaann aanndd IISS wwiiddeellyy aabbuusseedd ((ccrriimmiinnaallss//ddrruugg//ppeeddoo//mmaallwwaarree//bboottss)) TTOORR ttrraaffffiicc mmaayy rriinngg uupp ssoommee bbeellllss
EEnnhhaanncciinngg pprriivvaaccyy TTOORR aanndd TTAAIILLSS DDoo nnoott ccoommee ccoonnffiigguurreedd ttoo bbee ffuullllyy uunnddeetteeccttaabbllee oouutt--ooff--tthhee--bbooxx DDeeffaauulltt ccoonnffiigguurraattiioonn iiss pprreettttyy sseeccuurree aanndd aannoonnyymmoouuss ''tthhoouu EEnnttrryy && EExxiitt nnooddeess lliisstteedd iinn ppuubblliicc ddiirreeccttoorriieess ccaann bbee eeaassiillyy bblloocckkeedd TTOORR pprroottooccooll ccaann bbee ddeetteecctteedd aanndd bblloocckkeedd aatt llooccaall nneett oorr IISSPP lleevveell https://github.com/jseidl/TORBlock
EEnnhhaanncciinngg pprriivvaaccyy TTOORR bbrriiddggeess EEnnttrryy nnooddeess nnoott lliisstteedd iinn ppuubblliicc ddiirreeccttoorryy lliissttss.. NNooddee lliissttiinngg aavvaaiillaabbllee:: HHTTTTPP//SS ww// CCAAPPTTCCHHAA && eemmaaiill.. BBee ssuurree ttoo cchheecckk ''eemm ((llooccaattiioonn//oowwnneerr//rreeppuuttaattiioonn)) bbeeffoorree yyoouu uussee.. PPrriivvaattee BBrriiddggeess ccaann bbee sseett uupp https://tails.boum.org/doc/first_steps/startup_options/bridge_mode/index.en.html
EEnnhhaanncciinngg pprriivvaaccyy
EEnnhhaanncciinngg pprriivvaaccyy PPlluuggggaabbllee TTrraannssppoorrtt TTrraaffffiicc ccoonntteenntt AANNDD lleennggtthh oobbffuussccaattiioonn ffoorr TTOORR AAvvooiidd IIPPSS aanndd ootthheerr ccoonntteenntt ffiilltteerrss eevveenn wwiitthh DDPPII RReeqquuiirreess cclliieenntt ssuuppppoorrtt oorr eexxtteerrnnaall ttuunnnneelliinngg bbiinnaarryy https://www.torproject.org/docs/bridges#PluggableTransports https://trac.torproject.org/projects/tor/wiki/doc/AChildsGardenOfPluggableTransports https://trac.torproject.org/projects/tor/wiki/doc/PluggableTransports http://www.deepdotweb.com/jolly-rogers-security-guide-for-beginners/hiding-tor-from-your-isp-part-
EEnnhhaanncciinngg pprriivvaaccyy BBeesstt oobbffuussccaattiioonn pprroottooccoollss 11.. OOBBFFSS33 22.. FFTTEE 33.. SSCCRRAAMMBBLLEESSUUIITT 4.. MMEEEEKK 5.. FFLLAASSHHPPRROOXXYY ((iimmpplleemmeenntteedd oonn TTOORR))
EEnnhhaanncciinngg pprriivvaaccyy TThhrreeeeoobbffuussccaattoorr ((oobbffss33)) aann oobbffuussccaattiioonn llaayyeerr oonn ttoopp ooff TToorr TTLLSS.. IItt nneeggoottiiaatteess sseessssiioonn kkeeyyss aanndd tthheenn eennccrryyppttss eevveerryytthhiinngg bbeettwweeeenn cclliieenntt aanndd sseerrvveerr,, wwiitthh nnoo ppllaaiinntteexxtt hheeaaddeerrss.. TThhee rreessuulltt llooookkss lliikkee aa uunniiffoorrmmllyy rraannddoomm bbyyttee ssttrreeaamm,, wwiitthh nnoo ffiixxeedd bbyyttee ppaatttteerrnnss ttoo mmaattcchh oonn..
EEnnhhaanncciinngg pprriivvaaccyy obfs3 TTOORR PPllaaiinn vvss oobbffss33 TOR Plain Initial handshakes and connection to same resource TOR TLS handshake The darkness of pixels indicates byte values from 0 to 255
EEnnhhaanncciinngg pprriivvaaccyy FFoorrmmaatt--TTrraannssffoorrmmiinngg EEnnccrryyppttiioonn ((FFTTEE)) EEnnccooddeess ddaattaa ttoo mmaattcchh ggiivveenn rreegguullaarr eexxpprreessssiioonn.. FFooccuuss oonn kkeeeeppiinngg uunnddeerr kknnoowwnn--ggoooodd ssiiggnnaattuurreess oonn vveennddoorr ssww && hhww.. TThhee rreessuulltt llooookkss lliikkee aa rreegguullaarr jjuunnkk HHTTTTPP oorr SSSSHH sseessssiioonn.. https://fteproxy.org/
EEnnhhaanncciinngg pprriivvaaccyy FFoorrmmaatt--TTrraannssffoorrmmiinngg EEnnccrryyppttiioonn ((FFTTEE)) $$ fftteepprrooxxyy ----mmooddee cclliieenntt ----uuppssttrreeaamm--ffoorrmmaatt mmaannuuaall--sssshh--rreeqquueesstt ----ddoowwnnssttrreeaamm--ffoorrmmaatt mmaannuuaall--sssshh--rreessppoonnssee $$ fftteepprrooxxyy ----mmooddee sseerrvveerr ----uuppssttrreeaamm--ffoorrmmaatt mmaannuuaall--sssshh--rreeqquueesstt ----ddoowwnnssttrreeaamm--ffoorrmmaatt mmaannuuaall--sssshh--rreessppoonnssee $$ nnccaatt --kk --ll --pp 88008811 $$ nnccaatt 112277..00..00..11 88007799 https://fteproxy.org/
EEnnhhaanncciinngg pprriivvaaccyy https://fteproxy.org/
EEnnhhaanncciinngg pprriivvaaccyy
EEnnhhaanncciinngg pprriivvaaccyy SSccrraammbblleeSSuuiitt AAllssoo llooookkss lliikkee uunniiffoorrmm rraannddoomm bbyytteess.. oobbffss33 ++ rraannddoommiizzaattiioonn ooff tthhee ssiizzee aanndd ttiimmiinngg ooff ppaacckkeettss.. RReessiissttss aaccttiivvee pprroobbiinngg11 bbyy rreeqquuiirriinngg aa sseeccrreett kkeeyy ffrroomm tthhee cclliieenntt bbeeffoorree rreessppoonnddiinngg.. rreessuulltt:: rraannddoomm nnooiissee.. 1http://www.cs.kau.se/philwint/static/gfc/
TOR Plain obfs3 EEnnhhaanncciinngg pprriivvaaccyy PPllaaiinn && oobbffss33 && SSccrraammbblleeSSuuiitt Download of webpage at https://check.torproject.org/ Even with ScrambleSuit being more hard to detect, the increase in payload length makes obfs3 better in the overall cost tradeoff. (YMMV) ScrambleSuit
EEnnhhaanncciinngg pprriivvaaccyy MMeeeekk RReefflleeccttoorr--oorriieenntteedd.. UUsseess ddoommaaiinn--ffrroonnttiinngg tteecchhnniiqquuee.. MMaakkeess iitt llooookkss tthhaatt yyoouu''rree ttaallkkiinngg ttoo GGooooggllee SSeeaarrcchh oorr AAmmaazzoonn AAWWSS,, ffoorr eexxaammppllee.. RReeqquuiirreess bbrroowwsseerr pplluuggiinn.. RReeqquuiirreess mmeeeekk--sseerrvveerr ccaappaabbllee kknnoowwnn hhoosstt.. OOnnllyy ggoooodd iiff aallll ootthheerr mmeetthhooddss ffaaiillss.. https://trac.torproject.org/projects/tor/wiki/doc/AChildsGardenOfPluggableTransports#meek https://blog.torproject.org/blog/how-use-%E2%80%9Cmeek%E2%80%9D-pluggable-transport
EEnnhhaanncciinngg pprriivvaaccyy FFllaasshh PPrrooxxyy SShhoorrtt--lliivveedd JJaavvaaSSccrriipptt pprrooxxiieess oovveerr WWeebbSSoocckkeettss SSiimmppllee XXOORR oobbffuussccaattiioonn ((WWeebbSSoocckkeettss ffeeaattuurree)) OOnnllyy wwoorrkkss ffoorr bbrroowwsseerrss https://trac.torproject.org/projects/tor/wiki/doc/AChildsGardenOfPluggableTransports#Flashproxy
EEnnhhaanncciinngg pprriivvaaccyy AAnndd mmoorree!! SStteeggooTToorruuss aann OObbffsspprrooxxyy ffoorrkk tthhaatt eexxtteennddss iitt ttoo aa)) sspplliitt TToorr ssttrreeaammss aaccrroossss mmuullttiippllee ccoonnnneeccttiioonnss ttoo aavvooiidd ppaacckkeett ssiizzee ssiiggnnaattuurreess,, aanndd bb)) eemmbbeedd tthhee ttrraaffffiicc fflloowwss iinn ttrraacceess tthhaatt llooookk lliikkee hhttmmll,, jjaavvaassccrriipptt,, oorr ppddff..
EEnnhhaanncciinngg pprriivvaaccyy AAnndd mmoorree!! SSkkyyppeeMMoorrpphh TTrraannssffoorrmmss TToorr ttrraaffffiicc fflloowwss ssoo tthheeyy llooookk lliikkee SSkkyyppee VViiddeeoo..
PPrreevveennttiinngg lleeaakkss HHaarrddeenniinngg iitt uupp DDrroopp oouuttggooiinngg ccoonnnneeccttiioonnss ttoo aannyytthhiinngg bbuutt TTOORR eennttrryy nnooddeess SSoommee ttoooollss uussee oouutt--ooff--bbaanndd rreeqquueessttss ((lliikkee nnmmaapp''ss ppiinnggss)) tthhaatt mmaayy nnoott bbee rroouutteedd tthhoouugghh TTOORR DDrroopp aallll iinnccoommiinngg ttrraaffffiicc oonn eexxppoosseedd iinntteerrffaacceess ((eetthh00//wwllaann00)) RReessttrraaiinn yyoouurr nneettwwoorrkkeedd aapppplliiccaattiioonnss lliisstteenniinngg oonn llooccaallhhoosstt
PPrreevveennttiinngg lleeaakkss ##!!//bbiinn//sshh ## ddeessttiinnaattiioonnss yyoouu ddoonn''tt wwaanntt rroouutteedd tthhrroouugghh TToorr NNOONN__TTOORR==""119922..116688..11..00//2244 119922..116688..00..00//2244"" ## tthhee UUIIDD TToorr rruunnss aass TTOORR__UUIIDD==""4433"" ## TToorr''ss TTrraannssPPoorrtt TTRRAANNSS__PPOORRTT==""99004400"" iippttaabblleess --FF iippttaabblleess --tt nnaatt --FF iippttaabblleess --tt nnaatt --AA OOUUTTPPUUTT --mm oowwnneerr ----uuiidd--oowwnneerr $$TTOORR__UUIIDD --jj RREETTUURRNN iippttaabblleess --tt nnaatt --AA OOUUTTPPUUTT --pp uuddpp ----ddppoorrtt 5533 --jj RREEDDIIRREECCTT ----ttoo--ppoorrttss 55335533 ffoorr NNEETT iinn $$NNOONN__TTOORR 112277..00..00..00//99 112277..112288..00..00//1100;; ddoo iippttaabblleess --tt nnaatt --AA OOUUTTPPUUTT --dd $$NNEETT --jj RREETTUURRNN ddoonnee iippttaabblleess --tt nnaatt --AA OOUUTTPPUUTT --pp ttccpp ----ssyynn --jj RREEDDIIRREECCTT ----ttoo--ppoorrttss $$TTRRAANNSS__PPOORRTT iippttaabblleess --AA OOUUTTPPUUTT --mm ssttaattee ----ssttaattee EESSTTAABBLLIISSHHEEDD,,RREELLAATTEEDD --jj AACCCCEEPPTT ffoorr NNEETT iinn $$NNOONN__TTOORR 112277..00..00..00//88;; ddoo iippttaabblleess --AA OOUUTTPPUUTT --dd $$NNEETT --jj AACCCCEEPPTT ddoonnee iippttaabblleess --AA OOUUTTPPUUTT --mm oowwnneerr ----uuiidd--oowwnneerr $$TTOORR__UUIIDD --jj AACCCCEEPPTT iippttaabblleess --AA OOUUTTPPUUTT --jj RREEJJEECCTT
PPrreevveennttiinngg lleeaakkss AAnndd iinn ttoorrrrcc...... VViirrttuuaallAAddddrrNNeettwwoorrkk 1100..119922..00..00//1100 AAuuttoommaappHHoossttssOOnnRReessoollvvee 11 TTrraannssPPoorrtt 99004400 DDNNSSPPoorrtt 55335533
PPrreevveennttiinngg lleeaakkss HHiiddddeennSSeerrvviiccee TTrraaffffiicc oonnllyy TTRRAANNSS__PPOORRTT==""99004400"" DDNNSS__PPOORRTT==""55335533"" iippttaabblleess --tt nnaatt --AA OOUUTTPPUUTT --pp ttccpp --dd 1100..119922..00..00//1100 --jj RREEDDIIRREECCTT ----ttoo--ppoorrttss $$TTRRAANNSS__PPOORRTT iippttaabblleess --tt nnaatt --AA OOUUTTPPUUTT --pp uuddpp ----ddppoorrtt 5533 --jj RREEDDIIRREECCTT ----ttoo--ppoorrttss $$DDNNSS__PPOORRTT ## ttoorrrrcc VViirrttuuaallAAddddrrNNeettwwoorrkk 1100..119922..00..00//1100 AAuuttoommaappHHoossttssOOnnRReessoollvvee 11 TTrraannssPPoorrtt 99004400 DDNNSSPPoorrtt 55335533
PPrreevveennttiinngg lleeaakkss MMeettaaddaattaa HHoossttnnaammee aanndd iinntteerrnnaall//eexxtteerrnnaall IIPP aaddddrreesssseess mmaayy bbee eexxppoosseedd bbyy mmiissttaakkee IIff yyoouurr aapppp mmaakkeess aa rreeqquueesstt ttoo aann eexxtteerrnnaall rreessoouurrccee yyoouurr IIPP wwiillll lleeaakk IIff yyoouurr aapppp sseennddss eemmaaiill yyoouurr IIPP wwiillll lleeaakk oonn ““RReecceeiivveedd::”” hheeaaddeerr
PPrreevveennttiinngg lleeaakkss OOooppss...... http://www.thinkdifferentzone.com/2014/09 /need-real-ip-address-of-cloudflare.html
http ://www.wired.com/2014/09/the-fbi-finally-s ays-how-it-legally-pinpointed-silk-roads-server/
GGeenneerraall hhaacckkiinngg oovveerr TTOORR EExxiittNNooddeess eeaavveessddrrooppppiinngg ““ IInn sshhoorrtt,, eevveerryy eexxiitt nnooddee ccaann ssppyy oonn yyoouurr uunneennccrryypptteedd eexxiitt ttrraaffffiicc aanndd eevveenn wwoorrssee,, iinnjjeecctt mmaalliicciioouuss ccooddee iinnttoo tthhee ssttrreeaamm -- bbee aawwaarree ooff tthhiiss..”” TTOORR wweebbssiittee
GGeenneerraall hhaacckkiinngg oovveerr TTOORR SSOOCCKKSS55 PPrrooxxyy--aawwaarree PPooiinntt tthhee ttooooll ttoo TTOORR''ss SSOOCCKKSS55 ppoorrtt EEnnjjooyy yyoouurr MMaarrttiinnii
GGeenneerraall hhaacckkiinngg oovveerr TTOORR NNoonn--SSOOCCKKSS55 PPrrooxxyy--aawwaarree WWeellll,, tthhaatt ssuucckkss.. PPrriivvooxxyy // PPrrooxxyycchhaaiinnss // PPoolliippoo // TToorrssoocckkss aarree hheerree ttoo hheellpp.. http://code.google.com/p/torsocks/ https://trac.torproject.org/projects/tor/wiki/doc/TorifyHOWTO/Polipo http://www.privoxy.org/ http://proxychains.sourceforge.net/
GGeenneerraall hhaacckkiinngg oovveerr TTOORR II ccaann''tt SSOOCCKKSS!! GGiimmmmee HHTTTTPP//SS,, PPrriivvooxxyy!! HHTTTTPP//SS pprrooxxyy CCaann ffoorrwwaarrdd ttoo ootthheerr pprrooxxiieess ((SSOOCCKKSS iinnccll..!!)) GGoooodd ffoorr aapppplliiccaattiioonnss wwiitthh HHTTTTPP//SS pprrooxxyy ssuuppppoorrtt http://www.privoxy.org/
GGeenneerraall hhaacckkiinngg oovveerr TTOORR PPiippiinngg wwiitthh PPrriivvooxxyy $$ eexxppoorrtt HHTTTTPP__PPRROOXXYY==””112277..00..00..11::88111188”” $$ wwggeett hhttttpp::////iiffccoonnffiigg..mmee 7744..112200..1155..115500 1http://securitystreetknowledge.com/?p=283
GGeenneerraall hhaacckkiinngg oovveerr TTOORR II ccaann''tt aannyytthhiinngg!! PPrrooxxyycchhaaiinnss FFTTWW!! EEnnccaappssuullaatteess rreeqquueessttss aanndd DDNNSS llooookkuuppss SSuuppppoorrtt ffoorr mmuullttiippllee pprrooxxyy ttyyppeess ((SSOOCCKKSS44//55,, HHTTTTPP//SS)) CCaann rraannddoommiizzee pprrooxxyy lliisstt ::)) DDiidd II hheeaarr cclluusstteerr bboommbbiinngg?? PPrrooxxiiffiieess nnoorrmmaallllyy uunnpprrooxxiiffiiaabbllee aapppplliiccaattiioonnss ((wwaatt??))
GGeenneerraall hhaacckkiinngg oovveerr TTOORR PPrrooxxyycchhaaiinnss bbaassiicc ccoonnffiigg ## iinn //eettcc//pprrooxxyycchhaaiinnss//ccoonnffiigg ssttrriicctt__cchhaaiinn ## oorr rraannddoomm//ddyynnaammiicc iiff uussiinngg mmuullttiippllee TTOORR iinnssttaanncceess ttccpp__rreeaadd__ttiimmee__oouutt 1155000000 ttccpp__ccoonnnneecctt__ttiimmee__oouutt 88000000 pprrooxxyy__ddnnss [[PPrrooxxyyLLiisstt]] ssoocckkss44 112277..00..00..11 99005500 1http://securitystreetknowledge.com/?p=283
GGeenneerraall hhaacckkiinngg oovveerr TTOORR PPiippiinngg wwiitthh PPrrooxxyycchhaaiinnss $$ pprrooxxyycchhaaiinnss nnmmaapp --PP00 --ssTT --nn --pp 8800 118866..119922..9900..55 ## --ssTT TTCCPP CCoonnnneecctt(()) ttoo ggoo tthhrruu TTOORR ((SSYYNN wwoonn''tt wwoorrkk)),, --nn ddoonn''tt ddoo nnaammee rreessoolluuttiioonnss aanndd --PP00 iiss ttoo aavvooiidd IICCMMPP lleeaakk11 $$ pprrooxxyycchhaaiinnss ppyytthhoonn ssqqllmmaapp..ppyy --uu ""hhttttpp::////wwwwww..eexxaammppllee..ccoomm//vvuullnn..pphhpp??iidd==11"" --ff ----ddbbss ––uusseerrss $$ pprrooxxyycchhaaiinnss ggoollddeenneeyyee..ppyy hhttttpp::////wwwwww..eexxaammppllee..ccoomm 1http://securitystreetknowledge.com/?p=283
GGeenneerraall hhaacckkiinngg oovveerr TTOORR GGeettttiinngg aa nneeww iiddeennttiittyy $$ pprrooxxyycchhaaiinnss ccuurrll iiffccoonnffiigg..mmee 22>> //ddeevv//nnuullll 7744..112200..1155..115500 $$ eecchhoo --ee ''AAUUTTHHEENNTTIICCAATTEE ""ppaasssswwoorrdd""rrnnssiiggnnaall NNEEWWNNYYMMrrnnQQUUIITT'' || nncc 112277..00..00..11 99005511 $$ pprrooxxyycchhaaiinnss ccuurrll iiffccoonnffiigg..mmee 22>> //ddeevv//nnuullll 4466..5599..7744..1155 https://github.com/jseidl/Multi-TOR/blob/master/tor_newid.sh
PPooppppiinngg sshheellllss iinn tthhee ddaarrkk TTuunnnneelliinngg SScchheemmeess VViiccttiimm ((hhoossttss tthhee hhiiddddeenn sseerrvviiccee)) ←← AAttttaacckkeerr ((oovveerr TTOORR)) VViiccttiimm ((oovveerr TTOORR))→→ AAttttaacckkeerr ((hhoossttss tthhee hhiiddddeenn sseerrvviiccee)) VViiccttiimm→→ GGaatteewwaayy ((oovveerr TTOORR)) →→ AAttttaacckkeerr ((hhoossttss tthhee hhiiddddeenn sseerrvviiccee))
PPooppppiinngg sshheellllss iinn tthhee ddaarrkk VViiccttiimm←← AAttttaacckkeerr MMaallwwaarree ddrrooppss TTOORR cclliieenntt aanndd ccoonnffiigguurraattiioonn ffiillee MMaallwwaarree ssttaarrttss TTOORR wwiitthh pprree--ccoonnffiigguurreedd hhiiddddeenn--sseerrvviiccee MMaallwwaarree lliisstteennss oonn llooccaallhhoosstt oonn pprree--ccoonnffiigguurreedd ppoorrtt - victim side -
PPooppppiinngg sshheellllss iinn tthhee ddaarrkk VViiccttiimm←← AAttttaacckkeerr AAttttaacckkeerr ssttaarrttss uupp TTOORR aanndd ppooiinntt bbaacckkddoooorr cclliieenntt ttoo HHiiddddeennSSeerrvviiccee oovveerr TTOORR tthhrroouugghh SSOOCCKKSS PPwwnnaaggee.. - attacker side -
PPooppppiinngg sshheellllss iinn tthhee ddaarrkk VViiccttiimm→→AAttttaacckkeerr MMaallwwaarree ddrrooppss TTOORR cclliieenntt MMaallwwaarree ssttaarrttss TTOORR MMaallwwaarree ccoonnnneeccttss ttoo aattttaacckkeerrss ..oonniioonn aaddddrreessss oovveerr TTOORR tthhrroouugghh SSOOCCKKSS - victim side -
PPooppppiinngg sshheellllss iinn tthhee ddaarrkk VViiccttiimm→→AAttttaacckkeerr AAttttaacckkeerr ssttaarrttss rreevveerrssee bbaacckkddoooorr lliisstteenneerr AAttttaacckkeerr sseettss uupp HHiiddddeennSSeerrvviiccee oonn lliisstteenneerr ppoorrtt AAttttaacckkeerr wwaaiittss ffoorr tthhee ccoonnnneeccttiioonn ffrroomm vviiccttiimm BBAAMM!! - attacker side -
PPooppppiinngg sshheellllss iinn tthhee ddaarrkk
PPooppppiinngg sshheellllss iinn tthhee ddaarrkk WWhhaatt iiff mmyy bbaacckkddoooorr cclliieenntt//lliisstteenneerr ddooeess nnoott ssuuppppoorrtt TTOORR nnoorr SSOOCCKKSS55//44AA?? –– OOMMGG!! NNooww wwhhaatt?? –– RReellaaxx,, wwee ggoott tthhaatt ccoovveerreedd tthhaatt ttoooo
PPooppppiinngg sshheellllss iinn tthhee ddaarrkk ssooccaatt iiss oouurr lloorrdd $$ ssooccaatt TTCCPP44--LLIISSTTEENN::11333377,,ffoorrkk SSOOCCKKSS44AA::112277..00..00..11::tthhqqssmmtt7766bb55ffkkvvoonn55..oonniioonn::8800,,ssoocckkssppoorrtt==99115500 SSttaarrttss aa nniiccee TTCCPP ssoocckkeett ggooiinngg ddiirreeccttllyy ttoo oouurr HHiiddddeennSSeerrvviiccee ppoorrtt oonn tthhee ootthheerr eenndd.. CCooooll hhuuhh??
PPooppppiinngg sshheellllss iinn tthhee ddaarrkk ssooccaatt iiss oouurr lloorrdd $$ ssooccaatt TTCCPP44--LLIISSTTEENN::11333377,,ffoorrkk SSOOCCKKSS44AA::112277..00..00..11::tthhqqssmmtt7766bb55ffkkvvoonn55..oonniioonn::8800,,ssoocckkssppoorrtt==99115500 TThhiiss ccaann bbee uusseedd oonn tthhee vviiccttiimm oorr aattttaacckkeerr ssiiddee ((LLiinnuuxx oonnllyy oorr WWiinn oovveerr CCyyggwwiinn)) oorr oonn aa ppiivvoott hhoosstt ttoo mmaakkee hhiimm aacctt aass aa ggaatteewwaayy.. OOMMGG!! SSOO VVEERRSSAATTIILLEE!!
PPooppppiinngg sshheellllss iinn tthhee ddaarrkk BBuutt mmyy ttaarrggeett iiss oonn WWiinnddoowwss aanndd II ccaann oonnllyy ddrroopp tthhee bbiinnaarryy mmaallwwaarree ww//oo SSOOCCKKSS –– AAwwwwww mmaann...... –– WWeellll,, lleett'ss ffiinndd aa ssccaappeeggooaatt tthheenn......
PPooppppiinngg sshheellllss iinn tthhee ddaarrkk VViiccttiimm→→GGaatteewwaayy→→AAttttaacckkeerr MMaallwwaarree ddrrooppss iittss rreegguullaarr bbiinnaarryy MMaallwwaarree iiss ccoonnffiigguurreedd ttoo ppooiinntt aatt ggaatteewwaayy aaddddrreessss && ppoorrtt MMaallwwaarree rruunnss nnoorrmmaallllyy - victim side -
PPooppppiinngg sshheellllss iinn tthhee ddaarrkk VViiccttiimm→→GGaatteewwaayy→→AAttttaacckkeerr GGaatteewwaayy hhoosstt ggeettss aaccqquuiirreedd ((bboouugghhtt//ppwwnneedd) MMaaggiicc ssooccaatt lliinnee ooff hheeaavveennss ooppeennss uupp aa lliisstteenniinngg ppoorrtt ppiippiinngg ttoo tthhee HHiiddddeennSSeerrvviiccee iinn TTOORR''ss uunnddeerrwwoorrlldd GGaatteewwaayy ssiittss ppaattiieennttllyy tthheerree - gateway side -
PPooppppiinngg sshheellllss iinn tthhee ddaarrkk VViiccttiimm→→GGaatteewwaayy→→AAttttaacckkeerr AAttttaacckkeerr ssttaarrttss rreevveerrssee bbaacckkddoooorr lliisstteenneerr AAttttaacckkeerr sseettss uupp HHiiddddeennSSeerrvviiccee oonn lliisstteenneerr ppoorrtt AAttttaacckkeerr wwaaiittss ffoorr tthhee ccoonnnneeccttiioonn ffrroomm vviiccttiimm PPeeww--ppeeww--ppeeww.. - attacker side -
PPooppppiinngg sshheellllss iinn tthhee ddaarrkk
PPooppppiinngg sshheellllss iinn tthhee ddaarrkk VViiccttiimm→→GGaatteewwaayy→→AAttttaacckkeerr FFoorreennssiiccss wwiillll ttrraacckk bbaacckk ttoo GGaatteewwaayy AAss tthhee ggaatteewwaayy ttuunnnneellss ttoo TTOORR, tthhee aattttaacckkeerr ccaannnnoott bbee ttrraacceedd TTrraacciinngg eennddss hheerree CC''yyaa,, ffoorreennssiiccaattoorr!! GGGG KKTTNNXXBBYY
PPooppppiinngg sshheellllss iinn tthhee ddaarrkk TThhee eenndd ooff tthhee ttrraaiill IInn eevveerryy ttuunnnneelliinngg sscchheemmee tthhee ttrraaiill iiss lloosstt WWee ddoonn''tt uussee EExxiittNNooddeess aannyyttiimmee iinn oouurr ttuunnnneellss NNoo nnooiissee oonn nneettwwoorrkk ootthheerr tthhaann rraannddoomm oorr ddiissgguuiisseedd ddaattaa OOnnccee ddeeeepp iinn TTOORR rreeaallmmss –– iiff yyoouu ddoonn''tt lleeaakk ddaattaa –– yyoouu''rree ggoonnee
PPooppppiinngg sshheellllss iinn tthhee ddaarrkk
PPooppppiinngg sshheellllss iinn tthhee ddaarrkk DDeemmoo TTiimmee!! MMeetteerrpprreetteerr bbaacckkddoooorrss!! OOvveerr TTOORR!! YYAAYY!! https://www.youtube.com/watch?v=pOfrKhPjEBU
TTooggeetthheerr iinn tthhee ddaarrkk BBrriinngg iinn ddaa BBoottzz HHiiddddeennSSeerrvviicceess eelliimmiinnaattee tthhee nneeeedd ttoo hhaavvee ppoorrttss ooppeenn PPlluuggggaabbllee TTrraannssppoorrttss mmaakkeess hhaarrdd ttoo ddeetteecctt CC&&CC aanndd PP22PP iimmpplleemmeennttaattiioonn aarree ppoossssiibbllee
TTooggeetthheerr iinn tthhee ddaarrkk IInn SSOOCCKKSS wwee ttrruusstt IIff yyoouurr bboott cclliieenntt iiss ssoocckkss aawwaarree, ggoooodd!! BBuutt aaggaaiinn, iiff iitt''ss nnoott, wwee ccaann mmaakkee aa ggaatteewwaayy wwiitthh ssooccaatt ((aass wwee''vvee sseeeenn iinn tthhee pprreevviioouuss sslliiddeess))
TTooggeetthheerr iinn tthhee ddaarrkk WWee hhaavvee ttoo ddeeppllooyy aa TTOORR cclliieenntt oonn tthhee vviiccttiimm OOrr aa hhoommeebbrreeww iimmpplleemmeennttaattiioonn
TTooggeetthheerr iinn tthhee ddaarrkk AAnnttii--vviirruuss aarree ffiinnee
TTooggeetthheerr iinn tthhee ddaarrkk AAlltteerrnnaattiivveess ttoo ddiirreecctt TTOORR bbiinnaarryy aanndd DDLLLLss OOnniioonnKKiitt –– OObbjjeeccttiivvee--CC TTOORR WWrraappppeerr TToorr..FFrraammeewwoorrkk –– CCooccooaa SStteemm –– PPyytthhoonn WWrraappppeerr LLiibbTToorr –– CC iimmpplleemmeennttaattiioonn
TTooggeetthheerr iinn tthhee ddaarrkk WWhhaatt ccaann bbee ppiippeedd oovveerr TTOORR?? WWeellll,, aallmmoosstt aannyytthhiinngg.. HHTTTTPP // IIRRCC // SSMMTTPP // CCuussttoomm PPrroottooccoollss
TTooggeetthheerr iinn tthhee ddaarrkk MMoodduuss ooppeerraannddii DDrroopp TTOORR cclliieenntt oonn hhoosstt DDrroopp SSOOCCKKSS55--ccaappaabbllee mmaallwwaarree oonn hhoosstt CCoonnnneecctt ttoo CC&&CC ..oonniioonn aaddddrreessss CCoonnnneecctt,, iinntteerraacctt,, pprrooffiitt..
TTooggeetthheerr iinn tthhee ddaarrkk WWiinnzz NNoo 33rrdd ppaarrttyy ddeeppeennddeenncciieess PPlluuggggaabbllee TTrraannssppoorrttss ccaann bbee uusseedd ttoo oobbffuussccaattee ttrraaffffiicc NNoo eexxiitt--nnooddeess uusseedd
TTooggeetthheerr iinn tthhee ddaarrkk WWiinnzz CCoommmmuunniiccaattiioonn oonnllyy oovveerr TTOORR nneettwwoorrkk VViirrttuuaallllyy iimmppoossssiibbllee ttoo ttrraacckk aanndd ttaakkeeddoowwnn ((wwaattcchh oouutt ffoorr lleeaakkss)) CC&&CC HHiiddddeennSSeerrvviiccee ccaann bbee sseettuupp iinn aannyy mmaacchhiinnee,, aatt aannyy ttiimmee aannyywwhheerree
TTooggeetthheerr iinn tthhee ddaarrkk CCaavveeaattss PPrreesseennccee ooff TTOORR ttrraaffffiicc oonn nneettwwoorrkk iiff nnoo oobbffuussccaattiioonn uusseedd MMiigghhtt hhaavvee ttoo aadddd SSOOCCKKSS55 ssuuppppoorrtt ttoo mmaallwwaarree oorr ssooccaatt--lliikkee uussee
TTooggeetthheerr iinn tthhee ddaarrkk WWhhoo ddooeess tthhaatt aallrreeaaddyy?? LLoottss ooff mmaallwwaarree.. BBaannkkeerr,, BBoottss,, iinnccll.. ZZeeuuss..
TTooggeetthheerr iinn tthhee ddaarrkk WWhhoo ddooeess tthhaatt aallrreeaaddyy?? ZZeeuuss CChheewwBBaaccccaa ((BBaannkkeerr)) AAttrraaxx MMeevvaaddee https://securelist.com/blog/incidents/58192/chewbacca-a-new-episode-of-tor-based-malware/
TTooggeetthheerr iinn tthhee ddaarrkk WWhhoo ddooeess tthhaatt aallrreeaaddyy?? CCyytthhoossiiaa ((BBoott)) CCTTBB--LLoocckkeerr ((RRaannssoommwwaarree)) AAnnddrroommeeddaa ((BBoott)) https://securelist.com/analysis/publications/64608/a-new-generation-of-ransomware/
TTooggeetthheerr iinn tthhee ddaarrkk
TTooggeetthheerr iinn tthhee ddaarrkk
TTooggeetthheerr iinn tthhee ddaarrkk WWhhoo ddooeess tthhaatt aallrreeaaddyy?? BBaacckkddoooorr..AAnnddrrooiiddOOSS..TToorreecc..aa ((AAnnddrrooiidd –– OOrrbboott TToorr CClleeiinntt mmooddiiffiieedd)) https://securelist.com/blog/incidents/58528/the-first-tor-trojan-for-android/
TTooggeetthheerr iinn tthhee ddaarrkk
TTooggeetthheerr iinn tthhee ddaarrkk
TTooggeetthheerr iinn tthhee ddaarrkk .Net SocksBot hardcoded C&C in Tor network
TTooggeetthheerr iinn tthhee ddaarrkk PPrriivvaattee TTOORR NNeettwwoorrkkss MMaayybbee ffaasstteerr LLeessss ttrraaffffiicc MMaayybbee eeaassiieerr ttoo eennuummeerraattee??
TTooggeetthheerr iinn tthhee ddaarrkk PP22PP NNoott nneeww ppaarraaddiiggmm ((CCoonnffiicckkeerr)) EEaacchh hhoosstt mmuusstt hhaavvee iitt''ss hhiiddddeenn sseerrvviiccee ffoorr ccoommmm ((HHTTTTPP?? IIRRCC??)) MMaannaaggiinngg hhoossttss ccaann bbee aa lliittttllee mmoorree ccoommpplleexx VVeerryy hhaarrdd ttoo bblloocckk oonn eennddppooiinntt ((nnoo lloonnggeerr uunniiqquuee ..oonniioonn UURRLL))
TTooggeetthheerr iinn tthhee ddaarrkk RReemmaaiinniinngg WWeeaakknneessss TTOORR NNeettwwoorrkk ffrraaggmmeennttaattiioonn SSyynncchhrroonniizzaattiioonn iissssuueess TTrraaffffiicc && CCPPUU uussaaggee iinnccrreeaassee
TTooggeetthheerr iinn tthhee ddaarrkk DDeemmoo TTiimmee!! TT11000000 TTOORR BBoottnneett https://www.youtube.com/watch?v=bovRmjx_FBc
QQuueessttiioonnss??
TThhaannkk yyoouu!! jseidl@wroot.org http://wroot.org @jseidl | slideshare.net/jseidl | linkedin.com/in/janseidl | youtube.com/janseidl

Recommended

Computer vision ppt
Computer vision pptComputer vision ppt
Computer vision pptRachitSogani1
 
Crime Reporting System
Crime Reporting SystemCrime Reporting System
Crime Reporting SystemHaroon Alam
 
online job portal system
online job portal systemonline job portal system
online job portal systemKrishna Ranjan
 
Lecture 1 - Introduction to IoT
Lecture 1 - Introduction to IoTLecture 1 - Introduction to IoT
Lecture 1 - Introduction to IoTAlexandru Radovici
 
Elements of IoT connectivity technologies
Elements of IoT connectivity technologiesElements of IoT connectivity technologies
Elements of IoT connectivity technologiesusman sarwar
 
SCADA Security
SCADA SecuritySCADA Security
SCADA Securityamiable_indian
 
IoT and machine learning - Computational Intelligence conference
IoT and machine learning - Computational Intelligence conferenceIoT and machine learning - Computational Intelligence conference
IoT and machine learning - Computational Intelligence conferenceAjit Jaokar
 
Smart attendance system
Smart attendance systemSmart attendance system
Smart attendance systempraful borad
 

Recommended

Computer vision ppt
Computer vision pptComputer vision ppt
Computer vision pptRachitSogani1
 
Crime Reporting System
Crime Reporting SystemCrime Reporting System
Crime Reporting SystemHaroon Alam
 
online job portal system
online job portal systemonline job portal system
online job portal systemKrishna Ranjan
 
Lecture 1 - Introduction to IoT
Lecture 1 - Introduction to IoTLecture 1 - Introduction to IoT
Lecture 1 - Introduction to IoTAlexandru Radovici
 
Elements of IoT connectivity technologies
Elements of IoT connectivity technologiesElements of IoT connectivity technologies
Elements of IoT connectivity technologiesusman sarwar
 
SCADA Security
SCADA SecuritySCADA Security
SCADA Securityamiable_indian
 
IoT and machine learning - Computational Intelligence conference
IoT and machine learning - Computational Intelligence conferenceIoT and machine learning - Computational Intelligence conference
IoT and machine learning - Computational Intelligence conferenceAjit Jaokar
 
Smart attendance system
Smart attendance systemSmart attendance system
Smart attendance systempraful borad
 
Job portal at jiit 2013-14
Job portal at jiit 2013-14Job portal at jiit 2013-14
Job portal at jiit 2013-14kbabhishek4
 
Ejobportal project ppt on php my_sql
Ejobportal project ppt on php my_sqlEjobportal project ppt on php my_sql
Ejobportal project ppt on php my_sqlprabhat kumar
 
Job Portal
Job PortalJob Portal
Job Portalbijendra
 
Face recognition
Face recognitionFace recognition
Face recognitionbharath55
 
Design & development of job portal system using joomla & its online reputatio...
Design & development of job portal system using joomla & its online reputatio...Design & development of job portal system using joomla & its online reputatio...
Design & development of job portal system using joomla & its online reputatio...Dinesh Babu Pugalenthi
 
Pervasive computing and its Security Issues
Pervasive computing and its Security IssuesPervasive computing and its Security Issues
Pervasive computing and its Security IssuesPhearin Sok
 
Blue brain
Blue brainBlue brain
Blue brainLeelakh Sachdeva
 
Job portal system doc
Job portal system docJob portal system doc
Job portal system docPIYUSH Dubey
 
Object detection with Tensorflow Api
Object detection with Tensorflow ApiObject detection with Tensorflow Api
Object detection with Tensorflow ApiArwinKhan1
 
Cyber crime-in-bangladesh
Cyber crime-in-bangladesh Cyber crime-in-bangladesh
Cyber crime-in-bangladesh Md Nazmul Hossain Mir
 
Placement Automation System
Placement Automation SystemPlacement Automation System
Placement Automation SystemTushar Dattu
 
IoT Made Easy | AWS IoT
IoT Made Easy | AWS IoTIoT Made Easy | AWS IoT
IoT Made Easy | AWS IoTAmazon Web Services
 
Designing the Internet of Things
Designing the Internet of ThingsDesigning the Internet of Things
Designing the Internet of ThingsMassimiliano Dibitonto
 
Object recognition
Object recognitionObject recognition
Object recognitionGeraldyne Gengania
 
Security challenges in IoT
Security challenges in IoTSecurity challenges in IoT
Security challenges in IoTVishnupriya T H
 
Job portal project documentary
Job portal project documentaryJob portal project documentary
Job portal project documentaryUmang_jain
 
Facial expression recognition
Facial expression recognitionFacial expression recognition
Facial expression recognitionSachin Mangad
 
Video object tracking with classification and recognition of objects
Video object tracking with classification and recognition of objectsVideo object tracking with classification and recognition of objects
Video object tracking with classification and recognition of objectsManish Khare
 
Machine Learning in IOT
Machine Learning in IOTMachine Learning in IOT
Machine Learning in IOTArikumarKS2
 
Online jobportal
Online jobportalOnline jobportal
Online jobportalteriwoja
 
aleph - Malware analysis pipelining for the masses
aleph - Malware analysis pipelining for the massesaleph - Malware analysis pipelining for the masses
aleph - Malware analysis pipelining for the massesJan Seidl
 
Jericho Attack Technique
Jericho Attack TechniqueJericho Attack Technique
Jericho Attack TechniqueJan Seidl
 

More Related Content

What's hot

Job portal at jiit 2013-14
Job portal at jiit 2013-14Job portal at jiit 2013-14
Job portal at jiit 2013-14kbabhishek4
 
Ejobportal project ppt on php my_sql
Ejobportal project ppt on php my_sqlEjobportal project ppt on php my_sql
Ejobportal project ppt on php my_sqlprabhat kumar
 
Job Portal
Job PortalJob Portal
Job Portalbijendra
 
Face recognition
Face recognitionFace recognition
Face recognitionbharath55
 
Design & development of job portal system using joomla & its online reputatio...
Design & development of job portal system using joomla & its online reputatio...Design & development of job portal system using joomla & its online reputatio...
Design & development of job portal system using joomla & its online reputatio...Dinesh Babu Pugalenthi
 
Pervasive computing and its Security Issues
Pervasive computing and its Security IssuesPervasive computing and its Security Issues
Pervasive computing and its Security IssuesPhearin Sok
 
Job portal system doc
Job portal system docJob portal system doc
Job portal system docPIYUSH Dubey
 
Object detection with Tensorflow Api
Object detection with Tensorflow ApiObject detection with Tensorflow Api
Object detection with Tensorflow ApiArwinKhan1
 
Placement Automation System
Placement Automation SystemPlacement Automation System
Placement Automation SystemTushar Dattu
 
Security challenges in IoT
Security challenges in IoTSecurity challenges in IoT
Security challenges in IoTVishnupriya T H
 
Job portal project documentary
Job portal project documentaryJob portal project documentary
Job portal project documentaryUmang_jain
 
Facial expression recognition
Facial expression recognitionFacial expression recognition
Facial expression recognitionSachin Mangad
 
Video object tracking with classification and recognition of objects
Video object tracking with classification and recognition of objectsVideo object tracking with classification and recognition of objects
Video object tracking with classification and recognition of objectsManish Khare
 
Machine Learning in IOT
Machine Learning in IOTMachine Learning in IOT
Machine Learning in IOTArikumarKS2
 
Online jobportal
Online jobportalOnline jobportal
Online jobportalteriwoja
 

What's hot (20)

Job portal at jiit 2013-14
Job portal at jiit 2013-14Job portal at jiit 2013-14
Job portal at jiit 2013-14
 
Ejobportal project ppt on php my_sql
Ejobportal project ppt on php my_sqlEjobportal project ppt on php my_sql
Ejobportal project ppt on php my_sql
 
Job Portal
Job PortalJob Portal
Job Portal
 
Face recognition
Face recognitionFace recognition
Face recognition
 
Design & development of job portal system using joomla & its online reputatio...
Design & development of job portal system using joomla & its online reputatio...Design & development of job portal system using joomla & its online reputatio...
Design & development of job portal system using joomla & its online reputatio...
 
Pervasive computing and its Security Issues
Pervasive computing and its Security IssuesPervasive computing and its Security Issues
Pervasive computing and its Security Issues
 
Blue brain
Blue brainBlue brain
Blue brain
 
Job portal system doc
Job portal system docJob portal system doc
Job portal system doc
 
Object detection with Tensorflow Api
Object detection with Tensorflow ApiObject detection with Tensorflow Api
Object detection with Tensorflow Api
 
Cyber crime-in-bangladesh
Cyber crime-in-bangladesh Cyber crime-in-bangladesh
Cyber crime-in-bangladesh
 
Placement Automation System
Placement Automation SystemPlacement Automation System
Placement Automation System
 
IoT Made Easy | AWS IoT
IoT Made Easy | AWS IoTIoT Made Easy | AWS IoT
IoT Made Easy | AWS IoT
 
Designing the Internet of Things
Designing the Internet of ThingsDesigning the Internet of Things
Designing the Internet of Things
 
Object recognition
Object recognitionObject recognition
Object recognition
 
Security challenges in IoT
Security challenges in IoTSecurity challenges in IoT
Security challenges in IoT
 
Job portal project documentary
Job portal project documentaryJob portal project documentary
Job portal project documentary
 
Facial expression recognition
Facial expression recognitionFacial expression recognition
Facial expression recognition
 
Video object tracking with classification and recognition of objects
Video object tracking with classification and recognition of objectsVideo object tracking with classification and recognition of objects
Video object tracking with classification and recognition of objects
 
Machine Learning in IOT
Machine Learning in IOTMachine Learning in IOT
Machine Learning in IOT
 
Online jobportal
Online jobportalOnline jobportal
Online jobportal
 

Viewers also liked

aleph - Malware analysis pipelining for the masses
aleph - Malware analysis pipelining for the massesaleph - Malware analysis pipelining for the masses
aleph - Malware analysis pipelining for the massesJan Seidl
 
Jericho Attack Technique
Jericho Attack TechniqueJericho Attack Technique
Jericho Attack TechniqueJan Seidl
 
NSA-Proof communications (mostly)
NSA-Proof communications (mostly)NSA-Proof communications (mostly)
NSA-Proof communications (mostly)Jan Seidl
 
Reducing attack surface on ICS with Windows native solutions
Reducing attack surface on ICS with Windows native solutionsReducing attack surface on ICS with Windows native solutions
Reducing attack surface on ICS with Windows native solutionsJan Seidl
 
Global privacy research
Global privacy researchGlobal privacy research
Global privacy researchbbw1984
 
Conley Group Operational Security Presentation
Conley Group Operational Security PresentationConley Group Operational Security Presentation
Conley Group Operational Security Presentationguest019923
 
Opsec & sns for distro (no vid)
Opsec & sns for distro (no vid)Opsec & sns for distro (no vid)
Opsec & sns for distro (no vid)Naval OPSEC
 
Opsec for families
Opsec for familiesOpsec for families
Opsec for familiesLindy Kyzer
 
Social Media - Privacy and Settings
Social Media - Privacy and SettingsSocial Media - Privacy and Settings
Social Media - Privacy and SettingsVanguard Leadership
 
FB Privacy Settings Jan 2015
FB Privacy Settings Jan 2015FB Privacy Settings Jan 2015
FB Privacy Settings Jan 2015Naval OPSEC
 
OPSEC for hackers
OPSEC for hackersOPSEC for hackers
OPSEC for hackersgrugq
 
OPSEC Vulnerabilities And Indicators
OPSEC Vulnerabilities And IndicatorsOPSEC Vulnerabilities And Indicators
OPSEC Vulnerabilities And IndicatorsDepartment of Defense
 
Super Effective Denial of Service Attacks
Super Effective Denial of Service AttacksSuper Effective Denial of Service Attacks
Super Effective Denial of Service AttacksJan Seidl
 

Viewers also liked (16)

aleph - Malware analysis pipelining for the masses
aleph - Malware analysis pipelining for the massesaleph - Malware analysis pipelining for the masses
aleph - Malware analysis pipelining for the masses
 
Jericho Attack Technique
Jericho Attack TechniqueJericho Attack Technique
Jericho Attack Technique
 
NSA-Proof communications (mostly)
NSA-Proof communications (mostly)NSA-Proof communications (mostly)
NSA-Proof communications (mostly)
 
Reducing attack surface on ICS with Windows native solutions
Reducing attack surface on ICS with Windows native solutionsReducing attack surface on ICS with Windows native solutions
Reducing attack surface on ICS with Windows native solutions
 
Global privacy research
Global privacy researchGlobal privacy research
Global privacy research
 
Conley Group Operational Security Presentation
Conley Group Operational Security PresentationConley Group Operational Security Presentation
Conley Group Operational Security Presentation
 
Opsec & sns for distro (no vid)
Opsec & sns for distro (no vid)Opsec & sns for distro (no vid)
Opsec & sns for distro (no vid)
 
Opsec for families
Opsec for familiesOpsec for families
Opsec for families
 
OPSEC for Kids
OPSEC for KidsOPSEC for Kids
OPSEC for Kids
 
OPSEC for Families
OPSEC for FamiliesOPSEC for Families
OPSEC for Families
 
Social Media - Privacy and Settings
Social Media - Privacy and SettingsSocial Media - Privacy and Settings
Social Media - Privacy and Settings
 
Personal Data Ecosystem - NSTIC Privacy Workshop
Personal Data Ecosystem - NSTIC Privacy WorkshopPersonal Data Ecosystem - NSTIC Privacy Workshop
Personal Data Ecosystem - NSTIC Privacy Workshop
 
FB Privacy Settings Jan 2015
FB Privacy Settings Jan 2015FB Privacy Settings Jan 2015
FB Privacy Settings Jan 2015
 
OPSEC for hackers
OPSEC for hackersOPSEC for hackers
OPSEC for hackers
 
OPSEC Vulnerabilities And Indicators
OPSEC Vulnerabilities And IndicatorsOPSEC Vulnerabilities And Indicators
OPSEC Vulnerabilities And Indicators
 
Super Effective Denial of Service Attacks
Super Effective Denial of Service AttacksSuper Effective Denial of Service Attacks
Super Effective Denial of Service Attacks
 

Similar to Catch-me if you can - TOR tricks for bots, shells and general hacking

The digestive-system-powerpoint-
The digestive-system-powerpoint-The digestive-system-powerpoint-
The digestive-system-powerpoint-abreham abush
 
05 The Learning Process
05 The Learning Process05 The Learning Process
05 The Learning ProcessPeter Fenrich
 
06.introduction to middle third fractures
06.introduction to middle third fractures 06.introduction to middle third fractures
06.introduction to middle third fractures vasanramkumar
 
Data Structures- Part8 stacks and queues
Data Structures- Part8 stacks and queuesData Structures- Part8 stacks and queues
Data Structures- Part8 stacks and queuesAbdullah Al-hazmy
 
Workshop II digital literacy presentation
Workshop II digital literacy presentationWorkshop II digital literacy presentation
Workshop II digital literacy presentationElizabeth Allen
 
Lect 1 physical assessment
Lect 1 physical assessmentLect 1 physical assessment
Lect 1 physical assessmentAli Mohamed Aziz
 
Creativity as a means of quality improvement
Creativity as a means of quality improvementCreativity as a means of quality improvement
Creativity as a means of quality improvementAbhishek Alankar
 
GastritisZaydoon
GastritisZaydoonGastritisZaydoon
GastritisZaydoonZay Doon
 
ashraf final year ppt on wcr drm kota
ashraf final year ppt on wcr drm kotaashraf final year ppt on wcr drm kota
ashraf final year ppt on wcr drm kotaashrafdgrt
 
Tschechicher held aus mythologie -Τσέχοι ήρωες από τη μυθολογία
Tschechicher held aus mythologie -Τσέχοι ήρωες από τη μυθολογίαTschechicher held aus mythologie -Τσέχοι ήρωες από τη μυθολογία
Tschechicher held aus mythologie -Τσέχοι ήρωες από τη μυθολογίαlitsathana
 
18 Hash tables and sets
18 Hash tables and sets18 Hash tables and sets
18 Hash tables and setsmaznabili
 

Similar to Catch-me if you can - TOR tricks for bots, shells and general hacking (20)

The digestive-system-powerpoint-
The digestive-system-powerpoint-The digestive-system-powerpoint-
The digestive-system-powerpoint-
 
HTML basic
HTML basicHTML basic
HTML basic
 
05 The Learning Process
05 The Learning Process05 The Learning Process
05 The Learning Process
 
06.introduction to middle third fractures
06.introduction to middle third fractures 06.introduction to middle third fractures
06.introduction to middle third fractures
 
Data Structures- Part8 stacks and queues
Data Structures- Part8 stacks and queuesData Structures- Part8 stacks and queues
Data Structures- Part8 stacks and queues
 
Workshop II digital literacy presentation
Workshop II digital literacy presentationWorkshop II digital literacy presentation
Workshop II digital literacy presentation
 
Lect 1 physical assessment
Lect 1 physical assessmentLect 1 physical assessment
Lect 1 physical assessment
 
Moneymkt
MoneymktMoneymkt
Moneymkt
 
Creativity as a means of quality improvement
Creativity as a means of quality improvementCreativity as a means of quality improvement
Creativity as a means of quality improvement
 
GastritisZaydoon
GastritisZaydoonGastritisZaydoon
GastritisZaydoon
 
The passive voice
The passive voiceThe passive voice
The passive voice
 
The passive voice
The passive voiceThe passive voice
The passive voice
 
Training methods
Training methodsTraining methods
Training methods
 
ashraf final year ppt on wcr drm kota
ashraf final year ppt on wcr drm kotaashraf final year ppt on wcr drm kota
ashraf final year ppt on wcr drm kota
 
Fracture condyle
Fracture condyleFracture condyle
Fracture condyle
 
Ji tfinal
Ji tfinalJi tfinal
Ji tfinal
 
Tschechicher held aus mythologie -Τσέχοι ήρωες από τη μυθολογία
Tschechicher held aus mythologie -Τσέχοι ήρωες από τη μυθολογίαTschechicher held aus mythologie -Τσέχοι ήρωες από τη μυθολογία
Tschechicher held aus mythologie -Τσέχοι ήρωες από τη μυθολογία
 
Speaker ppt
Speaker pptSpeaker ppt
Speaker ppt
 
18 Hash tables and sets
18 Hash tables and sets18 Hash tables and sets
18 Hash tables and sets
 
Securing PHP Applications
Securing PHP ApplicationsSecuring PHP Applications
Securing PHP Applications
 

Catch-me if you can - TOR tricks for bots, shells and general hacking

  • 1. CCaattcchh mmee iiff yyoouu ccaann TTOORR ttrriicckkss ffoorr bboottss,, sshheellllss aanndd ggeenneerraall hhaacckkiinngg JJaann SSeeiiddll
  • 2. WWhhoo?? JJaann SSeeiiddll @@jjsseeiiddll RRiioo ddee JJaanneeiirroo –– BBrraazziill CCTTOO @@ TTII SSaaffee DDCC LLaabbss RReesseeaarrcchheerr FF//OOSSSS ddeevveellooppeerr // ccoonnttrriibbuuttoorr CCooddeess aanndd ggiissttss @@ ggiitthhuubb..ccoomm//jjsseeiiddll ((wwaarrnniinngg:: ccooddee mmaayy ccoonnttaaiinn bbuuggss)) AAuutthhoorr SSeegguurraannççaa ddee AAuuttoommaaççããoo IInndduussttrriiaall ee SSCCAADDAA SSppeeaakkeerr @@ HH22HHCC,, DDeeffccoonn BBaannggaalloorree,, CCeeBBIITT,, FFIISSLL,, VVaalleeSSeecc,, LLaattiinnoowwaarree,, BBrraazziill AAuuttoommaattiioonn **NNIIXX,, BBSSDD ffrreeaakk DDiiggiittaall ttoooollss bbllaacckkssmmiitthh // PPyytthhoonn && CC LLoovveerr GGuuiittaarrrriisstt ooff @@uummiinneebbaanndd CCooffffeeee ddeeppeennddeenntt HHaatteess pprriinntteerrss aanndd ssoocciiaall nneettwwoorrkkss SSeelleeccttiivveellyy--ssoocciiaall
  • 3. AAggeennddaa 00xx00 WWhhyy TTOORR?? ((oorr aannyy ddaarrkknneett)) 00xx11 EEnnhhaanncciinngg aannoonnyymmiittyy 00xx22 PPrreevveennttiinngg lleeaakkss 00xx33 GGeenneerraall hhaacckkiinngg oovveerr TTOORR 00xx44 PPooppppiinngg sshheellllss iinn tthhee ddaarrkk 00xx55 TTooggeetthheerr iinn tthhee ddaarrkk:: BBoottss uunnddeerr tthhee ssuurrffaaccee 00xx66 QQuueessttiioonnss
  • 4. WWhhyy TTOORR?? NNoobbooddyy lliikkeess ttoo ggeett ccaauugghhtt:: LLoossiinngg aallll tthhaatt ttiimmee yyoouu ssppeenntt sseettttiinngg uupp ssttuuffff.. LLoossiinngg lloottss ooff mmoonneeyy//ffuunn//gglloorryy ffrroomm uunnaavvaaiillaabbiilliittyy.. LLoossiinngg ffooootthhoolldd oonn yyoouurr ttaarrggeett.. TToooo yyoouunngg ttoo bbeeccoommee ssoommeeoonnee''ss ggiirrllffrriieenndd.. ((aanndd ttoooo cclluummssyy wwiitthh ssooaapp bbaarrss))
  • 5. WWhhyy TTOORR?? HHooww oouurr ccooooll ssttuuffff ggeettss bblloocckkeedd oorr ttaakkeenn ddoowwnn:: OOuurr IIPP // CC&&CC IIPP ggeettss bbaannnneedd DDNNSS ggeettss bbaannnneedd SSiiggnnaattuurree mmaattcchheess ppoooorr ttrraannssppoorrtt iimmpplleemmeennttaattiioonn PPiivvoott hhoosstt oorr eennddppooiinntt ggeettss cclleeaanneedd uupp
  • 6. WWhhyy TTOORR?? SSoo lleett''ss ggoo DDAARRKK
  • 7. WWhhyy TTOORR?? BBeenneeffiittss EEnndd--TToo--EEnndd eennccrryyppttiioonn BBuuiilltt--iinn SSOOCCKKSS55 pprrooxxyy sseerrvveerr AAuuxxiilliiaarryy ssooffttwwaarree ffoorr ttuunnnneelliinngg nnoonn--pprrooxxyy aawwaarree ttoooollss oovveerr SSOOCCKKSS55
  • 8. WWhhyy TTOORR?? BBeenneeffiittss GGeeoo--sseeppaarraattiioonn && cciirrccuuiitt rroottaattiioonn HHiiddddeennSSeerrvviicceess AAnnoonnyymmoouuss ((OOnniioonn rroouuttiinngg)) EEnnttrryyGGuuaarrddss
  • 9. WWhhyy TTOORR?? BBeenneeffiittss RRuunnss oonn llooccaallhhoosstt ((nneettwwoorrkk ssccaannnneerrss wwoonn''tt ffiinndd yyoouu)) HHiigghhllyy CCoonnffiigguurraabbllee UUnnlliisstteedd bbrriiddggeess PPlluuggggaabbllee TTrraannssppoorrttss!!
  • 10. WWhhyy TTOORR?? CCoonnss AAnnoonnyymmiittyy ccoommeess aatt tthhee pprriiccee ooff ssppeeeedd..
  • 11. WWhhyy TTOORR?? IIss TTOORR bbaadd?? MMaannyy lleeggiitt uusseess ((WWiikkiilleeaakkss,, SSeeccuurreeddrroopp)) CCaann aanndd IISS wwiiddeellyy aabbuusseedd ((ccrriimmiinnaallss//ddrruugg//ppeeddoo//mmaallwwaarree//bboottss)) TTOORR ttrraaffffiicc mmaayy rriinngg uupp ssoommee bbeellllss
  • 12. EEnnhhaanncciinngg pprriivvaaccyy TTOORR aanndd TTAAIILLSS DDoo nnoott ccoommee ccoonnffiigguurreedd ttoo bbee ffuullllyy uunnddeetteeccttaabbllee oouutt--ooff--tthhee--bbooxx DDeeffaauulltt ccoonnffiigguurraattiioonn iiss pprreettttyy sseeccuurree aanndd aannoonnyymmoouuss ''tthhoouu EEnnttrryy && EExxiitt nnooddeess lliisstteedd iinn ppuubblliicc ddiirreeccttoorriieess ccaann bbee eeaassiillyy bblloocckkeedd TTOORR pprroottooccooll ccaann bbee ddeetteecctteedd aanndd bblloocckkeedd aatt llooccaall nneett oorr IISSPP lleevveell https://github.com/jseidl/TORBlock
  • 13. EEnnhhaanncciinngg pprriivvaaccyy TTOORR bbrriiddggeess EEnnttrryy nnooddeess nnoott lliisstteedd iinn ppuubblliicc ddiirreeccttoorryy lliissttss.. NNooddee lliissttiinngg aavvaaiillaabbllee:: HHTTTTPP//SS ww// CCAAPPTTCCHHAA && eemmaaiill.. BBee ssuurree ttoo cchheecckk ''eemm ((llooccaattiioonn//oowwnneerr//rreeppuuttaattiioonn)) bbeeffoorree yyoouu uussee.. PPrriivvaattee BBrriiddggeess ccaann bbee sseett uupp https://tails.boum.org/doc/first_steps/startup_options/bridge_mode/index.en.html
  • 15. EEnnhhaanncciinngg pprriivvaaccyy PPlluuggggaabbllee TTrraannssppoorrtt TTrraaffffiicc ccoonntteenntt AANNDD lleennggtthh oobbffuussccaattiioonn ffoorr TTOORR AAvvooiidd IIPPSS aanndd ootthheerr ccoonntteenntt ffiilltteerrss eevveenn wwiitthh DDPPII RReeqquuiirreess cclliieenntt ssuuppppoorrtt oorr eexxtteerrnnaall ttuunnnneelliinngg bbiinnaarryy https://www.torproject.org/docs/bridges#PluggableTransports https://trac.torproject.org/projects/tor/wiki/doc/AChildsGardenOfPluggableTransports https://trac.torproject.org/projects/tor/wiki/doc/PluggableTransports http://www.deepdotweb.com/jolly-rogers-security-guide-for-beginners/hiding-tor-from-your-isp-part-
  • 16. EEnnhhaanncciinngg pprriivvaaccyy BBeesstt oobbffuussccaattiioonn pprroottooccoollss 11.. OOBBFFSS33 22.. FFTTEE 33.. SSCCRRAAMMBBLLEESSUUIITT 4.. MMEEEEKK 5.. FFLLAASSHHPPRROOXXYY ((iimmpplleemmeenntteedd oonn TTOORR))
  • 17. EEnnhhaanncciinngg pprriivvaaccyy TThhrreeeeoobbffuussccaattoorr ((oobbffss33)) aann oobbffuussccaattiioonn llaayyeerr oonn ttoopp ooff TToorr TTLLSS.. IItt nneeggoottiiaatteess sseessssiioonn kkeeyyss aanndd tthheenn eennccrryyppttss eevveerryytthhiinngg bbeettwweeeenn cclliieenntt aanndd sseerrvveerr,, wwiitthh nnoo ppllaaiinntteexxtt hheeaaddeerrss.. TThhee rreessuulltt llooookkss lliikkee aa uunniiffoorrmmllyy rraannddoomm bbyyttee ssttrreeaamm,, wwiitthh nnoo ffiixxeedd bbyyttee ppaatttteerrnnss ttoo mmaattcchh oonn..
  • 18. EEnnhhaanncciinngg pprriivvaaccyy obfs3 TTOORR PPllaaiinn vvss oobbffss33 TOR Plain Initial handshakes and connection to same resource TOR TLS handshake The darkness of pixels indicates byte values from 0 to 255
  • 19. EEnnhhaanncciinngg pprriivvaaccyy FFoorrmmaatt--TTrraannssffoorrmmiinngg EEnnccrryyppttiioonn ((FFTTEE)) EEnnccooddeess ddaattaa ttoo mmaattcchh ggiivveenn rreegguullaarr eexxpprreessssiioonn.. FFooccuuss oonn kkeeeeppiinngg uunnddeerr kknnoowwnn--ggoooodd ssiiggnnaattuurreess oonn vveennddoorr ssww && hhww.. TThhee rreessuulltt llooookkss lliikkee aa rreegguullaarr jjuunnkk HHTTTTPP oorr SSSSHH sseessssiioonn.. https://fteproxy.org/
  • 20. EEnnhhaanncciinngg pprriivvaaccyy FFoorrmmaatt--TTrraannssffoorrmmiinngg EEnnccrryyppttiioonn ((FFTTEE)) $$ fftteepprrooxxyy ----mmooddee cclliieenntt ----uuppssttrreeaamm--ffoorrmmaatt mmaannuuaall--sssshh--rreeqquueesstt ----ddoowwnnssttrreeaamm--ffoorrmmaatt mmaannuuaall--sssshh--rreessppoonnssee $$ fftteepprrooxxyy ----mmooddee sseerrvveerr ----uuppssttrreeaamm--ffoorrmmaatt mmaannuuaall--sssshh--rreeqquueesstt ----ddoowwnnssttrreeaamm--ffoorrmmaatt mmaannuuaall--sssshh--rreessppoonnssee $$ nnccaatt --kk --ll --pp 88008811 $$ nnccaatt 112277..00..00..11 88007799 https://fteproxy.org/
  • 23. EEnnhhaanncciinngg pprriivvaaccyy SSccrraammbblleeSSuuiitt AAllssoo llooookkss lliikkee uunniiffoorrmm rraannddoomm bbyytteess.. oobbffss33 ++ rraannddoommiizzaattiioonn ooff tthhee ssiizzee aanndd ttiimmiinngg ooff ppaacckkeettss.. RReessiissttss aaccttiivvee pprroobbiinngg11 bbyy rreeqquuiirriinngg aa sseeccrreett kkeeyy ffrroomm tthhee cclliieenntt bbeeffoorree rreessppoonnddiinngg.. rreessuulltt:: rraannddoomm nnooiissee.. 1http://www.cs.kau.se/philwint/static/gfc/
  • 24. TOR Plain obfs3 EEnnhhaanncciinngg pprriivvaaccyy PPllaaiinn && oobbffss33 && SSccrraammbblleeSSuuiitt Download of webpage at https://check.torproject.org/ Even with ScrambleSuit being more hard to detect, the increase in payload length makes obfs3 better in the overall cost tradeoff. (YMMV) ScrambleSuit
  • 25. EEnnhhaanncciinngg pprriivvaaccyy MMeeeekk RReefflleeccttoorr--oorriieenntteedd.. UUsseess ddoommaaiinn--ffrroonnttiinngg tteecchhnniiqquuee.. MMaakkeess iitt llooookkss tthhaatt yyoouu''rree ttaallkkiinngg ttoo GGooooggllee SSeeaarrcchh oorr AAmmaazzoonn AAWWSS,, ffoorr eexxaammppllee.. RReeqquuiirreess bbrroowwsseerr pplluuggiinn.. RReeqquuiirreess mmeeeekk--sseerrvveerr ccaappaabbllee kknnoowwnn hhoosstt.. OOnnllyy ggoooodd iiff aallll ootthheerr mmeetthhooddss ffaaiillss.. https://trac.torproject.org/projects/tor/wiki/doc/AChildsGardenOfPluggableTransports#meek https://blog.torproject.org/blog/how-use-%E2%80%9Cmeek%E2%80%9D-pluggable-transport
  • 26. EEnnhhaanncciinngg pprriivvaaccyy FFllaasshh PPrrooxxyy SShhoorrtt--lliivveedd JJaavvaaSSccrriipptt pprrooxxiieess oovveerr WWeebbSSoocckkeettss SSiimmppllee XXOORR oobbffuussccaattiioonn ((WWeebbSSoocckkeettss ffeeaattuurree)) OOnnllyy wwoorrkkss ffoorr bbrroowwsseerrss https://trac.torproject.org/projects/tor/wiki/doc/AChildsGardenOfPluggableTransports#Flashproxy
  • 27. EEnnhhaanncciinngg pprriivvaaccyy AAnndd mmoorree!! SStteeggooTToorruuss aann OObbffsspprrooxxyy ffoorrkk tthhaatt eexxtteennddss iitt ttoo aa)) sspplliitt TToorr ssttrreeaammss aaccrroossss mmuullttiippllee ccoonnnneeccttiioonnss ttoo aavvooiidd ppaacckkeett ssiizzee ssiiggnnaattuurreess,, aanndd bb)) eemmbbeedd tthhee ttrraaffffiicc fflloowwss iinn ttrraacceess tthhaatt llooookk lliikkee hhttmmll,, jjaavvaassccrriipptt,, oorr ppddff..
  • 28. EEnnhhaanncciinngg pprriivvaaccyy AAnndd mmoorree!! SSkkyyppeeMMoorrpphh TTrraannssffoorrmmss TToorr ttrraaffffiicc fflloowwss ssoo tthheeyy llooookk lliikkee SSkkyyppee VViiddeeoo..
  • 29. PPrreevveennttiinngg lleeaakkss HHaarrddeenniinngg iitt uupp DDrroopp oouuttggooiinngg ccoonnnneeccttiioonnss ttoo aannyytthhiinngg bbuutt TTOORR eennttrryy nnooddeess SSoommee ttoooollss uussee oouutt--ooff--bbaanndd rreeqquueessttss ((lliikkee nnmmaapp''ss ppiinnggss)) tthhaatt mmaayy nnoott bbee rroouutteedd tthhoouugghh TTOORR DDrroopp aallll iinnccoommiinngg ttrraaffffiicc oonn eexxppoosseedd iinntteerrffaacceess ((eetthh00//wwllaann00)) RReessttrraaiinn yyoouurr nneettwwoorrkkeedd aapppplliiccaattiioonnss lliisstteenniinngg oonn llooccaallhhoosstt
  • 30. PPrreevveennttiinngg lleeaakkss ##!!//bbiinn//sshh ## ddeessttiinnaattiioonnss yyoouu ddoonn''tt wwaanntt rroouutteedd tthhrroouugghh TToorr NNOONN__TTOORR==""119922..116688..11..00//2244 119922..116688..00..00//2244"" ## tthhee UUIIDD TToorr rruunnss aass TTOORR__UUIIDD==""4433"" ## TToorr''ss TTrraannssPPoorrtt TTRRAANNSS__PPOORRTT==""99004400"" iippttaabblleess --FF iippttaabblleess --tt nnaatt --FF iippttaabblleess --tt nnaatt --AA OOUUTTPPUUTT --mm oowwnneerr ----uuiidd--oowwnneerr $$TTOORR__UUIIDD --jj RREETTUURRNN iippttaabblleess --tt nnaatt --AA OOUUTTPPUUTT --pp uuddpp ----ddppoorrtt 5533 --jj RREEDDIIRREECCTT ----ttoo--ppoorrttss 55335533 ffoorr NNEETT iinn $$NNOONN__TTOORR 112277..00..00..00//99 112277..112288..00..00//1100;; ddoo iippttaabblleess --tt nnaatt --AA OOUUTTPPUUTT --dd $$NNEETT --jj RREETTUURRNN ddoonnee iippttaabblleess --tt nnaatt --AA OOUUTTPPUUTT --pp ttccpp ----ssyynn --jj RREEDDIIRREECCTT ----ttoo--ppoorrttss $$TTRRAANNSS__PPOORRTT iippttaabblleess --AA OOUUTTPPUUTT --mm ssttaattee ----ssttaattee EESSTTAABBLLIISSHHEEDD,,RREELLAATTEEDD --jj AACCCCEEPPTT ffoorr NNEETT iinn $$NNOONN__TTOORR 112277..00..00..00//88;; ddoo iippttaabblleess --AA OOUUTTPPUUTT --dd $$NNEETT --jj AACCCCEEPPTT ddoonnee iippttaabblleess --AA OOUUTTPPUUTT --mm oowwnneerr ----uuiidd--oowwnneerr $$TTOORR__UUIIDD --jj AACCCCEEPPTT iippttaabblleess --AA OOUUTTPPUUTT --jj RREEJJEECCTT
  • 31. PPrreevveennttiinngg lleeaakkss AAnndd iinn ttoorrrrcc...... VViirrttuuaallAAddddrrNNeettwwoorrkk 1100..119922..00..00//1100 AAuuttoommaappHHoossttssOOnnRReessoollvvee 11 TTrraannssPPoorrtt 99004400 DDNNSSPPoorrtt 55335533
  • 32. PPrreevveennttiinngg lleeaakkss HHiiddddeennSSeerrvviiccee TTrraaffffiicc oonnllyy TTRRAANNSS__PPOORRTT==""99004400"" DDNNSS__PPOORRTT==""55335533"" iippttaabblleess --tt nnaatt --AA OOUUTTPPUUTT --pp ttccpp --dd 1100..119922..00..00//1100 --jj RREEDDIIRREECCTT ----ttoo--ppoorrttss $$TTRRAANNSS__PPOORRTT iippttaabblleess --tt nnaatt --AA OOUUTTPPUUTT --pp uuddpp ----ddppoorrtt 5533 --jj RREEDDIIRREECCTT ----ttoo--ppoorrttss $$DDNNSS__PPOORRTT ## ttoorrrrcc VViirrttuuaallAAddddrrNNeettwwoorrkk 1100..119922..00..00//1100 AAuuttoommaappHHoossttssOOnnRReessoollvvee 11 TTrraannssPPoorrtt 99004400 DDNNSSPPoorrtt 55335533
  • 33. PPrreevveennttiinngg lleeaakkss MMeettaaddaattaa HHoossttnnaammee aanndd iinntteerrnnaall//eexxtteerrnnaall IIPP aaddddrreesssseess mmaayy bbee eexxppoosseedd bbyy mmiissttaakkee IIff yyoouurr aapppp mmaakkeess aa rreeqquueesstt ttoo aann eexxtteerrnnaall rreessoouurrccee yyoouurr IIPP wwiillll lleeaakk IIff yyoouurr aapppp sseennddss eemmaaiill yyoouurr IIPP wwiillll lleeaakk oonn ““RReecceeiivveedd::”” hheeaaddeerr
  • 34. PPrreevveennttiinngg lleeaakkss OOooppss...... http://www.thinkdifferentzone.com/2014/09 /need-real-ip-address-of-cloudflare.html
  • 36. GGeenneerraall hhaacckkiinngg oovveerr TTOORR EExxiittNNooddeess eeaavveessddrrooppppiinngg ““ IInn sshhoorrtt,, eevveerryy eexxiitt nnooddee ccaann ssppyy oonn yyoouurr uunneennccrryypptteedd eexxiitt ttrraaffffiicc aanndd eevveenn wwoorrssee,, iinnjjeecctt mmaalliicciioouuss ccooddee iinnttoo tthhee ssttrreeaamm -- bbee aawwaarree ooff tthhiiss..”” TTOORR wweebbssiittee
  • 37. GGeenneerraall hhaacckkiinngg oovveerr TTOORR SSOOCCKKSS55 PPrrooxxyy--aawwaarree PPooiinntt tthhee ttooooll ttoo TTOORR''ss SSOOCCKKSS55 ppoorrtt EEnnjjooyy yyoouurr MMaarrttiinnii
  • 38. GGeenneerraall hhaacckkiinngg oovveerr TTOORR NNoonn--SSOOCCKKSS55 PPrrooxxyy--aawwaarree WWeellll,, tthhaatt ssuucckkss.. PPrriivvooxxyy // PPrrooxxyycchhaaiinnss // PPoolliippoo // TToorrssoocckkss aarree hheerree ttoo hheellpp.. http://code.google.com/p/torsocks/ https://trac.torproject.org/projects/tor/wiki/doc/TorifyHOWTO/Polipo http://www.privoxy.org/ http://proxychains.sourceforge.net/
  • 39. GGeenneerraall hhaacckkiinngg oovveerr TTOORR II ccaann''tt SSOOCCKKSS!! GGiimmmmee HHTTTTPP//SS,, PPrriivvooxxyy!! HHTTTTPP//SS pprrooxxyy CCaann ffoorrwwaarrdd ttoo ootthheerr pprrooxxiieess ((SSOOCCKKSS iinnccll..!!)) GGoooodd ffoorr aapppplliiccaattiioonnss wwiitthh HHTTTTPP//SS pprrooxxyy ssuuppppoorrtt http://www.privoxy.org/
  • 40. GGeenneerraall hhaacckkiinngg oovveerr TTOORR PPiippiinngg wwiitthh PPrriivvooxxyy $$ eexxppoorrtt HHTTTTPP__PPRROOXXYY==””112277..00..00..11::88111188”” $$ wwggeett hhttttpp::////iiffccoonnffiigg..mmee 7744..112200..1155..115500 1http://securitystreetknowledge.com/?p=283
  • 41. GGeenneerraall hhaacckkiinngg oovveerr TTOORR II ccaann''tt aannyytthhiinngg!! PPrrooxxyycchhaaiinnss FFTTWW!! EEnnccaappssuullaatteess rreeqquueessttss aanndd DDNNSS llooookkuuppss SSuuppppoorrtt ffoorr mmuullttiippllee pprrooxxyy ttyyppeess ((SSOOCCKKSS44//55,, HHTTTTPP//SS)) CCaann rraannddoommiizzee pprrooxxyy lliisstt ::)) DDiidd II hheeaarr cclluusstteerr bboommbbiinngg?? PPrrooxxiiffiieess nnoorrmmaallllyy uunnpprrooxxiiffiiaabbllee aapppplliiccaattiioonnss ((wwaatt??))
  • 42. GGeenneerraall hhaacckkiinngg oovveerr TTOORR PPrrooxxyycchhaaiinnss bbaassiicc ccoonnffiigg ## iinn //eettcc//pprrooxxyycchhaaiinnss//ccoonnffiigg ssttrriicctt__cchhaaiinn ## oorr rraannddoomm//ddyynnaammiicc iiff uussiinngg mmuullttiippllee TTOORR iinnssttaanncceess ttccpp__rreeaadd__ttiimmee__oouutt 1155000000 ttccpp__ccoonnnneecctt__ttiimmee__oouutt 88000000 pprrooxxyy__ddnnss [[PPrrooxxyyLLiisstt]] ssoocckkss44 112277..00..00..11 99005500 1http://securitystreetknowledge.com/?p=283
  • 43. GGeenneerraall hhaacckkiinngg oovveerr TTOORR PPiippiinngg wwiitthh PPrrooxxyycchhaaiinnss $$ pprrooxxyycchhaaiinnss nnmmaapp --PP00 --ssTT --nn --pp 8800 118866..119922..9900..55 ## --ssTT TTCCPP CCoonnnneecctt(()) ttoo ggoo tthhrruu TTOORR ((SSYYNN wwoonn''tt wwoorrkk)),, --nn ddoonn''tt ddoo nnaammee rreessoolluuttiioonnss aanndd --PP00 iiss ttoo aavvooiidd IICCMMPP lleeaakk11 $$ pprrooxxyycchhaaiinnss ppyytthhoonn ssqqllmmaapp..ppyy --uu ""hhttttpp::////wwwwww..eexxaammppllee..ccoomm//vvuullnn..pphhpp??iidd==11"" --ff ----ddbbss ––uusseerrss $$ pprrooxxyycchhaaiinnss ggoollddeenneeyyee..ppyy hhttttpp::////wwwwww..eexxaammppllee..ccoomm 1http://securitystreetknowledge.com/?p=283
  • 44. GGeenneerraall hhaacckkiinngg oovveerr TTOORR GGeettttiinngg aa nneeww iiddeennttiittyy $$ pprrooxxyycchhaaiinnss ccuurrll iiffccoonnffiigg..mmee 22>> //ddeevv//nnuullll 7744..112200..1155..115500 $$ eecchhoo --ee ''AAUUTTHHEENNTTIICCAATTEE ""ppaasssswwoorrdd""rrnnssiiggnnaall NNEEWWNNYYMMrrnnQQUUIITT'' || nncc 112277..00..00..11 99005511 $$ pprrooxxyycchhaaiinnss ccuurrll iiffccoonnffiigg..mmee 22>> //ddeevv//nnuullll 4466..5599..7744..1155 https://github.com/jseidl/Multi-TOR/blob/master/tor_newid.sh
  • 45. PPooppppiinngg sshheellllss iinn tthhee ddaarrkk TTuunnnneelliinngg SScchheemmeess VViiccttiimm ((hhoossttss tthhee hhiiddddeenn sseerrvviiccee)) ←← AAttttaacckkeerr ((oovveerr TTOORR)) VViiccttiimm ((oovveerr TTOORR))→→ AAttttaacckkeerr ((hhoossttss tthhee hhiiddddeenn sseerrvviiccee)) VViiccttiimm→→ GGaatteewwaayy ((oovveerr TTOORR)) →→ AAttttaacckkeerr ((hhoossttss tthhee hhiiddddeenn sseerrvviiccee))
  • 46. PPooppppiinngg sshheellllss iinn tthhee ddaarrkk VViiccttiimm←← AAttttaacckkeerr MMaallwwaarree ddrrooppss TTOORR cclliieenntt aanndd ccoonnffiigguurraattiioonn ffiillee MMaallwwaarree ssttaarrttss TTOORR wwiitthh pprree--ccoonnffiigguurreedd hhiiddddeenn--sseerrvviiccee MMaallwwaarree lliisstteennss oonn llooccaallhhoosstt oonn pprree--ccoonnffiigguurreedd ppoorrtt - victim side -
  • 47. PPooppppiinngg sshheellllss iinn tthhee ddaarrkk VViiccttiimm←← AAttttaacckkeerr AAttttaacckkeerr ssttaarrttss uupp TTOORR aanndd ppooiinntt bbaacckkddoooorr cclliieenntt ttoo HHiiddddeennSSeerrvviiccee oovveerr TTOORR tthhrroouugghh SSOOCCKKSS PPwwnnaaggee.. - attacker side -
  • 48. PPooppppiinngg sshheellllss iinn tthhee ddaarrkk VViiccttiimm→→AAttttaacckkeerr MMaallwwaarree ddrrooppss TTOORR cclliieenntt MMaallwwaarree ssttaarrttss TTOORR MMaallwwaarree ccoonnnneeccttss ttoo aattttaacckkeerrss ..oonniioonn aaddddrreessss oovveerr TTOORR tthhrroouugghh SSOOCCKKSS - victim side -
  • 49. PPooppppiinngg sshheellllss iinn tthhee ddaarrkk VViiccttiimm→→AAttttaacckkeerr AAttttaacckkeerr ssttaarrttss rreevveerrssee bbaacckkddoooorr lliisstteenneerr AAttttaacckkeerr sseettss uupp HHiiddddeennSSeerrvviiccee oonn lliisstteenneerr ppoorrtt AAttttaacckkeerr wwaaiittss ffoorr tthhee ccoonnnneeccttiioonn ffrroomm vviiccttiimm BBAAMM!! - attacker side -
  • 51. PPooppppiinngg sshheellllss iinn tthhee ddaarrkk WWhhaatt iiff mmyy bbaacckkddoooorr cclliieenntt//lliisstteenneerr ddooeess nnoott ssuuppppoorrtt TTOORR nnoorr SSOOCCKKSS55//44AA?? –– OOMMGG!! NNooww wwhhaatt?? –– RReellaaxx,, wwee ggoott tthhaatt ccoovveerreedd tthhaatt ttoooo
  • 52. PPooppppiinngg sshheellllss iinn tthhee ddaarrkk ssooccaatt iiss oouurr lloorrdd $$ ssooccaatt TTCCPP44--LLIISSTTEENN::11333377,,ffoorrkk SSOOCCKKSS44AA::112277..00..00..11::tthhqqssmmtt7766bb55ffkkvvoonn55..oonniioonn::8800,,ssoocckkssppoorrtt==99115500 SSttaarrttss aa nniiccee TTCCPP ssoocckkeett ggooiinngg ddiirreeccttllyy ttoo oouurr HHiiddddeennSSeerrvviiccee ppoorrtt oonn tthhee ootthheerr eenndd.. CCooooll hhuuhh??
  • 53. PPooppppiinngg sshheellllss iinn tthhee ddaarrkk ssooccaatt iiss oouurr lloorrdd $$ ssooccaatt TTCCPP44--LLIISSTTEENN::11333377,,ffoorrkk SSOOCCKKSS44AA::112277..00..00..11::tthhqqssmmtt7766bb55ffkkvvoonn55..oonniioonn::8800,,ssoocckkssppoorrtt==99115500 TThhiiss ccaann bbee uusseedd oonn tthhee vviiccttiimm oorr aattttaacckkeerr ssiiddee ((LLiinnuuxx oonnllyy oorr WWiinn oovveerr CCyyggwwiinn)) oorr oonn aa ppiivvoott hhoosstt ttoo mmaakkee hhiimm aacctt aass aa ggaatteewwaayy.. OOMMGG!! SSOO VVEERRSSAATTIILLEE!!
  • 54. PPooppppiinngg sshheellllss iinn tthhee ddaarrkk BBuutt mmyy ttaarrggeett iiss oonn WWiinnddoowwss aanndd II ccaann oonnllyy ddrroopp tthhee bbiinnaarryy mmaallwwaarree ww//oo SSOOCCKKSS –– AAwwwwww mmaann...... –– WWeellll,, lleett'ss ffiinndd aa ssccaappeeggooaatt tthheenn......
  • 55. PPooppppiinngg sshheellllss iinn tthhee ddaarrkk VViiccttiimm→→GGaatteewwaayy→→AAttttaacckkeerr MMaallwwaarree ddrrooppss iittss rreegguullaarr bbiinnaarryy MMaallwwaarree iiss ccoonnffiigguurreedd ttoo ppooiinntt aatt ggaatteewwaayy aaddddrreessss && ppoorrtt MMaallwwaarree rruunnss nnoorrmmaallllyy - victim side -
  • 56. PPooppppiinngg sshheellllss iinn tthhee ddaarrkk VViiccttiimm→→GGaatteewwaayy→→AAttttaacckkeerr GGaatteewwaayy hhoosstt ggeettss aaccqquuiirreedd ((bboouugghhtt//ppwwnneedd) MMaaggiicc ssooccaatt lliinnee ooff hheeaavveennss ooppeennss uupp aa lliisstteenniinngg ppoorrtt ppiippiinngg ttoo tthhee HHiiddddeennSSeerrvviiccee iinn TTOORR''ss uunnddeerrwwoorrlldd GGaatteewwaayy ssiittss ppaattiieennttllyy tthheerree - gateway side -
  • 57. PPooppppiinngg sshheellllss iinn tthhee ddaarrkk VViiccttiimm→→GGaatteewwaayy→→AAttttaacckkeerr AAttttaacckkeerr ssttaarrttss rreevveerrssee bbaacckkddoooorr lliisstteenneerr AAttttaacckkeerr sseettss uupp HHiiddddeennSSeerrvviiccee oonn lliisstteenneerr ppoorrtt AAttttaacckkeerr wwaaiittss ffoorr tthhee ccoonnnneeccttiioonn ffrroomm vviiccttiimm PPeeww--ppeeww--ppeeww.. - attacker side -
  • 59. PPooppppiinngg sshheellllss iinn tthhee ddaarrkk VViiccttiimm→→GGaatteewwaayy→→AAttttaacckkeerr FFoorreennssiiccss wwiillll ttrraacckk bbaacckk ttoo GGaatteewwaayy AAss tthhee ggaatteewwaayy ttuunnnneellss ttoo TTOORR, tthhee aattttaacckkeerr ccaannnnoott bbee ttrraacceedd TTrraacciinngg eennddss hheerree CC''yyaa,, ffoorreennssiiccaattoorr!! GGGG KKTTNNXXBBYY
  • 60. PPooppppiinngg sshheellllss iinn tthhee ddaarrkk TThhee eenndd ooff tthhee ttrraaiill IInn eevveerryy ttuunnnneelliinngg sscchheemmee tthhee ttrraaiill iiss lloosstt WWee ddoonn''tt uussee EExxiittNNooddeess aannyyttiimmee iinn oouurr ttuunnnneellss NNoo nnooiissee oonn nneettwwoorrkk ootthheerr tthhaann rraannddoomm oorr ddiissgguuiisseedd ddaattaa OOnnccee ddeeeepp iinn TTOORR rreeaallmmss –– iiff yyoouu ddoonn''tt lleeaakk ddaattaa –– yyoouu''rree ggoonnee
  • 62. PPooppppiinngg sshheellllss iinn tthhee ddaarrkk DDeemmoo TTiimmee!! MMeetteerrpprreetteerr bbaacckkddoooorrss!! OOvveerr TTOORR!! YYAAYY!! https://www.youtube.com/watch?v=pOfrKhPjEBU
  • 63. TTooggeetthheerr iinn tthhee ddaarrkk BBrriinngg iinn ddaa BBoottzz HHiiddddeennSSeerrvviicceess eelliimmiinnaattee tthhee nneeeedd ttoo hhaavvee ppoorrttss ooppeenn PPlluuggggaabbllee TTrraannssppoorrttss mmaakkeess hhaarrdd ttoo ddeetteecctt CC&&CC aanndd PP22PP iimmpplleemmeennttaattiioonn aarree ppoossssiibbllee
  • 64. TTooggeetthheerr iinn tthhee ddaarrkk IInn SSOOCCKKSS wwee ttrruusstt IIff yyoouurr bboott cclliieenntt iiss ssoocckkss aawwaarree, ggoooodd!! BBuutt aaggaaiinn, iiff iitt''ss nnoott, wwee ccaann mmaakkee aa ggaatteewwaayy wwiitthh ssooccaatt ((aass wwee''vvee sseeeenn iinn tthhee pprreevviioouuss sslliiddeess))
  • 65. TTooggeetthheerr iinn tthhee ddaarrkk WWee hhaavvee ttoo ddeeppllooyy aa TTOORR cclliieenntt oonn tthhee vviiccttiimm OOrr aa hhoommeebbrreeww iimmpplleemmeennttaattiioonn
  • 66. TTooggeetthheerr iinn tthhee ddaarrkk AAnnttii--vviirruuss aarree ffiinnee
  • 67. TTooggeetthheerr iinn tthhee ddaarrkk AAlltteerrnnaattiivveess ttoo ddiirreecctt TTOORR bbiinnaarryy aanndd DDLLLLss OOnniioonnKKiitt –– OObbjjeeccttiivvee--CC TTOORR WWrraappppeerr TToorr..FFrraammeewwoorrkk –– CCooccooaa SStteemm –– PPyytthhoonn WWrraappppeerr LLiibbTToorr –– CC iimmpplleemmeennttaattiioonn
  • 68. TTooggeetthheerr iinn tthhee ddaarrkk WWhhaatt ccaann bbee ppiippeedd oovveerr TTOORR?? WWeellll,, aallmmoosstt aannyytthhiinngg.. HHTTTTPP // IIRRCC // SSMMTTPP // CCuussttoomm PPrroottooccoollss
  • 69. TTooggeetthheerr iinn tthhee ddaarrkk MMoodduuss ooppeerraannddii DDrroopp TTOORR cclliieenntt oonn hhoosstt DDrroopp SSOOCCKKSS55--ccaappaabbllee mmaallwwaarree oonn hhoosstt CCoonnnneecctt ttoo CC&&CC ..oonniioonn aaddddrreessss CCoonnnneecctt,, iinntteerraacctt,, pprrooffiitt..
  • 70. TTooggeetthheerr iinn tthhee ddaarrkk WWiinnzz NNoo 33rrdd ppaarrttyy ddeeppeennddeenncciieess PPlluuggggaabbllee TTrraannssppoorrttss ccaann bbee uusseedd ttoo oobbffuussccaattee ttrraaffffiicc NNoo eexxiitt--nnooddeess uusseedd
  • 71. TTooggeetthheerr iinn tthhee ddaarrkk WWiinnzz CCoommmmuunniiccaattiioonn oonnllyy oovveerr TTOORR nneettwwoorrkk VViirrttuuaallllyy iimmppoossssiibbllee ttoo ttrraacckk aanndd ttaakkeeddoowwnn ((wwaattcchh oouutt ffoorr lleeaakkss)) CC&&CC HHiiddddeennSSeerrvviiccee ccaann bbee sseettuupp iinn aannyy mmaacchhiinnee,, aatt aannyy ttiimmee aannyywwhheerree
  • 72. TTooggeetthheerr iinn tthhee ddaarrkk CCaavveeaattss PPrreesseennccee ooff TTOORR ttrraaffffiicc oonn nneettwwoorrkk iiff nnoo oobbffuussccaattiioonn uusseedd MMiigghhtt hhaavvee ttoo aadddd SSOOCCKKSS55 ssuuppppoorrtt ttoo mmaallwwaarree oorr ssooccaatt--lliikkee uussee
  • 73. TTooggeetthheerr iinn tthhee ddaarrkk WWhhoo ddooeess tthhaatt aallrreeaaddyy?? LLoottss ooff mmaallwwaarree.. BBaannkkeerr,, BBoottss,, iinnccll.. ZZeeuuss..
  • 74. TTooggeetthheerr iinn tthhee ddaarrkk WWhhoo ddooeess tthhaatt aallrreeaaddyy?? ZZeeuuss CChheewwBBaaccccaa ((BBaannkkeerr)) AAttrraaxx MMeevvaaddee https://securelist.com/blog/incidents/58192/chewbacca-a-new-episode-of-tor-based-malware/
  • 75. TTooggeetthheerr iinn tthhee ddaarrkk WWhhoo ddooeess tthhaatt aallrreeaaddyy?? CCyytthhoossiiaa ((BBoott)) CCTTBB--LLoocckkeerr ((RRaannssoommwwaarree)) AAnnddrroommeeddaa ((BBoott)) https://securelist.com/analysis/publications/64608/a-new-generation-of-ransomware/
  • 78. TTooggeetthheerr iinn tthhee ddaarrkk WWhhoo ddooeess tthhaatt aallrreeaaddyy?? BBaacckkddoooorr..AAnnddrrooiiddOOSS..TToorreecc..aa ((AAnnddrrooiidd –– OOrrbboott TToorr CClleeiinntt mmooddiiffiieedd)) https://securelist.com/blog/incidents/58528/the-first-tor-trojan-for-android/
  • 81. TTooggeetthheerr iinn tthhee ddaarrkk .Net SocksBot hardcoded C&C in Tor network
  • 82. TTooggeetthheerr iinn tthhee ddaarrkk PPrriivvaattee TTOORR NNeettwwoorrkkss MMaayybbee ffaasstteerr LLeessss ttrraaffffiicc MMaayybbee eeaassiieerr ttoo eennuummeerraattee??
  • 83. TTooggeetthheerr iinn tthhee ddaarrkk PP22PP NNoott nneeww ppaarraaddiiggmm ((CCoonnffiicckkeerr)) EEaacchh hhoosstt mmuusstt hhaavvee iitt''ss hhiiddddeenn sseerrvviiccee ffoorr ccoommmm ((HHTTTTPP?? IIRRCC??)) MMaannaaggiinngg hhoossttss ccaann bbee aa lliittttllee mmoorree ccoommpplleexx VVeerryy hhaarrdd ttoo bblloocckk oonn eennddppooiinntt ((nnoo lloonnggeerr uunniiqquuee ..oonniioonn UURRLL))
  • 84. TTooggeetthheerr iinn tthhee ddaarrkk RReemmaaiinniinngg WWeeaakknneessss TTOORR NNeettwwoorrkk ffrraaggmmeennttaattiioonn SSyynncchhrroonniizzaattiioonn iissssuueess TTrraaffffiicc && CCPPUU uussaaggee iinnccrreeaassee
  • 85. TTooggeetthheerr iinn tthhee ddaarrkk DDeemmoo TTiimmee!! TT11000000 TTOORR BBoottnneett https://www.youtube.com/watch?v=bovRmjx_FBc
  • 87. TThhaannkk yyoouu!! jseidl@wroot.org http://wroot.org @jseidl | slideshare.net/jseidl | linkedin.com/in/janseidl | youtube.com/janseidl