Upgrade to Pro — share decks privately, control downloads, hide ads and more …

크고 깊은 곳으로의 탐험

Avatar for Kim Namjun Kim Namjun
August 17, 2019

크고 깊은 곳으로의 탐험

PyCon 2019 라이트닝 토크 1일차

Avatar for Kim Namjun

Kim Namjun

August 17, 2019
Tweet

More Decks by Kim Namjun

Other Decks in Research

Transcript

  1. 가게 된 계기? • 페이스북 광고로 처음 알게 됨 •

    “아무나 들어갈 수 없고, 다른 곳에는 없는 데이터가 있다” 라는 말에 시작하게 됨 • 원래 들어가지 말라고 하면 더 들어가고 싶은 법
  2. • 처음엔 Tor 브라우저 써서 접속 (Firefox 기반) • 엄청

    느림! • 이걸 어떻게 쓸 수 있는지.. 입장
  3. 수집 • 우리들의 친구 Python 으로 빠르게 개발 • selenium,

    phantomjs 이용해서 스크린샷 • 제작한 tor-proxy를 socks5h으로 연결해 onion 주소에 접근할 수 있도록 함
 https://hub.docker.com/r/bunseokbot/torproxy • 수집한 도메인, 비트코인 주소, 서버 정보 등은 elasticsearch에 저장
  4. 알고보니.. • 원래는 다른 포트로 인증을 통과 해야만 접근할 수

    있게 설정해둠. • 그러나 잠시 9200 포트를 테스트를 위해 열어두고 깜빡하고 닫지 않음. • RANSOMED • crawl_darkweb_data(count=2)
  5. 분석 • 데이터를 쌓고 보니 이상한 점이 보임 • 도메인은

    다른데 사이트는 유사한 것들이 몇개 보이기 시작
  6. 분석 • 비교적 최근까지 거래가 이루어진 기록을 확인 (1달 이용료,

    0.0025 BTC) • 9.64 BTC (약 1억 2천 1백만원, 2019.8.17 오전 9시 기준)
  7. 분석 • walletexplorer를 이용하면 거래소 지갑인지 찾을 수 있음 •

    거의 대부분의 자금이 HappyCoins 이라는 거래소로 빠져 나가는 것을 확인
  8. 분석 • 유로화를 취급하는 거래소 • 현금으로 받고자 한다면 IBAN

    계좌번호가 있어야 함 (유럽쪽에서 사용하는 번호)
  9. 아쉽게도 • 여기 이후에는.. 개인이 할 수 없는 영역임 •

    그냥 이 거래소로 빠져 나갔다.. 그리고 거래소의 특징에 따라 추정할 수 있을 뿐.. • 이 사이트 운영자는 IBAN 주소를 가지고 있는 유럽 거주자일 가능성이 있음 (물론 아닐 수 있음!) • 그래도 아 이런 자금이 결국 실제 사회에서 쓸려면 이런 거래소를 거쳐야 하므로 잘 추적하면 가능할 수 있지 않을까..? 라는 결론
  10. 마지막으로 • 탐험에 필요한 엔진과 기초 데이터를 오픈 했습니다.
 https://github.com/bunseokbot/darklight

    and https://iam.namjun.kim • 생각보다 깊은 곳이 아니니 겁내지 말고 들어가 보자 • 저희 회사 사람 뽑습니다. ([email protected], 산업기능요원 가능) • 해킹툴 박멸 퀘스트를 진행할 참신한 엔지니어 (분석, 기술개발, DevOps 등) 는 언제나 환영입니다.