一项关于暗网基础设施的最新研究显示,某位未知攻击者曾在2021年2月上旬设法控制了整个Tor网络(即暗网)出口容量的27%以上。
安全研究员@nusenu 上周日发表博客称,“该攻击者在过去一年中一直试图监控Tor用户,今年2月的行动规模可谓达到历史新高。总体来看,过去12个月内该攻击者的平均出口流量操控比例达到14%。”
事实上,早在2019年12月,该攻击者的Tor恶意监控活动就已经被研究人员发现。本次最新攻击据称开始于2020年1月,实际记录与曝光时间则为2020年8月。
Tor是一款用于互联网上实现匿名通信功能的开源软件,可通过将网络流量引导至一系列中继的方式混淆Web请求的来源与目的地,帮助用户的IP地址、位置与使用活动避开监控或流量分析等机制的跟踪。在整个流程当中,中间中继大多负责接收并传递网络流量,而出口中继则为Tor流量抵达目的地之前所经过的最后一个节点。
之前,Tor网络上的出口节点就曾经遭遇过OnionDuke等恶意软件的破坏。但这一轮攻击活动的幕后黑手显然“技高一筹”,首次成功控制了如此大比例的Tor出口节点。
该攻击者在2020年8月的高峰期曾维持对380个恶意Tor出口中继的操纵能力,之后Tor目录授权机构及时介入并从网络中剔除掉了遭受入侵的节点。但到今年年初,攻击方又卷土重来,在5月第一周尝试添加1000多个新的出口节点。好在目前管理方已经将第二波攻击中检测到的所有恶意Tor出口删除殆尽。
据@nusenu 称,攻击者的主要目标是通过控制出口中继网络流量以对Tor用户实施“中间人”攻击。具体来讲,攻击方似乎采取了所谓SSL剥离方法,将前往Bitcoin mixer服务的流量由HTTPS降级为HTTP,借此尝试替换其中的比特币地址并将交易重新定向至指定的钱包——而非用户提供的合法比特币地址。
Tor项目维护负责人于去年8月解释道,“如果用户访问到这些站点之一的HTTP版本(即未经加密与身份验证的版本),攻击方可以阻止站点将用户重新定向至网站的HTTPS版本。如果用户没有注意到自己访问的实际是站点的HTTP版本,而是继续发送或接收敏感信息,那么信息内容很可能遭到攻击者的拦截。”
为了缓解此类攻击,Tor项目提出了多项倡议,包括敦促网络管理员默认启用HTTPS并部署.onion网站以避免使用出口节点。此外,Tor项目维护方也在进行“全面修复”,着手在Tor浏览器中彻底禁用纯HTTP。
美国网络安全与基础设施安全局(CISA)在2020年7月发布的咨询报告中强调,“对于不同组织,通过Tor传播恶意信息所引发的实际风险也将有所区别。组织应该通过评估来确定实际风险,包括核查在当前缓解与控制措施的制约下,己方内部系统或数据被攻击者设为目标的可能性、以及对方成功实施攻击的可能性。”
CISA还总结道,“各组织应评估自身缓解决策,准备好应对高级持续威胁(APT)组织、中等水平攻击者以及低水平个人黑客等曾经利用Tor进行侦察与攻击的威胁行为方。”
参考来源:thehackernews.com
声明:本文来自互联网安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
