tor是互联网上用于保护隐私最有力的工具之一,但是有许多人往往认为tor是一个终端加密工具。事实上,tor是用来匿名浏览网页和邮件发送的。
自2020年1月以来,一个神秘组织一直在向Tor网络添加服务器,以便对通过Tor浏览器访问与加密货币相关站点的用户进行SSL剥离攻击(SSL是加密传输看到密码,还有数据。如果能剥离SSL,就可以看到明文数据)该组织的攻击是非长持久并且规模庞大,以至到2020年5月,他们运行控制了所有Tor出口中继的四分之一 -用户流量通过这些服务器离开Tor网络并访问公共互联网。该小组在高峰期管理了380个恶意Tor出口中继。
对比特币用户的SSL剥离攻击
他们运作的全部细节还不得而知,但是动机似乎很简单:利润。研究人员说,该小组正在“通过操纵流过他们的出口中继的流量来对Tor用户进行中间人攻击”,他们专门针对使用Tor软件或Tor浏览器访问与加密货币相关的网站的用户。中间人攻击的目标是通过将用户的Web流量从HTTPS URL降级到不太安全的HTTP替代方案,从而执行“ SSL剥离”攻击。根据调查,Nusenu说,这些SSL剥离攻击的主要目标是使该组织能够替换进入比特币混合服务的HTTP流量内的比特币地址。Bitcoin mixers是一个网站,通过将少量资金分成零碎资金并通过数千个中间地址进行转移,然后再在目标地址重新加入资金,用户可以将比特币从一个地址发送到另一个地址。通过在HTTP流量级别替换目标地址,攻击者有效地
';
';
';
了用户的资金,而用户和Bitcoin mixers的并不能发现。
艰难的突破
研究人员说:“比特币地址重写攻击并不新鲜,但其操作规模却很大。”Nusenu说,根据用于恶意服务器的联系电子邮件地址,他们跟踪了至少七个不同的恶意Tor出口中继群集,这些群集在过去七个月内添加了。研究人员说,恶意网络在5月22日达到380台服务器的峰值,当时该组控制了所有Tor出口中继的23.95%,使Tor用户有四分之一的机会登陆到恶意出口中继。Nusenu表示,自5月份以来,他一直在向Tor管理员报告恶意出口中继,并且在6月21日最近一次撤离之后,威胁参与者的能力已大大降低。尽管如此,Nusenu还补充说,自从上次下台以来,“有多个指标表明攻击者的Tor网络出口容量仍然超过10%(截至2020-08-08)。”研究人员认为,由于Tor项目对可加入其网络的实体没有适当的审查流程,威胁者可能会继续进行攻击。尽管匿名是Tor网络的核心特征,但研究人员认为,至少对出口中继运营商而言,可以进行更好的审查。
2018年发生了类似的攻击
在2018年发生了类似的攻击; 但是,它不是针对Tor出口中继,而是针对Tor-to-web(Tor2Web)代理-公共互联网上的Web门户,允许用户访问通常只能通过Tor浏览器访问的.onion地址。当时,美国安全公司Proofpoint报告称,至少有一个Tor-to-web代理运营商正在悄悄地为访问打算支付赎金要求的勒索软件支付门户的用户替换比特币地址-有效地
';
';
';
了付款,使受害者没有解密密钥,即使他们支付了赎金。看完这个消息之后,毒蜂今后支付比特币的时候不能再用tor网了,太不安全了。
本文最后更新于2020-8-8,已超过 3个月没有更新,如果文章内容或图片资源失效,请留言反馈,我们会及时处理,谢谢!
获取更多资讯请加入交流群