一个安全研究员发现一个Tor出口节点经常给用户下载的二进制文件打补丁,不断地给文件添加恶意软件。专家声称,这项发现,增加了下载来源不明文件的危险,还使潜在的攻击者滥用Tor出口节点或者其他设备上的受信任用户。
Leviathan安全组织的成员Josh Pitts,当他研究通过中间人攻击,服务器下载的一些东西可能在下载过程中给二进制文件打补丁的时候,越过了出错的Tor出口节点。如今从网站上下载任何性质的文件都需要变得谨慎起来,很多用户知道如果他们从叙利亚或者马绍尔群岛的一些随机的洪流网站下载文件,他们就是在自找苦头。恶意软件在这些类型的网站上十分猖獗。
让安全专家担心更多的是攻击者可以控制系统安全更新的下载机制,例如Windows系统和OS X系统。如果攻击者可以将恶意软件注入到更新渠道,就有可能对广大用户造成严重威胁,而这些更新渠道是受用户和他们的机器信任的。合法软件供应商通常标记他们的二进制文件,并且修改导致验证错误的文件。Pitts在他的研究中发现,处于中间人攻击位置上的攻击者如果代码没有进行安全更新的话,就可以不断地给二进制文件打补丁。
Pitts建立了一个称为BDF的框架,在用户没有意识到的情况下,可以给运行中的二进制文件打补丁。通过这种方式,二进制文件可以按攻击意图执行。Pitts想知道是否有人在互联网上进行这种攻击,所以他决定仔细观察Tor出口节点,以及世界各地人民使用的是哪个匿名网站。“想要在互联网上修改二进制文件,我需要更多国家的Tor出口节点。使用Tor出口节点可以让我访问别国网站,才有最大的机会找到是否有人在进行这种,恶意的中间人攻击的修补活动。”Pitts在他的研究中解释道。
“在研究了可用的工具之后,我使用了一个检查出口节点修改流量的工具exitmap。Exitmap是基于python模块的,允许编写模块来检查各种修改流量的出口节点。Exitmap是研究项目 Spoiled Onions开发的。我在exitmap上编写了一个模块(名字是patchingCheck.py),来寻找是否有出口节点修改用户下载的二进制程序。在扫描一个多小时之后,很快从1000多个出口节点中发现了一个出口节点修改未加密的二进制文件。
出问题的出口节点是在俄罗斯网站上的,Pitts发现出口节点积极的给二进制文件打补丁,使他下载了很多的恶意软件。他从各种网站来源下载二进制文件,包括微软的软件下载网站,基本上都含有恶意代码。这些恶意代码可以打开一个端口对执行命令进行监听,并可以向远程服务器发送HTTP请求。Pitts将消息通知了Tor团队,Tor团队迅速地将出错的出口节点标记了起来。“我们已经对该出口节点做了标记,所以其他人不用担心会碰到它。我们当然也需要更多的人员关注exitmap的扫描模块。通常来说,真正实施起来是非常困难的。”Roger Dingeldine说道,他是Tor团队最初的开发人员之一,他在周五的邮件中写到。
关于如何应对这种攻击,Pitts声称加密下载渠道是最好的方式,不论是对于用户还是网站运营来说。SSL/TLS是防止这种事情发生的唯一途径。用户需要为他们的浏览器安装HTTPS或类似的插件以确保他们的流量是加密的。他在邮件中写到。
Pitts说道他只在俄罗斯发现了这种恶意行为,但这并不意味着其他地方没有这种恶意行为。“在研究的超过1110个Tor出口节点中,这是在测试中发现的唯一一个节点给二进制文件打补丁的。这个节点只给未压缩的PE文件打补丁,这并不意味着网络上的其他Tor出口节点没有给二进制文件打补丁。我可能还没有发现它们,它们也可能只是会对少量的二进制文件打补丁。”他说道。
“修改二进制文件的问题不仅仅局限于Tor出口节点。我们举出一些出错的Tor出口节点例子,只是为了让大家提高安全意识。一般来说,用户应该提防他们下载的软件,确保他们使用了TLS/SSL或类似插件。网络运营商也应该奉劝不支持TLS/SSL的网站改为支持TLS/SSL。
