對(duì)于重視網(wǎng)絡(luò)隱私,喜歡匿名上網(wǎng)的人士一定知道“洋蔥”網(wǎng)絡(luò)(Tor),可是現(xiàn)在有網(wǎng)絡(luò)安全研究機(jī)構(gòu)發(fā)現(xiàn),即使通過(guò)這個(gè)可匿名上網(wǎng)的軟件工具進(jìn)行上網(wǎng),也有被監(jiān)聽(tīng)、控制的可能。
“洋蔥”網(wǎng)絡(luò)也有弱點(diǎn)
Tor是一個(gè)可以匿名上網(wǎng)的免費(fèi)軟件,它把請(qǐng)求加密并在大量計(jì)算機(jī)之間傳送之后,再通過(guò)出口節(jié)點(diǎn)解密請(qǐng)求并發(fā)送到目標(biāo)地址,通常這些出口節(jié)點(diǎn)有上千個(gè)之多。這些成千上萬(wàn)的節(jié)點(diǎn)中,中間節(jié)點(diǎn)是無(wú)法獲取用戶的網(wǎng)絡(luò)流量的,因?yàn)榱髁吭谥虚g節(jié)點(diǎn)傳輸時(shí)是加密的,但是如果攻擊者控制了出口節(jié)點(diǎn),那么他就可以很輕易地監(jiān)聽(tīng)到用戶的流量。而且,Tor的節(jié)點(diǎn)都是由志愿者構(gòu)成,其中一般是匿名的,然而這些節(jié)點(diǎn)也可以輕易的被替換。
“洋蔥”網(wǎng)絡(luò)也被曝不安全
如果出口節(jié)點(diǎn)被替換,那么網(wǎng)絡(luò)流量便盡在掌控中了。這些偽造節(jié)點(diǎn)背后的組織可能已經(jīng)持續(xù)篡改流量傳播、惡意軟件超過(guò)一年了,受害者們下載篡改后的軟件就會(huì)自動(dòng)運(yùn)行一個(gè)后門(mén)程序,通過(guò)這個(gè)程序,黑客就可以完全控制他們的系統(tǒng)。
而此前就有報(bào)道稱,俄羅斯黑客就入侵到Tor節(jié)點(diǎn)上進(jìn)行流量監(jiān)聽(tīng),攻擊者通過(guò)控制Tor網(wǎng)絡(luò)出口節(jié)點(diǎn),可以實(shí)現(xiàn)篡改用戶的網(wǎng)絡(luò)流量。而最新的調(diào)查表明,這些被攻擊者控制的俄羅斯Tor出口節(jié)點(diǎn)正在傳播一款用于攻擊歐洲政府機(jī)構(gòu)的惡意軟件——OnionDuke。
MiniDuke APT軟件新變種
研究者表示,此前發(fā)現(xiàn)了一個(gè)惡意的Tor出口節(jié)點(diǎn),這個(gè)節(jié)點(diǎn)在Windows可執(zhí)行程序中加入另一個(gè)惡意Windows程序并打包。而這個(gè)Tor出口節(jié)點(diǎn)與APT(高級(jí)持續(xù)性威脅)軟件MiniDuke有關(guān)。但OnionDuke是與MiniDuke卻是完全不同的軟件,但是研究人員通過(guò)查看其配置發(fā)現(xiàn)了一些端倪。研究人員在配置信息中,發(fā)現(xiàn)它的某些命令和控制(C&C)服務(wù)器的注冊(cè)者與MiniDuke C&C服務(wù)器的相同。
除了Tor,惡意軟件OnionDuke還通過(guò)許多torrent種子下載網(wǎng)站上的盜版軟件進(jìn)行分發(fā)。這款?lèi)阂廛浖梢愿`取登錄用戶名密碼、感染主機(jī)的系統(tǒng)信息,還能夠避開(kāi)殺毒軟件。除了通過(guò)Tor節(jié)點(diǎn)傳播,這款?lèi)阂廛浖€有其他傳播方式。研究人員在博文中寫(xiě)道:“調(diào)查期間,我們發(fā)現(xiàn)惡意軟件OnionDuke被用來(lái)攻擊歐洲政府機(jī)構(gòu),雖然我們尚未能確定感染途徑。有趣的是,軟件用兩種不同的策略進(jìn)行攻擊。一種是‘炮打蒼蠅’,即大量傳播感染修改后的程序,另一種是通過(guò)APT。”
感染OnionDuke過(guò)程
偽造的Tor節(jié)點(diǎn)會(huì)感染非經(jīng)加密流量中的那些未壓縮的可執(zhí)行文件。無(wú)論受害者要經(jīng)過(guò)這個(gè)Tor出口節(jié)點(diǎn)下載哪個(gè)文件,他們都會(huì)下載到一個(gè)已經(jīng)被打包加入另一個(gè)可執(zhí)行文件的程序。用戶執(zhí)行文件時(shí),軟件會(huì)寫(xiě)入硬盤(pán),并且執(zhí)行原來(lái)的程序,以此來(lái)讓用戶覺(jué)得沒(méi)有異常。但另一個(gè)惡意的程序也會(huì)運(yùn)行。
那么哪些用戶不會(huì)受到OnionDuke惡意軟件的影響呢?研究人員表示,使用Tor匿名網(wǎng)絡(luò)從HTTPS網(wǎng)站下載可執(zhí)行程序的用戶,以及使用了VPN的用戶不受此惡意軟件影響。同時(shí),那些只安裝帶數(shù)字簽名程序的用戶也是安全的,但不能保證以后黑客們不在惡意軟件中加上數(shù)字簽名。因此,仍在使用“洋蔥”網(wǎng)絡(luò)的網(wǎng)友們要多注意安全防護(hù)了。
1“洋蔥”網(wǎng)絡(luò)也有弱點(diǎn)
對(duì)于重視網(wǎng)絡(luò)隱私,喜歡匿名上網(wǎng)的人士一定知道“洋蔥”網(wǎng)絡(luò)(Tor),可是現(xiàn)在有網(wǎng)絡(luò)安全研究機(jī)構(gòu)發(fā)現(xiàn),即使通過(guò)這個(gè)可匿名上網(wǎng)的軟件工具進(jìn)行上網(wǎng),也有被監(jiān)聽(tīng)、控制的可能。
“洋蔥”網(wǎng)絡(luò)也有弱點(diǎn)
Tor是一個(gè)可以匿名上網(wǎng)的免費(fèi)軟件,它把請(qǐng)求加密并在大量計(jì)算機(jī)之間傳送之后,再通過(guò)出口節(jié)點(diǎn)解密請(qǐng)求并發(fā)送到目標(biāo)地址,通常這些出口節(jié)點(diǎn)有上千個(gè)之多。這些成千上萬(wàn)的節(jié)點(diǎn)中,中間節(jié)點(diǎn)是無(wú)法獲取用戶的網(wǎng)絡(luò)流量的,因?yàn)榱髁吭谥虚g節(jié)點(diǎn)傳輸時(shí)是加密的,但是如果攻擊者控制了出口節(jié)點(diǎn),那么他就可以很輕易地監(jiān)聽(tīng)到用戶的流量。而且,Tor的節(jié)點(diǎn)都是由志愿者構(gòu)成,其中一般是匿名的,然而這些節(jié)點(diǎn)也可以輕易的被替換。
“洋蔥”網(wǎng)絡(luò)也被曝不安全
如果出口節(jié)點(diǎn)被替換,那么網(wǎng)絡(luò)流量便盡在掌控中了。這些偽造節(jié)點(diǎn)背后的組織可能已經(jīng)持續(xù)篡改流量傳播、惡意軟件超過(guò)一年了,受害者們下載篡改后的軟件就會(huì)自動(dòng)運(yùn)行一個(gè)后門(mén)程序,通過(guò)這個(gè)程序,黑客就可以完全控制他們的系統(tǒng)。
而此前就有報(bào)道稱,俄羅斯黑客就入侵到Tor節(jié)點(diǎn)上進(jìn)行流量監(jiān)聽(tīng),攻擊者通過(guò)控制Tor網(wǎng)絡(luò)出口節(jié)點(diǎn),可以實(shí)現(xiàn)篡改用戶的網(wǎng)絡(luò)流量。而最新的調(diào)查表明,這些被攻擊者控制的俄羅斯Tor出口節(jié)點(diǎn)正在傳播一款用于攻擊歐洲政府機(jī)構(gòu)的惡意軟件——OnionDuke。
2MiniDuke APT軟件新變種
MiniDuke APT軟件新變種
研究者表示,此前發(fā)現(xiàn)了一個(gè)惡意的Tor出口節(jié)點(diǎn),這個(gè)節(jié)點(diǎn)在Windows可執(zhí)行程序中加入另一個(gè)惡意Windows程序并打包。而這個(gè)Tor出口節(jié)點(diǎn)與APT(高級(jí)持續(xù)性威脅)軟件MiniDuke有關(guān)。但OnionDuke是與MiniDuke卻是完全不同的軟件,但是研究人員通過(guò)查看其配置發(fā)現(xiàn)了一些端倪。研究人員在配置信息中,發(fā)現(xiàn)它的某些命令和控制(C&C)服務(wù)器的注冊(cè)者與MiniDuke C&C服務(wù)器的相同。
除了Tor,惡意軟件OnionDuke還通過(guò)許多torrent種子下載網(wǎng)站上的盜版軟件進(jìn)行分發(fā)。這款?lèi)阂廛浖梢愿`取登錄用戶名密碼、感染主機(jī)的系統(tǒng)信息,還能夠避開(kāi)殺毒軟件。除了通過(guò)Tor節(jié)點(diǎn)傳播,這款?lèi)阂廛浖€有其他傳播方式。研究人員在博文中寫(xiě)道:“調(diào)查期間,我們發(fā)現(xiàn)惡意軟件OnionDuke被用來(lái)攻擊歐洲政府機(jī)構(gòu),雖然我們尚未能確定感染途徑。有趣的是,軟件用兩種不同的策略進(jìn)行攻擊。一種是‘炮打蒼蠅’,即大量傳播感染修改后的程序,另一種是通過(guò)APT。”
偽造的Tor節(jié)點(diǎn)會(huì)感染非經(jīng)加密流量中的那些未壓縮的可執(zhí)行文件。無(wú)論受害者要經(jīng)過(guò)這個(gè)Tor出口節(jié)點(diǎn)下載哪個(gè)文件,他們都會(huì)下載到一個(gè)已經(jīng)被打包加入另一個(gè)可執(zhí)行文件的程序。用戶執(zhí)行文件時(shí),軟件會(huì)寫(xiě)入硬盤(pán),并且執(zhí)行原來(lái)的程序,以此來(lái)讓用戶覺(jué)得沒(méi)有異常。但另一個(gè)惡意的程序也會(huì)運(yùn)行。
那么哪些用戶不會(huì)受到OnionDuke惡意軟件的影響呢?研究人員表示,使用Tor匿名網(wǎng)絡(luò)從HTTPS網(wǎng)站下載可執(zhí)行程序的用戶,以及使用了VPN的用戶不受此惡意軟件影響。同時(shí),那些只安裝帶數(shù)字簽名程序的用戶也是安全的,但不能保證以后黑客們不在惡意軟件中加上數(shù)字簽名。因此,仍在使用“洋蔥”網(wǎng)絡(luò)的網(wǎng)友們要多注意安全防護(hù)了。