Josh Pitts mit Leviathan Sicherheit entdeckt eine "Exit-Knoten" für die TOR-Netzwerk dass derzeit in Russland und wurde verwendet, um eine modifizierte Version des legitimen Code zu verteilen, dass der Benutzer angefordert.
Um schalten anonym, TOR-Verbindungen gehen durch zahlreiche Server, die in verschlüsselter Form die Nachricht weiterzuleiten, bis sie einen Exit-Knoten, die mit dem Ziel direkt kommuniziert erreichen.
Das Servertyp wurde verwendet, um gepatchte Binärdateien, die für bösartige Aktivitäten genutzt wurden verteilen. Da der Benutzer den Download-Anforderung, würde er mit eines manipulierten ausführbaren versehen werden, Wird die Verbindung wurde durch die russische Tor-Exit-Node in Frage etabliert.
Umgehen Varification
Pitts erklärt, dass eine große Anzahl von Binärdateien ohne profitieren von TLS-Verschlüsselung gehostet. Ein großer Teil von ihnen sind nicht signiert, damit sie nicht verändert wurden erhalten. In diesen Fällen, die Hacker die Man-in-the-Middle-Ansatz verwenden, um die Anforderung des Benutzers abfangen und zurück, eine andere Datei als die vom Benutzer erwartet, und dies tun, ohne Verdacht zu erregen.
Es dauerte die Forscher etwa eine Stunde, um einen schädlichen Exit-Node finden, sobald er griff zu TOR. Die Spezialisten haben mehr als analysiert 1,110 Exit-Server, und die eine Pitts hat entdeckt, scheint zu sein, das Patchen fast alle Binaries er versuchte, downloaden. Wie verlautet, nur die Note Patches unkomprimierte PE-Dateien.
Pitts denkt, dass die ursprünglichen binären mit einem zweiten eingewickelt, und dass die Hacker einen Weg gefunden, das Dateisymbol zu erhalten. Auf diese Weise die Cyber-Gauner können die selbstprüfende Mechanismen im Fall von NSIS umgehen.
→Was der Nullsoft Scriptable Install System tut, ist zu erstellen Installationsprogramme für die Windows-Plattform.
TOR Sicherheitsprobleme
Um die Risiken zu begrenzen, Entwicklern wird empfohlen, ihre Binärdateien über eine verschlüsselte Verbindung zu liefern. Benutzer sollten sicherstellen, dass der Hash der Datei, die sie heruntergeladen haben, ist das gleiche wie das Original. Dies muss geschehen, bevor sie das Programm ausführen werden.
Das Tor-Projekt ist über das Problem aufmerksam gemacht, und der Relay-Server der roten Liste steht, warnt Anwender nicht, um durch sie zu verbinden.