Josh Pitts con Leviatán Seguridad descubrió un "nodo de salida" para la Red TOR que se encuentra actualmente en Rusia y ha sido utilizado para distribuir una versión modificada del código legítimo que el usuario ha solicitado.
Con el fin de convertir el anonimato, TOR conexiones pasan por numerosos servidores que retransmitir el mensaje en una forma encriptada hasta que llegan a un nodo de salida que comunica con el destino directamente.
Ese tipo de servidor se utiliza para distribuir los binarios remendados que se utilizaron para actividades maliciosas. A medida que el usuario emite la solicitud de descarga, él estaría dotado de un ejecutable Tampered, en caso de que se estableció la conexión a través del nodo de salida de Rusia Tor en cuestión.
Sin pasar por varification
Pitts explica que un gran número de archivos binarios se alojan sin sacar provecho de cifrado TLS. Una gran parte de ellos no se firmó, para que no se quedan modificados en tránsito. En tales casos, los hackers podrían utilizar el enfoque de hombre en el medio para interceptar la petición del usuario y devolver un archivo diferente a la esperada por el usuario, y hacerlo sin levantar sospechas.
Tomó el investigador alrededor de una hora para encontrar un nodo de salida perjudicial, una vez que se recurrió en Tor. Los especialistas han analizado más de 1,110 servidores de salida, y el Pitts ha descubierto parece ser parches casi todos los binarios que intentó descargar. Según se informa, sólo los archivos PE sin comprimir parches nota.
Pitts cree que el binario original se envuelve con un segundo y que los hackers encontraron una forma de preservar el icono del archivo. De esta manera los delincuentes cibernéticos pueden pasar por alto los mecanismos de auto-comprobación en el caso de NSIS.
→Lo que el Nullsoft Install System de guión hace es crear instaladores para la plataforma de Windows.
TOR Cuestiones de Seguridad
Para limitar los riesgos, Se aconseja a los desarrolladores a entregar sus archivos binarios a través de una conexión cifrada. Los usuarios deben asegurarse de que el hash del archivo que han descargado es el mismo que el original. Esto debe hacerse antes de que se ejecute el programa de.
El Proyecto Tor es alertado sobre el tema, y el servidor de retransmisión está marcado, usuarios de advertencia no se conecten a través de él.
