Josh Pitts avec Leviathan Security a découvert un "noeud de sortie» pour la Réseau TOR qui se trouve actuellement en Russie et a été utilisé pour distribuer une version modifiée du code légitime que l'utilisateur a demandé.
Afin de transformer anonyme, TOR connexions passent par de nombreux serveurs qui relaient le message sous une forme chiffrée jusqu'à ce qu'ils atteignent un nœud de sortie qui communique avec la destination directement.
Ce type de serveur a été utilisé pour distribuer des fichiers binaires de rapiécés qui ont été utilisés pour des activités malveillantes. Lorsque l'utilisateur envoie la demande de téléchargement, il serait pourvu d'un exécutable Tampered, au cas où la connexion a été établie par le noeud de sortie Tor russe en question.
Contourner Varification
Pitts explique qu'un grand nombre de fichiers binaires sont hébergés sans profiter du chiffrement TLS. Une grande partie d'entre eux ne sont pas signé, afin de ne pas se modifié en transit. Dans de tels cas,, les pirates peuvent utiliser l'approche man-in-the-middle pour intercepter la demande de l'utilisateur et retourner un fichier différent de celui attendu par l'utilisateur, et le faire sans éveiller les soupçons.
Il a fallu le chercheur environ une heure pour trouver un noeud de sortie nuisibles, une fois il a eu recours à Tor. Les spécialistes ont analysé plus de 1,110 les serveurs de sortie, et l'un Pitts a découvert semble être patcher presque tous les binaires qu'il a tenté à télécharger. Aurait, les patchs de notes fichiers PE non compressés.
Pitts pense que le binaire original est placé avec une seconde et que les pirates ont trouvé un moyen de préserver l'icône du fichier. De cette façon, les cyber-escrocs peuvent contourner les mécanismes d'auto-contrôle au cours de NSIS.
→Qu'est-ce que le Nullsoft Scriptable Install System ne fait que créer des installateurs pour la plate-forme Windows.
Problèmes de sécurité TOR
Pour limiter les risques, les développeurs sont invités à livrer leurs binaires via une connexion cryptée. Les utilisateurs doivent s'assurer que le hash du fichier qu'ils ont téléchargé est le même que celui d'origine. Cela doit être fait avant l'exécution du programme.
Le projet Tor est alerté sur la question, et le serveur de relais est interrompue au drapeau rouge, utilisateurs avertissement de ne pas se connecter via le.