Josh Pitts con Leviathan Security ha scoperto una "exit node" per il Rete TOR che si trova attualmente in Russia ed è stato utilizzato per distribuire una versione modificata del codice legittima che l'utente ha richiesto.
Al fine di trasformare in forma anonima, Connessioni TOR passano attraverso numerosi server che trasmettono il messaggio in forma crittografata fino a raggiungere un nodo di uscita che comunica con la destinazione direttamente.
Che tipo di server è stato utilizzato per distribuire i binari rattoppate che sono stati utilizzati per attività dannose. Quando l'utente invia la richiesta di download, avrebbe fornito di un eseguibile manomessa, nel caso in cui la connessione è stata stabilita tramite l'exit node Tor russo in questione.
Bypassare Varification
Pitts spiega che un gran numero di file binari sono ospitati senza trarre profitto da crittografia TLS. Gran parte di loro non sono firmati, quindi non otterrebbero modificati in transito. In tali casi, gli hacker potrebbero usare l'approccio man-in-the-middle per intercettare la richiesta dell'utente e restituire un file diverso da quello previsto da parte dell'utente, e farlo senza destare sospetti.
Ci sono voluti il ricercatore circa un'ora per trovare una exit node dannoso, una volta ha fatto ricorso TOR. Gli specialisti hanno analizzato più di 1,110 server di uscita, e quello Pitts ha scoperto sembra essere l'applicazione di patch quasi tutti i binari ha tentato di scaricare. Secondo quanto riferito, solo i file PE non compressi patch note.
Pitts ritiene che il file binario originale è avvolto con un secondo e che gli hacker ha trovato un modo per preservare l'icona del file. In questo modo i criminali informatici possono ignorare i meccanismi di auto-controllo nel caso di NSIS.
→Quello che il Nullsoft Scriptable Install fa sistema è creare programmi di installazione per la piattaforma Windows.
TOR Problemi di sicurezza
Per limitare i rischi, Gli sviluppatori sono invitati a consegnare i loro file binari tramite una connessione crittografata. Gli utenti devono assicurarsi che l'hash del file che hanno scaricato è lo stesso di quello originale. Questo deve essere fatto prima di eseguire il programma.
The Tor Project è allertato sulla questione, e il server di inoltro è bandiera rossa, gli utenti di avvertimento non di connettersi attraverso di essa.