LeviathanSecurityのJoshPittsは、 TORネットワーク これは現在ロシアにあり、ユーザーが要求した正当なコードの修正バージョンを配布するために使用されています.
匿名にするために, TOR接続は、宛先と直接通信する出口ノードに到達するまで、暗号化された形式でメッセージを中継する多数のサーバーを通過します。.
このタイプのサーバーは、悪意のあるアクティビティに使用されたパッチが適用されたバイナリを配布するために使用されました. ユーザーがダウンロードリクエストを発行すると, 彼には改ざんされた実行可能ファイルが提供されます, 問題のロシアのTor出口ノードを介して接続が確立された場合.
検証のバイパス
Pittsは、TLS暗号化の恩恵を受けずに、多数のバイナリがホストされていると説明しています。. それらの大部分は署名されていません, 輸送中に変更されないように. そのような場合, ハッカーは、man-in-the-middleアプローチを使用して、ユーザーの要求を傍受し、ユーザーが期待するものとは異なるファイルを返す可能性があります。, 疑いを持たずにこれを行う.
研究者が有害な出口ノードを見つけるのに約1時間かかりました, 彼がTORに頼ったら. 専門家は以上を分析しました 1,110 出口サーバー, ピッツが発見したものは、彼がダウンロードしようとしたほとんどすべてのバイナリにパッチを当てているようです. 伝えられるところによると, ノートは非圧縮のPEファイルのみにパッチを適用します.
Pittsは、元のバイナリが2番目のバイナリでラップされており、ハッカーがファイルアイコンを保持する方法を見つけたと考えています。. このようにして、サイバー詐欺師はNSISの場合にセルフチェックメカニズムをバイパスできます.
→Nullsoft Scriptable Install Systemが行うことは、Windowsプラットフォーム用のインストーラーを作成することです.
TORセキュリティの問題
リスクを制限するには, 開発者は、暗号化された接続を介してバイナリを配信することをお勧めします. ユーザーは、ダウンロードしたファイルのハッシュが元のファイルと同じであることを確認する必要があります. これは、プログラムを実行する前に実行する必要があります.
TORプロジェクトはこの問題について警告を受けています, リレーサーバーには危険信号が表示されます, それを介して接続しないようにユーザーに警告.