Josh Pitts met Leviathan Veiligheid ontdekte een "exit knooppunt" voor de TOR netwerk dat momenteel in Rusland en is gebruikt om een gemodificeerde versie van de legitieme code verdelen dat de gebruiker heeft gevraagd.
Om anoniem te draaien, TOR-verbindingen gaan via een aantal servers dat het bericht doorsturen in een gecodeerde vorm, totdat ze een exit node die met de bestemming rechtstreeks communiceert bereiken.
Dat type server werd gebruikt om gepatchte binaries die werden gebruikt voor kwaadaardige activiteiten te verdelen. Als de gebruiker de download verzoek uitvaardigt, zou hij worden voorzien van een vervalst uitvoerbaar, in het geval dat de verbinding werd gemaakt door de Russische Tor exit knooppunt in kwestie.
Omzeilen Varification
Pitts legt uit dat een groot aantal van de binaire bestanden worden gehost zonder profiteren van TLS-encryptie. Een groot deel van hen zijn niet ondertekend, zodat ze niet zou krijgen gewijzigd in transit. In dergelijke gevallen, de hackers zou de man-in-the-middle-benadering te gebruiken om het verzoek van de gebruiker te onderscheppen en terug te keren een ander bestand dan de verwachtte door de gebruiker, en dit doet het bedrijf onverdacht.
Het kostte de onderzoeker ongeveer een uur om een schadelijke uitgangsserver vinden, zodra hij zijn toevlucht tot Tor. De specialisten hebben meer dan geanalyseerd 1,110 exit servers, en de ene Pitts heeft ontdekt lijkt te patchen bijna alle binaries hij probeerde om te downloaden. Naar verluidt, alleen de noot flarden ongecomprimeerde PE-bestanden.
Pitts denkt dat de oorspronkelijke binaire is omwikkeld met een tweede en dat de hackers een manier gevonden om het pictogram bestand bewaren. Op deze manier de cyber criminelen kunnen het autocontrolesysteem mechanismen omzeilen in het geval van NSIS.
→Wat de Nullsoft Scriptable Install System doet is het creëren van installateurs voor het Windows-platform.
TOR beveiligingsproblemen
Om de risico's te beperken, ontwikkelaars worden geadviseerd om hun binaries te leveren via een versleutelde verbinding. Gebruikers moeten ervoor zorgen dat de hash van het bestand dat zij hebben gedownload is hetzelfde als het origineel. Dit moet gebeuren voordat ze het programma uit te voeren.
Het Tor Project heeft gewaarschuwd over de kwestie, en de relay server is een rode vlag, waarschuwt gebruikers geen verbinding maken via het.
