Casa > cibernético Notícias > Binários maliciosos entregues pelo servidor de saída TOR
CYBER NEWS

Binários maliciosos entregues pelo servidor de saída TOR

Josh Pitts com Leviathan Security descobriu um "nó de saída" para o Rede TOR que está atualmente localizado na Rússia e foi usado para distribuir uma versão modificada do código legítimo que o usuário solicitou.
Para se tornar anônimo, As conexões TOR passam por vários servidores que retransmitem a mensagem de forma criptografada até chegarem a um nó de saída que se comunica diretamente com o destino.

Esse tipo de servidor foi usado para distribuir binários corrigidos que foram usados ​​para atividades maliciosas. Conforme o usuário emite a solicitação de download, ele receberia um executável adulterado, caso a conexão tenha sido estabelecida através do nó de saída Tor russo em questão.

Ignorando Varificação

Pitts explica que um grande número de binários são hospedados sem lucrar com a criptografia TLS. Grande parte deles não são assinados, para que não fossem modificados em trânsito. Em tais casos, os hackers podem usar a abordagem man-in-the-middle para interceptar a solicitação do usuário e retornar um arquivo diferente do esperado pelo usuário, e fazer isso sem levantar suspeitas.

O pesquisador levou cerca de uma hora para encontrar um nó de saída prejudicial, uma vez que ele recorreu ao TOR. Os especialistas analisaram mais de 1,110 servidores de saída, e aquele que Pitts descobriu parece estar corrigindo quase todos os binários que ele tentou baixar. Alegadamente, a nota corrige somente arquivos PE não compactados.

Pitts acha que o binário original está empacotado com um segundo e que os hackers encontraram uma maneira de preservar o ícone do arquivo. Desta forma, os cibercriminosos podem contornar os mecanismos de autoverificação no caso do NSIS.

→O que o Nullsoft Scriptable Install System faz é criar instaladores para a plataforma Windows.

Problemas de segurança do TOR

Para limitar os riscos, os desenvolvedores são aconselhados a entregar seus binários por meio de uma conexão criptografada. Os usuários devem certificar-se de que o hash do arquivo que baixaram é o mesmo do original. Isso deve ser feito antes de executar o programa.

O Projeto TOR é alertado sobre o problema, e o servidor de retransmissão está com a bandeira vermelha, alertando os usuários para não se conectarem por meio dele.
TOR-Saída-Servidor

Berta Bilbao

Berta é um pesquisador de malware dedicado, sonhando para um espaço cibernético mais seguro. Seu fascínio com a segurança de TI começou há alguns anos atrás, quando um malware bloqueado la fora de seu próprio computador.

mais Posts

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

Este site utiliza cookies para melhorar a experiência do usuário. Ao utilizar o nosso site você concorda com todos os cookies de acordo com o nosso Política de Privacidade.
Concordo