跟踪一年恶意战利中继活动(第二部分)

2021-05-10 07:34:58

2020年8月20日我报告了“恶意转移如何在2020年(第i部分)中利用用户”。然后,我做出了假设,即这些恶意转移后面的实体即将尽快停止其活动。不幸的是,这结果是真的。在此后续帖子中,我将为您提供更新,分享自8月2020年8月以来对攻击者了解的其他信息以及它们所在的延伸,并且仍然在Tor网络上处于活动状态。

在发布之前的博客文章后,只需几天时间,直到我的雷达上的两组中继组(图8中的第8部分)确认为先前观察到的TOR用户执行相同类型的攻击:

图1中的图表首先启动前一个博客帖子中的第一个图形的结束,并显示了与2020年7月2021年7月至4月之间的特定演员相关的已知恶意退出容量的分数。您可以看到添加到的新恶意继电器的重复模式当他们被删除时,Tor网络并在急剧下降之前获得显着的牵引力。

在攻击者出口分数的规模方面,他们设法从2020年5月(> 23%恶意出口分数)打破自己的记录:

2020-10-30恶意实体运营超过26%的TOR网络退出继电器容量

在2021-02-02,他们管理了超过27%的Tor的退出继电器能力。这是我用单个演员观察到的最大的恶意战利品分数。

由于这种演员可能是额外的恶意退出继电器 - 我无法揭示我预计他们的实际分数略高(+ 1-3%)而不是上述级分。攻击者管理了这么大的分数,即由某种众所周知的扭转击球社区成员管理的总分数 - 在这位攻击者开始在一年前开始其运营之前大约73% - 在2020年之前下降到50% 2021-02-05后开始再次恢复。

图4显示了通过继电器ContractInfo拆分的恶意出口分数。通过伪造多个不同的联系方式隐藏大量恶意TOR出口继电器的攻击策略(如前所述)。

没有任何继电器的大型出口分数联系方式:这个演员越来越多地添加恶意的转移,没有任何ContactInfo(这是图4中红色所示的最大部分)。一旦检测到恶意退出继电器,就可以轻松找到使用相同ContactInfo的所有其他继电器,并且如果它们根本没有ContactInfo,这不是它们的问题。图5显示了没有ContactInfo Set(Blue)的整体TOR出口分数以及它的哪个部分是恶意(红色)。我们可以显然不排除更多,更多的是恶意,我们未能发现它们。未经HONTECTINFO的绝大多数退出能力在10月20日至3月2021年3月之间恶意恶毒。

Roger Dingleine(Tor项目的创始人之一)也对这一主题有明确的意见:

明确成为继电器运营商需要透明的继电器运营商,而不是保密

Tor客户端没有配置选项可以说“不要使用没有ContactInfo的退出”。我写了一个简短的概念验证Python脚本(未审核,未签名),通过通过“excludeexitnodes”选项排除退出继电器而不会在退出位置中排除退出继电器,但不打算使用普通用户,我们的目标是更强大的保护,而不是简单的“有联系方式? Y / N“测试(它仍然可以是多种因素之一)。要允许每个人都轻松查看目前因退出继电器的退出贡献而没有ContactInfo的退出部分,我向ORNetStats添加了新图,每天更新。

对其他运营商的模拟攻击:这不是直接可见的,因为联系人列表太大而无法在图4中包含,但恶意演员还开始模拟其他运营商通过使用他们的联系方式隐藏恶意继电器。在一个案例中,他们使用CypherPunklabs的ContactInfo。 (侧面注意:为避免误报,通过指纹识别恶意继电器而不是通过搜索CypherPunklabs使用的ContactInfos来生成。)

八月和9月20日2020年9月均报告并持续删除(见附录二)。 2010年10月,恶意出口分数达到了新的记录(> 26%的恶意退出分数)。 10月20日的不同是什么?与以前识别的群体一样,也是在9月底和10月20日初出现的群体由ORNETRadar(继电器组检测器)检测到:

https://nusenu.github.io/ornetradar/2020/10/02/10他们的名称事件包含了字符串“mitm”(对于中间人攻击的短而言),这感觉有点像拖钓。

他们在2020-10-04举行了TOR项目,不幸的是,没有反应,因此这些恶意中继团队随着时间的推移,在2020年10月底再次发现并被删除之前,这些恶意中继组随着时间的推移而获得了重要的出口分数:

另一个例子:下图显示了一组恶意继电器(由其继电器指纹标识)的出口分数,该分数于2020年8月在8月2020年再次发现,在4月2021年4月2021年再次发现了超过1%的出口分数。

9月,在2020-09-03“Андрейгвоздев< [email protected]& gt;“报告的CypherPunklabs继电器,一个未释录的继电器组(但不一定与恶意拟运行),在Lists.torproject.org上的坏继电器。

谢谢你的电邮。我们拥有我们的雷达,他们答应在我们第一次接触后改善事情,但事实上他们没有。我们将跟进他们。

尽管我在多次联系CypherPunklabs时,其继电器配置的情况当时没有改善。这种MyFamily错误配置使攻击者更容易造成巨大的攻击。

大约三个星期后,在2020-09-26,恶意实体开始利用CyPherpunklabs的继电器错误配置。使用CyPherPunklabs的新的恶意退出继电器出现了。这是否与2020-09-03的电子邮件有关?巧合?当时我没有意识到刚刚发生的事情,但在2020年底之前遵循的事件使其明确。

在2020-10-31罗杰dingledine向Tor-Relays邮件列表发送了一封电子邮件,提到了Tor Directory当局删除了一个长长的恶意退出继电器,以便对TOR用户执行已知的攻击(Mitmproxy,SSLStrip)。侧面注意:由于CypherPunkLabs没有正确声明他们的继电器组,因此无法与攻击者的继电器分开的继电器(他们甚至使用同一个托管公司进行恶意继电器)。因此,所有这些都是由Cypherpunklabs和攻击者运行的那些实际运行的人,完全删除了:

在Roger Dingledine发布的恶意Tor出口继电器的长期底部,我们可以看到以下一组恶意退出中继标识符(指纹):

与其他大多数继电器不同,他们不在常规旅馆之一(OVH,烤丝网,Frantech)。这些继电器确实在以下IP地址上运行:185.32.222.167-185.32.167-185.32.222.170(如果您想验证:存档)位于瑞士在互联网服务提供商DataSource AG(AS51395)。让我们看看Whois信息可用于这些IP地址:

由于大小(只是几个IP地址)和它的状态(“分配了PA”)的分配,这可能是最终用户分配(而不是Hoster的联系信息)。特别感兴趣的是虐待联系,因为它显示了与2020-09-03联系的电子邮件地址,并报告了Cypherpunklabs继电器,然后在他们报告后成为冒充攻击受害者。

成熟数据库也可用于查找使用相同的滥用 - 联系人(逆查找)的其他IP块。使用该搜索方法我们发现一个额外的IP块也托管TOR出口继电器,但与其他出口继电器不同,这些继电器在当时(10月2020年10月)未删除这些继电器:

在2020-12-31使用确认的恶意ContactInfo(“[email protected]” - 见第I)的新的TOR退出继电器加入了TOR网络。继电器(91.192.103.35)的IP地址恰好位于此IP地址块中。这意味着我们有多个独立的路径,将电子邮件地址[email protected]链接到攻击者:

[email protected]通过报告CypherPunklabs继电器来测试Bad-Relays团队,以查看它们是否因不正确的MyFamily配置而被删除。此信息对他们至关重要,因为攻击者无法与受害者建立相互的MyFamily配置,他们冒充它们。几周后,使用CypherPunklabs出现的恶意继电器ContactInfo(CypherPunklabs不是他们报告的唯一的中继组..)。

[email protected]在Whois中显示出两个包含恶意TOR退出继电器的小型IP块的滥用联系。

这些IP块中的这些退出继电器中的一个使用先前识别的确认的恶意ContactInfo(“[email protected]”)。

目前尚不清楚为什么他们会重用确认的恶意联系方式并将其新的退出继电器链接到已知的恶意活动,因为人们希望在警报和删除列表中遇到已知的恶意ContactInfos,但由于它们从中继配置中删除了已知的恶意ContactInfo 2021-01-16在保持继电器运行的同时,我的猜测是他们重复使用了Tor配置文件,无意中使用了确认的恶意ContactInfo。如此可能意外披露多次发生。

这些IP块的成熟数据库滥用 - 联系记录会导致俄罗斯莫斯科的地址:

即使地址验证到某些成熟的NCC扩展,也不一定在成熟数据库中的电子邮件地址不一定存在于实际电子邮件地址所有者的同意。实际攻击者欺诈地提供了欺诈地址“[email protected]”作为虐待 - 联系,而无需实际访问它(冒充),但我们可以统治以来,自托管公司确认成熟数据库记录以来是正确的,验证了电子邮件地址。还有一个第二个原因为什么使用别人的电子邮件地址作为滥用行为的滥用行动,对于Tor退出IP块将不会忽视很长:电子邮件地址将获得送达的实际滥用电子邮件。因此,我们相信电子邮件地址的所有者[email protected]实际上正在运行这些恶意退出继电器。在面对他们之后,他们没有回应(不太令人惊讶)。

到了物理地址是真实的,此时未知。攻击者在订购服务器时使用实际地址显然不会有很大的意义,但同时他们在订购恶意继电器时使用单个电子邮件地址并将非恶意继电器报告给TOR项目。并不清楚他们是否知道他们的电子邮件地址和(所谓的)物理地址最终在公共成熟数据库记录中。

WHOIS信息很少有助于恶意转发调查,但在这种特殊情况下,我们很幸运,发现有用的信息,甚至能够使用成熟数据库反向查找找到更多恶意退出继电器。

TOR网络通常由小于1 500个TOR出口继电器组成。在5月初2021年,超过1 000多个未接受的TOR出口继电器在不到24小时内加入TOR网络(1,2,3,4)。虽然这听起来像令人印象深刻的退出继电器,但这种大规模的继电器组对TOR用户的风险很少,因为它们在获得任何有意义的牵引力之前基本上被拆除。当我注意到他们时,我以为他们是拖钓,因为没有人可以担任这么大的Sybil,直到我收到他们的电子邮件。有人回应了一个简短的注意事项,我写信给Tor-Relays邮件列表有关此事件。显然,他们没有通过去除这些出口继电器而感到乐趣(我没有要求他们的删除的任何信贷)。这可能是先前观察到的同一个实体,因为他们有限的词汇表与我从“[email protected]”到的早期电子邮件一致。

我之前的博客文章有关恶意转移活动(1,2)的帖子有一个关于Tor项目可以实施的提案,以减少Tor浏览器用户的风险。这并没有变成富有成效。所以经过几次尝试说服他们改善这种情况,我将采取另一种方法:为Tor用户进行数字自卫。这是一个正在进行的工作,我的计划是在未来的博客文章中更详细地写下它,但本节可能提供一些概述。

除了Tor用户保护之外,我还通过不可欺骗的ContactInfo解决Tor Relay操作员模拟攻击 - 鼓励(退出)继电器运营商实施,许多(退出)中继运营商已经采用。能够确认继电器实际上是由其被要求以自动方式操作的实体运行的,是用于解决操作员模拟攻击和恶意继电器的角落石。

在尝试(和失败)之后只考虑非中央选项,以实现Tor目录权限级别的保护,因为它们永远不会到达所有用户。

通常应该避免扭转客户端配置更改,以避免拆分匿名集,只用作最后一个度假村的选项(或作为作为Tor用户的饲料投票的方法)。

尽管如此,我们在故意使用恶意TOR出口继电器VS之间处于两难困境。以非默认配置的价格通过Tor客户端配置排除它们。这又是攻击的确切性质并不完全知道这一点。我们知道关于Mitmproxy,SSLStrip,比特币地址重写和下载修改攻击,但无法排除其他类型的攻击。想象一下,攻击者运行了27%的TOR网络的退出容量,并且在所有用户获得(自动)更新之前会发布一次Firefox Exproit。

仅限HTTPS的模式(可能基于Firefox 91 ESR的Tor浏览器中降落)将是一个很强的保护,但仍然存在一些不确定性以及Tor浏览器开发人员在Tor邮件列表中指出:

当Tor Browser迁移到Firefox 91ES时,我们将为每个人提供仅启用HTTPS的模式,但仍然有一个重要的问题,即存在许多不支持HTTPS(特别是更多区域特定网站)的网站以及消息传递浏览器的问题应该在这种情况下使用。

问题:ContactInfo是一个未经验证的任意欺骗的字符串和恶意演员利用它通过使用其他人的ContactInfos来隐藏他们的恶意继电器 - 特别是如果他们的MyFamily配置没有正确设置。这甚至可以使用甚至不运行退出继电器的(以前)的名称。

解决方案:不可欺骗的联系方式。 ContactInfo信息共享规范(版本2)提供了一个不可欺骗的ContactInfo“URL”字段,可以防止模拟攻击保护。该规范将继电器连接到域,并利用IANA注册的“TOR-RELAY”众所周知的URI,以将由实体在运营商域上的良好定义位置处运行的中继指纹列表(或通过DNS TXT记录)。 )。声称是另一个可信任的运算符的攻击者可以检测到“emeraldonion.org”),因为攻击者不能在定义的位置放置他的继电器指纹。这有效地保护提供的“URL”字段。甚至运营商不拥有域的运营商已经使用GitHub页面和类似的服务来以这种方式保护他们的继电器的ContactInfo。这种不可欺骗的ContactInfo领域也是图表显示可信/不受信任的出口分数随时间的图表的基础。

超过20%的TOR网络的退出容量已经使用此方法保护其ContactInfo“URL”字段。如果您是Tor Relay运营商,请考虑使用不可欺骗的联系方式,以帮助防止这些攻击。作为一个很好的副作用,您可以在ORNetStats(示例)上为您的继电器组进行聚合图。通过HTTPS://torContactInfogenerator.NetLify.App/由Eran Sandler(仅“URL”,“验证”和“Ciissversion”字段提供的不可欺骗ContactInfo需要),生成ContactInfo String已经变得相当容易。

注意:还有恶意运算符可以并将设置这些字段,但关键点是,它们不能冒充其他中继运算符。

可视化提供了关于TOR网络在与谁控制的变化上进行的更改进行了良好的概览,例如控制谁的退出分数。我使用以下图来了解在进行更具体的调查之前发生的事情。它显示了来自运算符的聚合退出概率,我将分类为“有点已知/非恶意”。

图表跨越了一年多的时间,可以间接地显示恶意中继活动(由已知的运营商中的中断表明。可以看出,在特定于攻击者的情况下,可以看出,但它需要不断的手动调查,因为它具有重要问题:它使用不受信任的输入数据(ContactInfo),恶意实体正在利用其他人民联系方式优势。

这是不可欺骗的ContactInfo“URL”字段所进入的地方。随着不可避免的联系方式的不断采用,我们可以可视化网络的一部分“已知”,而无需取决于任意欺骗的输入数据。相反,我们只需使用来自不可欺骗的ContactInfo URL字段的域名,并指定“我知道emeraldonion.org,hviv.nl,......”。图15显示了退出运算符的所有当前不可欺骗域。这是日常更新图的快照,我正在向ORNETSTAT添加到此博客文章。在ORNetStats上,您可以通过单击操作域来交互方式选择操作员是否应包括或不包括。用户可以决定他们认为哪个操作员。

此图类似于roger dingledine在此Tor项目Gitlab问题中写道,而不是单独标记每个继电器我们将任务留给(可验证)链接到运行函数的运行员,然后执行标记(已知VS 。未知)在操作员级别而不是在中继级别,这应该符合速度良好,如果运算符向网络添加新继电器,则不需要任何操作。

图14中的聚合出口分数明显大于图15,其中我们使用不可欺骗的输入数据,但我们刚刚开始,更多的运算符即将采用不可欺骗的ContactInfo来使这更有用。我想到一个人可以选择“我想使用已知的退出”和“我很好的风险,我想要更加普通的未来的未来,我想要更多的多样性,可以分配高达20%未知的tor出口继电器“。小心他以拆分匿名集的价格来。在长期运行中,所有Tor浏览器流量都应进行身份验证和加密,这将使恶意退出中继较少对恶意实体有利可图。

目的攻击者用户最初在2020年8月在8月20日透露,自一年以来是积极利用用户的,并扩展了他们对新的记录水平的攻击规模(> 27%的TOR网络的退出能力已经在他们的公司下

......