报告:2021年两次,已知25%+ Tor的整个退出节点容量是恶意的,并涉及一个针对访问密码相关网站的方案

2021-05-11 02:45:49

超过16个月,已经看到一个威胁演员向Tor网络添加恶意服务器,以拦截流量并对访问加密货和相关网站的用户执行SSL剥离攻击。

始于2020年1月的攻击包括向Tor网络添加服务器,并将其标记为“退出继电器”,这是交通通过该服务器通过该服务器离开Tor网络在被匿名后重新进入公共互联网。

但自1月20日起,威胁演员已将数千个恶意服务器插入到TOR网络中,以识别到加密电机混合网站的流量,并执行SSL剥离攻击,这是从加密的HTTPS连接降级到明文HTTP时的SSL剥离攻击。

信仰是,攻击者一直将流量降级到HTTP,以便用自己的利润替换自己和劫持交易的加密电脑地址。

该攻击并不是新的,并于8月首次被证明是Nusenu称为Nusenu的安全研究员和Tor节点运算符的记录和公开。

当时,研究人员表示,攻击者有三次使用恶意TOR退出继电器泛滥的攻击者,在每个场合都被击败的全部托尔网络出口容量中达到左右的攻击基础设施。 。

但在今天发表的新研究中并与记录分享,Nusenu表示,尽管在公开暴露的运营处,威胁演员继续遭到攻击,仍在持续。

Nusenu表示,在2021年之前,攻击甚至达到了四分之一的TOR网络的整个退出能力,2月2021年2月的27%。

第二波攻击都被检测到,就像第一波一样,并且从TOR网络中移除恶意的TOR出口继电器,但在攻击基础设施仍然存在并拦截周数周或数月之前。

攻击工作超过一年的主要原因是因为威胁演员以小的增量增加了恶意退出继电器,随着时间的推移,通过雷达和大使基础设施。

但是,本月早些时候威胁演员从这个策略转移了,最有可能挫败他们的基础设施再次被击倒,他们试图在线同时在线汇款。

这一最近的攻击在一天之后发现了在其日常每日1,500个出口继电器上增加到2500多个,这是一个没有人可以在Tor项目内忽视的尖峰。

但是,尽管采取了超过1000名服务器,但Nusenu还表示,截至2021年5月,攻击者仍然控制整个TOR网络的退出容量的4%和6%,SSL剥离攻击仍在进行中。

此外,Nusenu说,自去年以来,攻击者似乎在执行SSL剥离攻击后似乎正在接触下载修改,尽管尚不清楚攻击者使用其他技术才会篡改。

回到2020年8月,Tor项目发布了一系列关于网站运营和Tor浏览器用户如何保护自己免受这些类型的攻击的建议。 建议使用Tor浏览器访问加密货币或其他金融网站的用户遵循在那里提供的建议。