OrNetRadar 프로젝트의 저자는 Tor의 익명 네트워크에 대한 새로운 노드 그룹의 연결을 모니터링합니다. 보고서를 발표하다 훌륭한 이탈 노드 운영자 식별 사용자 트래픽을 조작하려는 악성 Tor.
이 통계에 따르면, 엄마의 22 일대규모 악성 호스트 그룹의 Tor 네트워크에 대한 연결을 수정했습니다. 공격자가 트래픽을 제어 할 수있는 경우 출구 노드를 통한 모든 호출의 23,95 %를 차지했습니다.
2019 년 XNUMX 월에 저는 시간이 지남에 따라 인식을 높이고 상황을 개선하려는 동기와 함께 Tor 네트워크에서 증가하는 악성 릴레이 문제에 대해 썼습니다. 불행히도, 상황이 나아지는 대신, 특히 악의적 인 Tor 아웃 바운드 릴레이 활동과 관련하여 상황이 악화되었습니다.
절정에 이르면 악성 그룹은 약 380 개의 노드로 구성되었습니다. 악성 활동이있는 서버에 나열된 연락처 이메일을 기반으로 노드를 연결함으로써 연구원들은 그들은 약 9 개월 동안 활성 상태 인 악성 출구 노드의 최소 7 개 그룹을 식별 할 수있었습니다.
Tor 개발자는 악성 호스트를 차단하려고했습니다.하지만 공격자들은 신속하게 활동을 복구했습니다. 현재 악성 사이트의 수는 감소했지만 트래픽의 10 % 이상이 여전히 악성 사이트를 통과합니다.
HSTS 및 HTTPS 사전로드와 같은 확립 된 대책이 있습니다. 어디에나, 하지만 실제로는 많은 웹 사이트 운영자 그들은 그들을 구현하지 않습니다 그리고 사용자가 이러한 유형의 공격에 취약하게 만듭니다.
이러한 유형의 공격은 Tor 브라우저에만 국한되지 않습니다. 악성 릴레이는 사용자 트래픽에 대한 액세스 권한을 얻고 탐지를 어렵게하기 위해서만 사용되며, 악성 엔티티는 모든 웹 사이트를 동일하게 공격하지 않았습니다.
그들은 주로 암호 화폐 관련 웹 사이트를 찾고있는 것 같습니다.즉, 여러 비트 코인 믹싱 서비스.
그들은 거래를 지갑으로 리디렉션하기 위해 HTTP 트래픽에서 비트 코인 주소를 대체했습니다. 사용자가 제공 한 비트 코인 주소 대신. 비트 코인 주소 재 작성 공격은 새로운 것이 아니지만 운영 규모는 있습니다. 다른 유형의 공격에 참여하는지 여부를 확인할 수 없습니다.
HTTP를 통한 암호화되지 않은 리소스에 대한 초기 액세스시 악성 엑시트 노드에 기록 된 활동 사이트의 HTTPS 변종에 대한 리디렉션의 표적 제거가 표시되어 공격자가 인증서 TLS ( "SSL 제거"공격)를 위조하지 않고 세션 콘텐츠를 가로 챌 수 있습니다.
유사한 접근 방식은 도메인 앞에 "https : //"를 명시 적으로 표시하지 않고 사이트 주소를 입력하는 사용자에게 작동하며 페이지를 연 후 Tor 브라우저의 주소 표시 줄에있는 프로토콜 이름에 초점을 맞추지 않습니다. HTTPS 사이트로의 리디렉션 차단을 방지하려면 HSTS 사전로드를 사용하는 것이 좋습니다.
알려진 영향을받는 일부 비트 코인 사이트에 연락하여 HSTS 사전로드를 사용하여 기술적 수준에서이를 완화 할 수 있습니다. 다른 누군가가 알려진 영향을받는 도메인에 대해 HTTPS-Everywhere 규칙을 게시했습니다 (HTTPS Everywhere는 기본적으로 Tor 브라우저에 설치됨). 안타깝게도 당시에는 이러한 사이트 중 HSTS 사전로드가 활성화되지 않았습니다. 영향을받는 하나 이상의 비트 코인 웹 사이트가 이러한 이벤트를 알게 된 후 HSTS 사전로드를 구현했습니다.
2019 년 XNUMX 월 블로그 게시물 이후 Project Tor는 2020 년에 대한 몇 가지 유망한 계획을 가지고있었습니다. 이 분야의 개선을 추진하는 데 전념하는 사람과 함께 하지만 최근 COVID19와 관련된 정리해 고로 인해, 그 사람이 다른 지역에 배정되었습니다.
게다가 Tor 디렉토리 당국은 몇 주 동안 제거하는 데 사용했던 릴레이를 더 이상 제거하지 않습니다.
이 정책 변경의 원인은 확실하지 않지만 누군가가이 정책을 좋아하고 선언되지 않은 릴레이 그룹을 추가하고있는 것 같습니다.
마지막으로 이에 대해 더 알고 싶다면 다음 링크.