OrNetRadar项目的作者, 监视新节点组与Tor匿名网络的连接, 发表报告 确定出色的出口节点运营商 恶意Tor,正在尝试操纵用户流量。
根据这些统计,在22我修复了从大量恶意主机到Tor网络的连接, 其中攻击者获得了流量的控制权,覆盖了通过出口节点的所有呼叫的23,95%。
在2019年XNUMX月,我写了一篇有关Tor网络上日益严重的恶意中继问题的信息,以期不断提高人们的意识并改善情况。 不幸的是,情况没有变好,反而变得更糟,特别是涉及恶意的Tor出站中继活动时。
在鼎盛时期 恶意组由大约380个节点组成。 通过基于服务器上列出的联系电子邮件将节点链接到具有恶意活动的节点,研究人员 他们能够识别出至少9个不同的恶意出口节点组,它们已经活动了大约7个月。
Tor开发人员试图阻止恶意主机,但攻击者很快恢复了活动。 目前,恶意网站的数量有所减少,但仍有超过10%的流量通过它们。
已经建立了对策,例如预加载HSTS和HTTPS 到处, 但实际上 许多网站运营商 他们没有实现它们 并且使用户容易受到此类攻击。
这种类型的攻击并非特定于Tor浏览器。 恶意中继仅用于获取用户流量,并使检测变得困难,恶意实体并未平等地攻击所有网站。
他们似乎主要搜索与加密货币相关的网站即多种比特币混合服务。
他们替换了HTTP流量中的比特币地址,将交易重定向到他们的钱包 而不是用户提供的比特币地址。 比特币地址重写攻击并不是什么新鲜事物,但是其操作规模却是新的。 无法确定他们是否参与了其他类型的攻击。
通过HTTP初始访问未加密资源时,可以看到有针对性地删除了重定向到恶意出口节点上登录的活动站点的HTTPS变体的重定向,从而使攻击者可以在不伪造证书的情况下拦截会话内容TLS(“ SSL杀死”攻击)。
类似的方法适用于键入站点地址但未在域的前面明确指出“ https://”的用户,并且在打开页面后,用户无需关注Tor浏览器地址栏中的协议名称。 为了防止阻止重定向到HTTPS站点,建议使用HSTS预加载。
我联系了一些已知的受影响的比特币站点,因此他们可以使用HSTS预加载在技术水平上减轻这种情况。 其他人发布了已知受影响域的HTTPS-Everywhere规则(默认情况下,Tor浏览器中安装了HTTPS Everywhere)。 不幸的是,这些站点当时均未启用HSTS预加载。 在获悉这些事件之后,至少一个受影响的比特币网站实施了HSTS预加载。
在2019年XNUMX月博客文章之后, Tor项目对2020年有一些有希望的计划 与致力于推动这一领域的改进的人一起, 但由于最近与COVID19相关的裁员,该人被分配到另一个区域。
最重要的是,Tor目录管理机构显然在几周内不再删除他们曾经使用的中继。
尚不清楚是什么触发了此策略更改,但显然有人喜欢它,并且正在添加未声明的中继组。
最后,如果您想了解更多信息,可以在 以下链接。