之前就曾报道过《俄罗斯黑客入侵Tor节点监听流量》,攻击者通过控制Tor网络出口节点,可以实现篡改用户的网络流量。而最新的调查表明,这些被攻击者控制的俄罗斯Tor出口节点正在做着阴暗的勾当——传播一款用于攻击欧洲政府机构的恶意软件。
伪造的Tor节点恶意篡改用户流量
Tor是一个可以让你匿名上网的免费软件,它把请求加密并在大量计算机之间传送之后,再通过出口节点解密请求并发送到目标地址,通常这些出口节点有上千个之多。
这些成千上万的节点中,中间节点是无法获取用户的网络流量的,因为流量在中间节点传输时是加密的,但是如果攻击者控制了出口节点,那么他就可以很轻易地监听到用 户的流量。而且,Tor的节点都是由志愿者构成,其中一般是匿名的,这些节点也可以轻易的被替换。如果出口节点被替换,那么你的网络流量就尽在掌控了。
这些伪造节点背后的组织可能已经持续篡改流量传播、恶意软件超过一年了,受害者们下载篡改后的软件就会自动运行一个后门程序,通过这个程序,黑客可以完全控制他们的系统。
上个月来自利维坦安全组(Leviathan Security Group)的Josh Pitts发现了一个恶意的Tor出口节点,这个节点在Windows可执行程序中加入另一个恶意Windows程序并打包。但当F-Secure研究员Artturi Lehti展开深度调查时,他发现这个Tor出口节点与臭名昭著的俄罗斯APT软件MiniDuke有关。
俄罗斯APT软件MiniDuke
木马“MiniDuke”通过Adobe PDF email附件,感染了20多个国家的政府机构和组织。MiniDuke是用汇编语言编写的,体积只有20KB,通过劫持的Twitter账号作为C&C(Command & Control),它会通过Twitter发布加密的C&C命令,如果Twitter无法使用或者账号已经被删除,恶意软件会使用Google搜索其他C&C的加密字符串。
虽然被Josh Pitts识别出的俄罗斯节点已经被禁了,但是F-Secure研究员又发现恶意出口节点被来传播一款MiniDuke APT(高级持续性威胁)软件的新变种——研究人员把它称之为"OnionDuke"。
OnionDuke是与MiniDuke完全不同的软件,但是研究人员通过查看其配置发现了一些端倪。研究人员在配置信息中,发现它的某些命令和控制(C&C)服务器的注册者与MiniDuke C&C服务器的相同。
F-Secure研究员在周五的博文中写道:
“这说明:虽然OnionDuke与MiniDuke从软件编写上说截然不同,但两款软件使用的服务器将软件背后的参与者联系了起来。”
这款恶意软件可以窃取登录用户名密码、感染主机的系统信息,还能够避开杀毒软件。
传播途径
除了通过Tor节点传播,这款恶意软件还有其他传播方式。
F-Secure的博文中写道:
“调查期间,我们发现恶意软件OnionDuke被用来攻击欧洲政府机构,虽然我们尚未能确定感染途径。有趣的是,软件用两种不同的策略进行攻击。一种是‘炮击苍蝇’,即大量传播感染修改后的程序,另一种是通过APT。”
伪造的Tor节点会感染非经加密流量中的那些未压缩的可执行文件。无论受害者要经过这个Tor出口节点下载哪个文件,他们都会下载到一个已经被打包加入另一个可执行文件的程序。
用户执行文件时,软件会写入硬盘,并且执行原来的程序,以此来让用户觉得没有异常。但另一个恶意的程序也会运行。
恶意样本的SHA-1校验码:
a75995f94854dea8799650a2f4a97980b71199d2 (二进制文件)
b491c14d8cfb48636f6095b7b16555e9a575d57f (用于解密配置信息并连接C&C服务器的DLL文件)
d433f281cf56015941a1c2cb87066ca62ea1db37 (DLL文件)
HTTPS、VPN用户不受影响
庆幸的是,使用Tor匿名网络从HTTPS网站下载可执行程序的用户、使用了VPN的用户不受此恶意软件影响。那些只安装带数字签名程序的用户也是安全的。但不能保证以后黑客们不在恶意软件中加上数字签名。