Tor的惡意應用

* 原創作者：ArkTeam，本文屬FreeBuf原創獎勵計劃，未經許可禁止轉載

Tor本來是為用戶提供匿名上網保護用戶隱私的工具，但是對於一些用戶來說，他們可以利用Tor的隱蔽性進行黑客攻擊或非法交易活動。總結Tor的惡意應用主要表現在以下幾方面。

1.Botnet利用Tor

殭屍網路作為最有效的網路攻擊平台，給互聯網安全帶來了巨大的威脅。隨著攻防技術的不斷研究，殭屍網路的形態和控制命令機制也在不斷變化[1]：

（1）首先是IRC機制，中心化結構但是有單點故障問題；

（2）P2P結構，解決了單點故障問題，但是無法監視命令狀態，實現又很複雜；

（3）HTTP協議的botnet，又不斷改進為動態訪問機制的Fast-Flux和Domain-Flux。

殭屍網路利用Tor進行匿名通信首次被提出是在2010 DefCon大會上，以「ZeuS」為例將C&C伺服器部署於Tor暗網中，但是它不支持代理，不能直接使用Tor，但是可以通過設置URL使用tor2web代理服務進行訪問暗網（圖1，圖2）。這樣以最小的代價提高了botnet的存活性，Tor網路配置簡單，只需提供一個.onion地址就可以實現隱藏C&C。

圖

1 ZeuS

不支持配置

dialing

圖

2

通過

Tor2Web

格式化請求腳本

直到2012年12月「Skynet」的出現驗證了「Botnet over Tor」的思想。Botnet主要利用Tor的隱藏服務功能隱藏C&C伺服器，並在惡意程序中包含Tor程序，通過下達指令使bot自動安裝Tor組件，進而通過Tor網路進行通信（如圖3）。控制者將所有命令與控制信道都在Tor網路中進行，這樣的好處有：

（1）不存在出口節點泄露信息的威脅；

（2）控制者身份不易被追蹤和暴露；

（3）C&C伺服器幾乎可以免除被關閉或刪除。

隨後2013年隨著Tor用戶量的異常增加，「Sefnit」[2]殭屍網路出現了，也是通過Tor隱藏C&C伺服器，之後Tor項目對該版本的Tor（惡意代碼隨意執行無驗證漏洞）進行升級，微軟更新安全組件、掃描工具等進行清理惡意程序。2014年又出現了首個基於Tor的Android殭屍網路隱藏C&C進行通信（圖4）。

圖3 b

otnet

利用

Tor

隱藏

C&C

圖

4 Android botnet

但是利用Tor的botnet也存在一些弊端[3]：

（1）Botnet大量使用Tor，導致Tor的下載速度下降、Tor的用戶量劇增，必然會引起Tor用戶的關注和安全專家的研究；

（2）使用Tor訪問需要安裝、配置和運行Tor，導致botnet的網路異常；

（3）Tor本身的流量特徵模式也比較明顯，增加botnet的異常性；

（4）使用Tor可能需要增加額外的大量功能代碼；

（5）使用Tor後botnet仍然面臨著Crawling攻擊和Sinkholing攻擊。

可見botnet和Tor的強強聯合沒有並帶來更好的效果。

2.勒索軟體利用Tor

勒索軟體是一種可控制用戶系統或資產，並以此為條件向用戶勒索錢財的惡意軟體。主要分為兩類：

加密型勒索：感染目標設備後通過強大的加密演算法（AES、RSA等）將用戶文件、磁碟、資料庫進行加密。

鎖定型勒索：感染目標設備後通過篡改設備密碼將設備鎖定，使得用戶無法正常使用。

近幾年，勒索攻擊事件愈演愈烈，勒索軟體在全球範圍內猖獗。CyberEdge公司發布2017年度網路威脅防禦報告，報告中指出有61%的組織受到過勒索軟體的侵害，其中1/3的用戶選擇了支付贖金。勒索軟體不斷呈現新的態勢，在目標感覺階段、本地攻擊階段、勒索支付階段的複雜性和多樣性一直在增加。其中，在本地攻擊階段和勒索支付階段分別使用了Tor。

在本地攻擊階段勒索軟體使用Tor隱藏C&C伺服器，如CTB-Locker[5]。用戶被感染後CTB-Locker利用不可破解的EllipticCurve Diffie-Hellman演算法對文件進行加密，所有通信和數據傳遞都通過Tor網路來進行，C&C伺服器使用Hidden Service，使其更加難以追蹤和關停。用戶不需要安裝有Tor瀏覽器，Tor的可執行程序被硬編碼到惡意軟體中（圖5）。

在勒索支付階段使用了Tor網路提供支付比特幣贖金地址，如CryptoWall3.0和PETYA ransomware，勒索信息里會包含一條以「.onion」結尾的鏈接地址（圖6），告知用戶交易地址，這樣很難被追蹤，即使沒有解密也難以追回贖金，但是勒索者在這方面都具有驚人的良好信用。

圖

5

勒索軟體利用

Tor

隱藏

C&C

圖

6

通過

Tor

支付贖金

3.比特幣利用Tor

比特幣是一種在P2P網路里進行交易的基於密碼學的分散式虛擬貨幣。比特幣交易系統里的付款人和收款人的交易地址都是公鑰編碼後的哈希值，所以一般不可識別。但是可以通過IP地址與你的交易聯繫起來，如通過ISP、NSA、惡意節點攻擊等方法。所以Tor被用到比特幣中防止交易方的IP地址泄露（圖7）。

圖

7

比特幣利用

Tor

隱藏地址

圖

8

攻擊者部署惡意節點

但是，比特幣通過Tor進行交易並不是一個好的想法，很容易被攻擊者利用[5]。

首先，在比特幣網路中，如果比特幣節點收到惡意構造的畸形消息（如某些協議欄位的大小不正確），通過其內部機制的判斷，會將消息發送者的源IP地址加入黑名單中，導致該IP在24小時內無法訪問該比特幣服務節點。

攻擊者的攻擊流程如下：

（1）分別構造少量惡意的比特幣節點和Tor出口節點，並向各自所在網路中宣傳，讓普通用戶的地址列表中存在這些惡意節點。

（2）攻擊者通過Tor網路向合法的比特幣服務節點發送大量惡意構造消息，導致Tor網路正常的出口節點被比特幣服務節點拒絕訪問。

（3）用戶通過Tor網路訪問合法比特幣節點時，如果選擇了被拒絕訪問的Tor出口節點則不得不重新選擇訪問鏈路。此時用戶可能會選擇攻擊者構造的惡意Tor出口節點，或者Tor出口節點是合法的，但最終指向了攻擊者部署的惡意比特幣節點（圖8）。

以上兩種可能都實現了中間人攻擊，可見Bitcoin利用Tor隱藏地址會出現新的風險。

4.Tor出口節點嗅探流量

Tor網路在設計之初，只是為了隱藏發送者和接收者的位置信息，並沒有對內容信息進行隱藏，網站可以使用HTTPS對其加密。但是很多網站仍然使用HTTP協議構建網路，這給Tor網路的出口節點製造了嗅探流量的機會。利用蜜罐技術可以識別惡意出口節點（圖9）。

（1）研究者在實驗中[6]部署一個蜜罐網站，並且設置訪問許可權。

（2）通過正常的Tor網路訪問該蜜罐網站，每次訪問都分別使用唯一的用戶名密碼賬號信息，並記錄出口節點IP地址及其他信息。

（3）如果該網站被登錄過的用戶名密碼再次訪問說明賬號信息泄露，該賬號對應的Tor出口節點已嗅探流量，視為惡意出口節點。

實驗證明在1400個出口節點中存在7個惡意嗅探流量的節點，畢竟大多數的志願者是友好的。另外，Tor的出口節點也有可能修改用戶請求數據或插入惡意代碼實施中間人攻擊，該種情況可以通過比較使用Tor網路訪問網站和不使用Tor網路訪問相同網站的響應數據是否一致，如果不一致即說明出口節點可能實現了中間人攻擊（圖10）。

圖9 識別惡意Tor出口節點嗅探流量

圖

10

識別惡意

Tor

出口節點中間人攻擊

5.黑市交易

Tor網路不僅可以隱藏發送者的地址信息，也可以隱藏接收者的伺服器地址信息。很多黑市商人利用Tor網路搭建匿名伺服器進行黑市交易，著名的「絲綢之路」就是利用Tor網路的犯罪市場。雖然「絲綢之路」已被查封，但是暗網中仍然存在大量的黑市交易產業（圖11）。

圖

11

暗網非法交易

6.小結

Tor的應用在一定程度上會給惡意應用者帶來隱蔽性，但是由於Tor本身的流量特殊性以及去匿名化的研究越來越多，Tor的附加應用不一定會帶來更好的效果。

7.參考資料：

[1] http://securityaffairs.co/wordpress/13747/cyber-crime/http-botnets-the-dark-side-of-an-standard-protocol.html

[2] https://blogs.technet.microsoft.com/mmpc/2014/01/09/tackling-the-sefnit-botnet-tor-hazard

[3] Casenove M, Miraglia A. Botnetover Tor: The illusion of hiding[C]//Cyber Conflict (CyCon 2014), 2014 6thInternational Conference On. IEEE, 2014: 273-282.

[4] http://www.coinbuzz.com/2014/07/29/ctb-locker/

[5] Biryukov A, Pustogarov I.Bitcoin over Tor isn』t a good idea[C]//Security and Privacy (SP), 2015 IEEESymposium on. IEEE, 2015: 122-134.

[6] https://motherboard.vice.com/en_us/article/badonion-honeypot-malicious-tor-exit-nodes

* 原創作者：ArkTeam，本文屬FreeBuf原創獎勵計劃，未經許可禁止轉載

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！