Baixar arquivos de fontes não confiáveis pode abrir um Backdoor e permitir que atacantes alterem arquivos enquanto o programa é baixado sem que o usuário perceba.
Mais uma vez rede Tor está sob ataque, o pesquisador Josh Pitts do Grupo de Segurança Leviathan identificou um nó de saída Tor que foi usado para corrigir os binários baixados pelos usuários, os atores de ameaças de malware foram acrescentando aos arquivos de forma dinâmica.
O Tor é um sistema que permite experiência anônima dos usuários on-line , mas como explicado muitas vezes isso é possível em condições específicas, pois a manipulação de scripts rodando no site visitado ou arquivo baixado a partir de um repositório não confiável poderia revelar a identidade de usuário Tor.
Neste caso, somos confrontados com o perigo de confiar em arquivos baixados de fontes desconhecidas, mas vamos considerar qualquer maneira que um invasor também pode usar uma técnica semelhante comprometer um site legítimo, e que comprometedora / definir um nó de saída para fazer o "trabalho sujo" é sempre possível.
Muitos binários estão hospedados sem nenhuma criptografia de segurança da camada de transporte, apenas em alguns casos, é possível encontrar arquivos assinados para impedir a modificação no-fly.
Para mitigar chupar tipo de ataques criptografados canais de download representa a melhor opção para evitar a manipulação dos binários.
"SSL / TLS é a única maneira de impedir que isso aconteça. Os usuários finais podem querer considerar a instalação de HTTPS Everywhere ou plugins semelhantes para o seu navegador para ajudar a garantir que o tráfego é sempre criptografado ", disse Pitts.
Pitts descobriu o comportamento anômalo do nó de saída Tor durante a realização de uma pesquisa em servidores de download que podem ser abusadas para corrigir os binários durante o download através de um homem-em-meio ataque.
"Depois de criar e usar um novo exitmap módulo, achei binários baixados sendo corrigido através de um nó de saída Tor na Rússia. " , disse Pitts no post .
Durante essa conferência DerbyCon o pesquisador apresentou como executar um patch MITM de binários durante o download usando BDFProxy . O quadro Backdoor Factory ( BDF ) projetado pelo pesquisador lhe permite corrigir os binários executáveis com código shell que o invasor pode usar para executar um código arbitrário sem que o usuário perceba qualquer atividade suspeita.
Infelizmente, este ataque pode ser realizado por qualquer pessoa na Internet, e como demonstrado por Pitts, poderia ser eficaz para cortar Tor anonimato controlando um ou mais nós de saída.
Usuários de Internet, conscientemente ou não, baixe a cada dia um número impressionante de arquivos, vamos pensar, por exemplo, para upgrades de software.Se um invasor é capaz de controlar o processo de download de atualizações de segurança, ele pode infectar um grande número de máquinas simplesmente injetar malwares para o canal de atualização.
O processo de atualização é considerado o cenário mais assustar por especialistas em segurança, porque o arquivo de download, em muitos casos é considerado confiável por padrão. A cadeia de ataque também pode ser melhorada através de um mecanismo de assinatura digital que abusos de falsos certificados digitais .
Fornecedores de software legítimo usar a assinar seus binários, qualquer modificação no código irá causar erros de verificação. Este é o cenário observado pela pesquisa durante os testes, um atacante a execução de um ataque MITM enquanto o usuário está baixando um arquivo pode ativamente binários de patch com o seu próprio código.
"Eu testei BDFProxy contra uma série de binários e processos de atualização, incluindo atualizações automáticas do Microsoft Windows. A boa notícia é que, se uma entidade está ativamente consertando o Windows PE arquivos para o Windows Update, o processo de verificação de atualização detecta-lo, e você receberá o código de erro 0 × 80200053. ", afirma Pitts.
O especialista estendeu sua análise a Nodes de saida descobrindo que um nó malicioso na Rússia foi remendar ativamente quaisquer binários ele baixado com um pedaço de malware. Felizmente, no momento eu estou escrevendo o nó de saída Tor é o único a executar o ataque.
"Para ter a melhor chance de pegar binários modificados em trânsito pela Internet, eu precisava de tantos pontos de saída em tantos países quanto possível. Usar Tor iria me dar esse acesso e, portanto, a maior chance de encontrar alguém realizando esta atividade MITM patching malicioso ", escreveu Pitts."Depois de pesquisar as ferramentas disponíveis, I em exitmap . Exitmap é baseado em Python e permite escrever módulos para verificar os nós de saída para várias modificações de tráfego. Exitmap é o resultado de um projeto de pesquisa chamado Spoiled Cebolas que foi concluído por ambas as PriSec grupo na Universidade de Karlstad e SBA Research , na Áustria. Eu escrevi um módulo para exitmap , chamado patchingCheck . py, e tenham apresentado um pedido de puxar para o repositório oficial GitHub.Logo após a construir o meu módulo, deixei exitmap prazo. Não demorou muito tempo, cerca de uma hora, para pegar o meu primeiro nó de saída malicioso. "
Pitts baixado vários binários legítimos de fontes confiáveis, incluindo Microsoft.com, e cada um deles veio carregado com código de malware que se abre uma porta para ouvir os comandos e começa a enviar solicitações HTTP para um servidor C & C.
O pesquisador informou funcionários do Projeto Tor, que sinalizou o nó de saída Tor tão ruim.
"Temos agora definir o BadExit bandeira sobre este relé, para que outras pessoas não vai acidentalmente executar através dele. Nós certamente não precisamos de mais pessoas a pensar mais módulos para a exitmap scanner.Em geral, parece que a corrida armamentista difícil jogar ", escreveu Roger Dingeldine, um dos desenvolvedores originais do Tor.
O cenário de ataque descrito por Pitts é muito comum, o usuário deve ter cuidado com o repositório referenciada para download de software, certificando-se que eles estão usando canais codificados (TLS / SSL)
"O problema dos binários modificados não está limitado a Tor. Destacamos o exemplo por causa de alguns dos equívocos que as pessoas têm sobre Tor proporcionando maior segurança. Em geral, os usuários devem ser cuidadosos de onde baixar o software e garantir que eles estão usando TLS / SSL. Sites não suportam TLS / SSL deve ser persuadido a fazê-lo ", disse Pitts.
Comentários