安全抢先知| Tor 项目组计划修复 DDoS 0day 老洞;神秘黑客利用神秘恶意软件攻击克罗地亚政府
编译:奇安信代码卫士团队
Tor 项目组打算修复多年来暗网(洋葱)网站遭利用的 DDoS 漏洞。修复方案将在即将发布的 Tor 协议0.42 版本中发布。该漏洞使得在托管 .onion 网站的 web 服务器上的 Onion 服务崩溃。更具体地讲,攻击者能够启动和托管在暗网的目标网站的数千次连接却使连接挂起。对于每次连接,远程洋葱服务必须通过保护远程用户及其服务器之间连接安全的 Tor 网络协商复杂的电路。这个过程密集使用 CPU,在连接足够的情况下,服务器处理器的最大值达到100%,使其无法接受新连接。虽然Tor 开发人员早已知晓这个漏洞的存在,但一直未修复的原因不仅在于缺少人力,而且因为并不存在简单直接的修复方案——这个漏洞还利用相同的需要碰巧建立了合法用户连接的进程。在连接建立之前无法有效地识别出提出的连接请求来自攻击者还是合法用户,但建立之后已识别不出。
暗网门户网站的运营者多年来都饱受此漏洞的困扰。最初合法站点被曝遭攻击,而最近几个月遭攻击的是出售非法产品如毒品、武器、恶意软件和被黑用户数据的暗网市场。2019年3月,当时最大的非法资金暗网市场 Dream Market 宣布称因连续几个月遭 DDoS 攻击而被迫关闭。网站运营者声称,有黑客一直要求获得40万比特币以阻止该攻击。Dream Market 运营人员并未选择支付勒索而是直接永远关停网站。之后也有多家暗网市场因此关停或迁移至I2P。四年多以前,GitHub上出现了一款名为 Stinger-Tor 的工具,任何人只需运行一个 Python 脚本即可执行攻击。外,地下论坛出现了出售类似 Tor DDoS 工具的团伙,他们利用的也是这个漏洞。
为了阻止几乎一直不消停的攻击,Dread 论坛社区成员一直都在督促用户向 Tor 项目组捐款修复漏洞。这一努力似乎已出现成效,包含该漏洞在内的1个漏洞现在已处于“赞助”位置,说明 Tor 支持者们已设法通过捐款使得该漏洞能够被优先解决。所计划的修复方案并无法完全修复该漏洞,因为方案必须违反Tor 的某些主要的隐私和安全功能,但它确实将挫败攻击活动。洋葱站点运营者将拥有 Tor 服务提供的新选项,可启动站点防御措施。启用该防御措施后,Tor 用户将能够访问遭攻击的洋葱站点,但仍需更长时间才能建立连接。所幸这些站点仍然能够运营,而威胁行为者无法破坏暗网站点门户网站,使其脱机数天或数周的时间。
今年2月至4月期间,克罗地亚政府员工遭神秘黑客团伙的攻击且很可能受感染。这伙黑客组织被指为国家黑客,假冒由克罗地亚邮政或其它零售服务提供商发出交付通知,通过钓鱼活动攻击目标受害者。邮件中包含让用户下载 Excel 文档的远程网站 URL 链接。钓鱼邮件中的文档含有被压缩为宏脚本的恶意代码,它们似乎是从 StackOverflow.com、Dummies.com、Issuu.com、Rastamouse.me 或 GitHub.com上的各种教程和开源项目复制的。受害者如启用该宏脚本,则可导致在系统上下载并安装恶意软件。研究人员从攻击中共检测到两种不同的恶意软件 payload。第一种 payload 是 Empire 后门,它是 Empire 利用后框架的组件;第二种 payload 是 SilentTrinity,它是类似于第一种的另外一种利用后工具。
Positive Technologies 公司的资深威胁分析专家 Alexey Vishnyakov 在五月份举办的 Positive Hack Days (PHDays) 安全会议上表示,这是首次看到恶意威胁行动者在活跃的恶意软件传播活动中武器化使用 SilentTrinity 工具。该钓鱼攻击存在两个月之后在今年4月初暴露。克罗地亚信息系统安全局发布了关于该攻击的两次警报信息,分享了攻陷指标如文件名称、注册表键、URL 和攻击者C&C服务器的 IP 地址,要求政府部门查看日志并扫描潜在的感染情况。Vishnyakov 发布报告指出,攻击中所使用的 C&C 服务器和之前恶意软件传播活动中存在某种关联。火眼公司发布报告称黑客使用 WinRAR 漏洞感染乌克兰政府目标,其中也使用了同样的 Empire 后门并使用了同样的C&C服务器,不过火眼报告并未指出幕后黑手的身份。Vishnyakov 也并未将这次攻击活动归属于任何组织,但他注意到,“主机、地址和域名上的可用数据以及它们之间的大量连接表明这是一场大规模的恶意活动。”
原文链接
https://www.zdnet.com/article/tor-project-to-fix-bug-used-for-ddos-attacks-on-onion-sites-for-years/
https://www.zdnet.com/article/croatian-government-targeted-by-mysterious-hackers/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点,转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。