压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　之前就曾報道過《俄羅斯黑客入侵Tor節點監聽流量》，攻擊者通過控制Tor網絡出口節點，可以實現篡改用戶的網絡流量。而最新的調查表明，這些被攻擊者控制的俄羅斯Tor出口節點正在做著陰暗的勾當——傳播一款用于攻擊歐洲政府機構的惡意軟件。

　　偽造的Tor節點惡意篡改用戶流量

　　Tor是一個可以讓你匿名上網的免費軟件，它把請求加密并在大量計算機之間傳送之后，再通過出口節點解密請求并發送到目標地址，通常這些出口節點有上千個之多。

　　這些成千上萬的節點中，中間節點是無法獲取用戶的網絡流量的，因為流量在中間節點傳輸時是加密的，但是如果攻擊者控制了出口節點，那么他就可以很輕易地監聽到用 戶的流量。而且，Tor的節點都是由志愿者構成，其中一般是匿名的，這些節點也可以輕易的被替換。如果出口節點被替換，那么你的網絡流量就盡在掌控了。

　　這些偽造節點背后的組織可能已經持續篡改流量傳播、惡意軟件超過一年了，受害者們下載篡改后的軟件就會自動運行一個后門程序，通過這個程序，黑客可以完全控制他們的系統。

　　上個月來自利維坦安全組(Leviathan Security Group)的Josh Pitts發現了一個惡意的Tor出口節點，這個節點在Windows可執行程序中加入另一個惡意Windows程序并打包。但當F-Secure研究員Artturi Lehti展開深度調查時，他發現這個Tor出口節點與臭名昭著的俄羅斯APT軟件MiniDuke有關。

　　俄羅斯APT軟件MiniDuke

　　木馬“MiniDuke”通過Adobe PDF email附件，感染了20多個國家的政府機構和組織。MiniDuke是用匯編語言編寫的，體積只有20KB，通過劫持的Twitter賬號作為C&C(Command & Control)，它會通過Twitter發布加密的C&C命令，如果Twitter無法使用或者賬號已經被刪除，惡意軟件會使用Google搜索其他C&C的加密字符串。

　　雖然被Josh Pitts識別出的俄羅斯節點已經被禁了，但是F-Secure研究員又發現惡意出口節點被來傳播一款MiniDuke APT(高級持續性威脅)軟件的新變種——研究人員把它稱之為"OnionDuke"。

　　OnionDuke是與MiniDuke完全不同的軟件，但是研究人員通過查看其配置發現了一些端倪。研究人員在配置信息中，發現它的某些命令和控制(C&C)服務器的注冊者與MiniDuke C&C服務器的相同。

　　F-Secure研究員在周五的博文中寫道：

　　“這說明：雖然OnionDuke與MiniDuke從軟件編寫上說截然不同，但兩款軟件使用的服務器將軟件背后的參與者聯系了起來。”

　　這款惡意軟件可以竊取登錄用戶名密碼、感染主機的系統信息，還能夠避開殺毒軟件。

　　傳播途徑

　　除了通過Tor節點傳播，這款惡意軟件還有其他傳播方式。

　　F-Secure的博文中寫道：

　　“調查期間，我們發現惡意軟件OnionDuke被用來攻擊歐洲政府機構，雖然我們尚未能確定感染途徑。有趣的是，軟件用兩種不同的策略進行攻擊。一種是‘炮擊蒼蠅’，即大量傳播感染修改后的程序，另一種是通過APT。”

　　偽造的Tor節點會感染非經加密流量中的那些未壓縮的可執行文件。無論受害者要經過這個Tor出口節點下載哪個文件，他們都會下載到一個已經被打包加入另一個可執行文件的程序。

　　用戶執行文件時，軟件會寫入硬盤，并且執行原來的程序，以此來讓用戶覺得沒有異常。但另一個惡意的程序也會運行。

　　惡意樣本的SHA-1校驗碼：

　　a75995f94854dea8799650a2f4a97980b71199d2 (二進制文件)

　　b491c14d8cfb48636f6095b7b16555e9a575d57f (用于解密配置信息并連接C&C服務器的DLL文件)

　　d433f281cf56015941a1c2cb87066ca62ea1db37 (DLL文件)

　　HTTPS、VPN用戶不受影響

　　慶幸的是，使用Tor匿名網絡從HTTPS網站下載可執行程序的用戶、使用了VPN的用戶不受此惡意軟件影響。那些只安裝帶數字簽名程序的用戶也是安全的。但不能保證以后黑客們不在惡意軟件中加上數字簽名。