23%的Tor网络出口中继器一直在攻击Tor用户
图1:经过一段时间(由这个特定的恶意实体)确认的恶意Tor出口容量(以全体可用的Tor出口中继器作为基数衡量)。Nuseu图表(原始数据源:https://metrics.torproject.org/oninoo.html)
2019年12月,我写了一篇文章,主题是Tor网络上日益严重的恶意中继器问题,目的是提高人们的警惕性,并且逐步改善这种状况。不幸的是,事情不但没有得到改善,反而变得更糟,其中恶意Tor出口中继器问题尤其严重。
Tor出口中继器是3个中继器中的最后一个跃迁节点,也是唯一一种可以看到Tor浏览器用户连接的中继器,这个连接将通向用户选择的实际目的地。用户使用的协议(即http与https)决定恶意出口中继器是否可以实际看到和篡改传输的内容。
在过去的一段时间里,我对一个大规模犯罪集团一直保持关注,在这篇文章里,我将给大家展示2020年前七个月里,恶意tor中继器的最新情况。事实证明,现有的审查手段不足以防止这种大规模的攻击。
恶意经营者的规模
5年前,我开始始监测恶意Tor出口中继器的活动,到目前为止2020的局势可能是最糟糕的一年,据我们所积累的数据,这是我们第一次发现一个犯罪集团控制了整个Tor网络23%以上的出口中继器。这意味着大约有四分之一的Tor网络连接是通过由一个犯罪集团控制的出口中继器。
图1显示了恶意参与者控制的Tor网络出口中继器的累积数量,以已确认的恶意中继器同时运行的数量(峰值超过380个中继器)。图1表明,如果用户在2020年5月22日的攻击高峰时打开了Tor浏览器,那么他有23.95%的概率遇到由攻击者控制的Tor出口中继器。由于Tor客户端通常会随着时间的推移使用更多的Tor出口中继器,因此使用恶意出口中继器的概率会随着时间的推移而增加。
临时下线措施
图1中的中继器统计曲线显示,犯罪集团在大垃圾堆中添加了中继器,这让OrNetRadar(一种中继器组检测器)有检测它们的机会,事实上OrNetRadar在多次案例里都实施了检查(见附录)。最值得注意的是,你可以在2020年3月看到中继器数量的快速增长趋势。在2020年3月16日,OrNetRadar 和 Tor Project’s Sybil Attack detection 报告了一次波峰,这次有150多个新中继器突然加入tor网络。这是一件不应该在在如此短的时间段里发生的事情。这些中继器第一时间被下线,但3天后,恶意运营商联系坏中继器邮递列表并配置了所谓的“MyFamily”设置,来表明自己是一个中继器组后,他们又被允许加入网络。目前,tor网络没有进一步的需求运行如此大规模的一组Tor中继器。
持久的措施
图1中的3个快速下降曲线(标记为1、2、3)代表这样一类事件,当Tor目录管理机构检测、报告这些恶意Tor出口中继器,并将其从网络中下线。这也证实了犯罪集团从封禁措施中恢复的速度有多快,而且管理机构并没有一次性检测出全体恶意中继器。在一次全网封禁之后,他们用了不到30天的时间恢复规模,对出口中继器的占有率再次达到22%(从4%开始)。这也向我们展示了他们的决心,他们显然不会因为被封禁一次就退缩。事实上,他们似乎提前做好了被检测和拆除之后的应对计划,并抢先安装新的中继器,以避免恶意中继器的活动突然中断。
伪造多个独立中继器组
突击移除事件为他们提供了一个教训,接下来几乎所有的中继器都是完美的MyFamily配置,这里有一个重要的信息:他们没有将所有的中继器直接连接在一起,并声明在一个组中,而是假装成多个中继组。这是他们从一开始就采取的战略(2020年1月)。图2显示了他们通过家庭组交换信息(堆积图)的中继器的占有率。
图2:ContactInfo确认的恶意Tor出口中继器(由同一个组织运行)。Nuseu图表(原始数据源:https://metrics.torproject.org/oninoo.html)
图3显示了这个组织运营的恶意出口中继器的数量,这些中继器根据给定的联系人信息(堆栈图)拆分。
图3:ContactInfo确认的恶意Tor出口中继器数。Nuseu图表(原始数据源:https://metrics.torproject.org/oninoo.html)
中继器运营组织可以任意设置联系人信息,因此用户需要谨慎对待这些信息,由于这些电子邮件地址中有多个与Tor项目的恶意中继邮件列表有联系,因此我们有理由认为这些地址真实存在,并有被恶意中继器运营商控制的风险。犯罪集团甚至冒充联邦调查局,创建了一个地址“fbirelies@…”(这个电子邮件地址从来没有用来联系恶意中继器邮件列表,不过我不相信FBI和这些中继器有任何关系)。我们可以看到攻击者喜欢使用常见的电子邮件服务商(hotmail、protonmail和gmail)。
Join Timestamp, Removal Timestamp,ContactInfo 2020-01-27 21:00:00,2020-05-22 00:00:00,loribthorpe@hotmail.com 2020-01-29 20:00:00,2020-06-22 00:00:00,thomaspli1@hotmail.com 2020-02-29 03:00:00,2020-06-21 23:00:00,mleachman00@gmail.com 2020-03-16 05:00:00,2020-05-22 00:00:00,johntor336@hotmail.com 2020-03-21 13:00:00,2020-06-15 23:00:00,abusetor1234@protonmail.com 2020-05-04 02:00:00,2020-06-21 23:00:00,fbirelays@protonmail.com 2020-05-25 08:00:00,2020-06-21 23:00:00,MichaelLyons12345@hotmail.com 2020-05-28 19:00:00,2020-06-21 23:00:00,stayhomeusetor@protonmail.ch 2020-06-02 08:00:00,2020-06-21 23:00:00,joycecbarrera@hotmail.com
旧基础设施
恶意中继器分析的一个关键问题是:他们使用了哪些host服务公司?所以有一个根据互联网服务提供商的分类方式。它主要是OVH(一般来说,它是Tor中继器使用的最大的ISP之一)。Frantech、ServerAstra和Trabia Network也是这个领域相当常见的中继器提供商。“Nice IT Services Group”是一个很有趣的存在,因为2020年4月16日,在犯罪集团在这个鲜为人知的网络上部署了一些中继器,在此之前我从来没在这里见过中继器。
图4:犯罪集团使用了哪些ISP?主要是OVH和FranTech提供的方案。Nuseu图表(原始数据源:https://metrics.torproject.org/oninoo.html)
这个攻击者到底在利用什么?它对Tor用户有何影响?
他们经营的全部规模还不得而知,但他们有一个直白又明了的动机:利润。
当数据经过他们控制的出口中继器的时候,他们会故意修改数据,以此来向tor用户发动中间人攻击,
它们(有选择地)删除HTTP到HTTPS的重定向,以获得对未加密HTTP流量的访问权限,同时不会触发TLS证书警告。
对于那些不刻意在URL栏中写入“https://”的Tor浏览器用户来说,很难检测到攻击。这是一种极为常见的攻击方法,被称为“ssl剥离”,它利用用户很少键入以“https://”开头的完整链接这一现象。
HSTS预加载和HTTPS极为常见,所以针对这种攻击的防范手段很早就出现了,但在现实中,许多网站运营商没有落实它们,导致他们的用户很容易受到这种攻击。这种攻击并不是Tor浏览器特有的。恶意中继器只是用来访问用户流量。
为了使检测更加困难,犯罪组织并没有一视同仁地攻击所有网站。目前来看他们主要针对与加密货币相关的网站,即多种比特币混合服务。他们篡改了HTTP流量中的比特币地址,将交易重定向到自己的钱包,而不是用户提供的比特币地址。比特币地址重写攻击并非新鲜事,但其操作规模却是如此庞大。目前无法确定他们是否发动了其他类型的攻击。
我已经联系了一些已知受影响的比特币网站,因此他们可以通过HSTS预加载在技术层面上缓解这一问题。其他人提交了已知受影响域的HTTPS Everywhere规则(HTTP Everywhere默认安装在Tor浏览器中)。不幸的是,这些站点当时都没有启用HSTS预加载。至少有一家受影响的比特币网站在得知这些事件后部署了HSTS预加载。
攻击结束了吗?
如果我们看一下Tor网络上公布的整体出口带宽,并突出显示被Tor目录管理机构删除的恶意中继器数量,我们可以看到,在2020年6月21日的最新下线措施之后,公布的出口中继器数量显著增加。
曲线的这一部分实际上与上个月相似,在2020年5月22日左右,当攻击者第一次被移除中继器后恢复了它的容量。我在图中添加了一条“预期”线,以显示我粗略估计的中继器能够达到的总体数量,在没有出现异常增长的情况下(通过添加已知合法运营商在清退非法中继器后添加的公开带宽大致计算得出)。
图5:Tor网络中公布的总出口带宽,移除恶意中继器后出现了异常增长。Nuseu图表(原始数据源:https://metrics.torproject.org/oninoo.html)
攻击者能够将他们的出口中继器占比从通常的60%左右降低到低于50%。这张图还显示,尽管事实上这些已知组织的完全公开的出口中继器数量在增加,但这些已知组织的所占比例却在减少。
图6:已知运营商/组织的出口中继器占比和公布的出口带宽。Nuseu图表(原始数据源:https://metrics.torproject.org/oninoo.html)
图7:自自治系统上次移除恶意出口中继器(2020年6月21日)以来未知运营商的出口中继器占用率(仅显示ASN>0.5%的出口中继器占比)。两个网络正在显著增长:OVH(第二次出现)和Liteserver Holding。Nuseu图表(原始数据源:https://metrics.torproject.org/oninoo.html)
图8:自上次移除恶意出口中继器(2020-06-21)以来未知运营者的出口中继器所占比例,按出口中继器联系人信息(累计)分组。仅显示出口中继器占比大于0.5%的联系人信息。不包括没有联系人信息的出口中继器。Nuseu图表(原始数据源:https://metrics.to
这些图表和一些额外的指标,我不是为了避免销毁它们而发布的,它们表明攻击者并没有消失,但是由于对已知受害者的攻击变得越来越困难,攻击者可能选择了新的受害者或其他类型的攻击。这是一个正在分析中的话题,具体细节可能会发表在后续的博客文章。
对策
恶意中继器管理情况
在2019年12月的博客文章之后,Tor项目在2020年有了一些改进的计划,有一个专门的人来管理这个领域的改革,但是由于最近COVID19疫情导致的裁员,这个人被分配到了另一个领域。
除此之外,Tor目录管理机构显然不再移除他们自2020年6月26日以来一直移除的恶意中继器。目前尚不清楚是什么导致了这一政策变化,但显然有人乐见其成,并持续添加未声明的中继器组(以前由于缺少联系人信息和MyFamily而被移除)。
这意味着,在2019年12月,我们发现攻击者入侵了Tor网络10%的安保节点,但是这件事显然没有让官方带来任何改进。由于之前的报告没有对此采取行动或回应,因为一个多月以来,我已经停止报告中继器删除的情况,但是让我们暂时把这个问题放在一边(主题放在另一篇博客文章中),让我们记住Tor项目没有专门的资源来解决这个问题(因为找不到任何信息证明官方试图取得一些进展)。
关于“已知”和“未知”网络节点的更好的可视化工具
“我们缺乏跟踪和可视化可信中继器的工具”-罗杰·丁莱丁
关键问题在于,我们应该注意到Tor网络的已知节点与未知节点所占比例的显著变化。我的目标是通过将图6和图7这样的图表合并到每日生成的OrNetStats中来解决这个问题,但是我只能在某些些静态操作员验证码的验证可以自动化的情况下完成,因为从长远来看,手动验证太费时间了。
我正在开发的联系人信息共享规范的第2版,为Tor中继器操作员提供两个易于实现的选项,以允许自动验证“operatorurl”字段。经过验证的字段可以用作“可信任”标签的手动分配(一次性)的输入数据,然后用于图表。
一旦规范的第2版发布(应该在2020年8月底之前发布),并且足够多的中继器运营商采用,这样的图表就可以添加到OrNetStats和其他工具中。这也是为了帮助罗杰·丁莱丁在这个问题上的计划。这个方法的一个关键因素就是中继器运营商是否会采用版本2规范。
降低短期危害
我们如何让持续运行如此大规模Tor网络的犯罪集团花费更多的钱和时间?目前对(大规模)Tor中继器运营组织没有要求。因此,目前还没有什么手段能阻止犯罪集团添加150个恶意中继器,正如2020年3月的这次攻击所证明的那样。
以下建议考虑到Tor项目没有专门的资源来解决这个问题。
作为针对这一持续性问题的直接对策,Tor项目可能要求对运行Tor网络0.5%以上出口中继器或安保节点的所有新(2020年加入)Tor中继器运营商进行物理地址验证。为什么是0.5%?因为它是削减恶意Tor中继器的风险与所需验证工作量之间的平衡。
使用0.5%作为门槛,这实际上只有很少的运营商需要验证的运营商。截至2020-08-08,只有五个出口中继器运营商和一个安保节点运营商符合这些标准(新的和大的)。其中一些与之前检测到的犯罪组织有相似之处。
其他一些人已经有了很好的名声。因此,初始验证方式是向官方发送6个字母来作为运营商提供的物理地址(实际上更有可能是3个字母,因为有些运营商可能不请求物理地址验证)。
如何授权给那些在处理可疑中继时必须做出艰难决定的人也是一个关键问题。
长期:通过向已知运营商分配一个小规模的网络节点份额来限制攻击者
Roger Dingledine的计划是为“已知”运营商团体的成员分配一个固定的限额。这限制了恶意操作人员可能造成的损害,无论他们在各自的中继器/中继器组里隐藏的有多好。这种方法很强大,但应与以下方法相结合,以进一步增加攻击者所需的犯罪成本:
1.运营商需要经过验证的电子邮件地址才能获得出口中继器或安保中继器的标签。电子邮件验证可以完全自动化。由于恶意中继运营商可以轻松注册电子邮件地址,所以第一条措施应该和第二条相结合。
2.要求大型运营商提供经过验证的物理地址(出口中继器或安保中继器占比大于或等于0.5%)
摘要
自2019年12月媒体披露犯罪集团对Tor网络的大规模攻击(恶意运营商确实运行了超过Tor安保节点的10%)以来,官方未对恶意Tor中继器发布任何改进措施。
这篇博文中讨论的恶意Tor中继器运营商控制了整个Tor网络出口容量的23%(截至2020年5月22日)
目录管理机构在初始尝试清退手段之后,恶意运营商展示了自己如何再次恢复恶意中继器的上线数量。
有多个指标表明,超过10%的Tor网络出口中继器处于犯罪集团的控制之中(截至2020年8月8日)
大规模恶意Tor中继器运营商的再次出现表明,当前针对恶意中继器的检查和应对方法不足以防止此类事件再次发生,并且Tor用户的安全局势已经出现了变化。
针对目前恶意中继器的问题,提出了多种具体对策。
Tor项目和Tor目录管理机构应采取行动,防止对Tor用户造成进一步损失。
致谢
在此感谢最初举报某些恶意中继器的人,这使得我们能够更深入的调查这个规模庞大的恶意tor出口中继器网络。(举报者要求匿名。)
附录
OrNetRadar 组织提供的关于恶意出口中继器的信息。
https://nusenu.github.io/OrNetRadar/2020/01/29/a5 https://nusenu.github.io/OrNetRadar/2020/02/05/a3 https://nusenu.github.io/OrNetRadar/2020/02/11/a4 https://nusenu.github.io/OrNetRadar/2020/02/16/a2 https://nusenu.github.io/OrNetRadar/2020/02/29/a4 https://nusenu.github.io/OrNetRadar/2020/03/16/a5 https://nusenu.github.io/OrNetRadar/2020/03/30/a6 https://nusenu.github.io/OrNetRadar/2020/03/30/a7 https://nusenu.github.io/OrNetRadar/2020/04/11/a4 https://nusenu.github.io/OrNetRadar/2020/04/13/a8 https://nusenu.github.io/OrNetRadar/2020/04/14/a3 https://nusenu.github.io/OrNetRadar/2020/04/16/a7 https://nusenu.github.io/OrNetRadar/2020/04/21/a4 https://nusenu.github.io/OrNetRadar/2020/05/04/a9 https://nusenu.github.io/OrNetRadar/2020/05/06/a2 https://nusenu.github.io/OrNetRadar/2020/05/09/a2 https://nusenu.github.io/OrNetRadar/2020/05/22/a7 https://nusenu.github.io/OrNetRadar/2020/05/25/a4 https://nusenu.github.io/OrNetRadar/2020/05/28/a1 https://nusenu.github.io/OrNetRadar/2020/06/02/a1 https://nusenu.github.io/OrNetRadar/2020/06/13/a2
发表评论
您还未登录,请先登录。
登录