下圖可以幫我們了解Tor匿名過程。
首先,我們假設(shè)使用者已經(jīng)構(gòu)建了一個(gè) Tor路徑,這意味著計(jì)算機(jī)已經(jīng)選擇了三個(gè)Tor節(jié)點(diǎn)(運(yùn)行Tor軟件的服務(wù)器)來中繼消息并獲得了每個(gè)節(jié)點(diǎn)的共享密鑰。
(資料圖片僅供參考)
計(jì)算機(jī)首先對(duì)私有數(shù)據(jù)進(jìn)行三層加密(上圖中的步驟 1),這也是洋蔥名稱的由來。之后,使用者的計(jì)算機(jī)以相反的順序加密數(shù)據(jù):首先使用最后一個(gè)退出節(jié)點(diǎn)的密鑰 (Kn3),然后使用中間中繼節(jié)點(diǎn)的密鑰 (Kn2),最后使用保護(hù)節(jié)點(diǎn)的密鑰 (Kn1)。保護(hù)節(jié)點(diǎn)接收到數(shù)據(jù)后,使用 Kn1 去除最外層的加密,并將解密的消息發(fā)送到中繼節(jié)點(diǎn)。中間節(jié)點(diǎn)使用 Kn2 刪除下一層,并將其中繼到退出節(jié)點(diǎn)。最后,退出節(jié)點(diǎn)使用 Kn3 解密消息并將原始數(shù)據(jù)發(fā)送到 Web 服務(wù)器(在本例中是peel-the-orange[.]com)。分層加密實(shí)現(xiàn)了保密性,并限制了參與通信的人員,因?yàn)橹挥兄烂荑€的節(jié)點(diǎn)才能解密消息。
上圖匯總了哪些節(jié)點(diǎn)知道哪些其他節(jié)點(diǎn)。守衛(wèi)節(jié)點(diǎn)(guard node)知道使用者是誰以及下一個(gè)接收使用者消息的節(jié)點(diǎn),即中間中繼節(jié)點(diǎn)。但是,守衛(wèi)節(jié)點(diǎn)不知道最后的退出節(jié)點(diǎn)和使用者的最終目標(biāo)地,因?yàn)橹挥肒n1解密,此時(shí)入口節(jié)點(diǎn)的消息仍然是亂碼。中繼節(jié)點(diǎn)知道的最少。它不知道誰是原始發(fā)送者或最終目標(biāo)地,只知道入口和退出節(jié)點(diǎn)。退出節(jié)點(diǎn)知道中間中繼節(jié)點(diǎn)和目標(biāo)服務(wù)器,而目標(biāo)服務(wù)器只知道退出節(jié)點(diǎn)。
返回使用者的消息以類似的方式傳回,每個(gè)節(jié)點(diǎn)使用與使用者共享的密鑰添加一層加密。
上圖是全球Tor網(wǎng)絡(luò)中,使用者和監(jiān)控者的示意圖。Emilia代表使用者,Lemonheads代表監(jiān)控者。當(dāng)使用者使用Tor時(shí),監(jiān)控者只能觀察到使用者與入口節(jié)點(diǎn)的連接。即使他們對(duì)所傳遞的消息有完全的全局可見性,他們也很難跟蹤使用者的消息,因?yàn)樗鼈兓烊肓怂蠺or用戶的流量,而且每次消息傳遞到另一個(gè)節(jié)點(diǎn)時(shí),加密層都會(huì)發(fā)生變化。如前所述,如果使用者使用單一的VPN 提供商,它將知道使用者訪問的網(wǎng)站。此外,監(jiān)控者可以觀察來自 VPN 服務(wù)器的傳入和傳出消息,并可能確定使用者正在訪問哪些網(wǎng)站。
一個(gè)奇怪的問題是:使用者如何在不暴露身份的情況下與Tor節(jié)點(diǎn)共享密鑰?要解決這個(gè)問題需要分兩步。
首先,兩個(gè)節(jié)點(diǎn)如何在任何人都可以讀取所有通信的公共網(wǎng)絡(luò)上合作創(chuàng)建一個(gè)只有他們知道的密鑰?答案是 Diffie-Hellman key Exchange (DHE) 協(xié)議。首先,雙方需要各自生成他們自己的私有秘密,并將其組合成只有他們兩個(gè)人可以計(jì)算的共享秘密(Kn1。在實(shí)際應(yīng)用中,基于橢圓密碼學(xué)的認(rèn)證ECDHE來解決vanilla DHE 的問題。
此時(shí),使用者可以訪問每個(gè)Tor節(jié)點(diǎn),并分別與它們建立一個(gè)密鑰,但這會(huì)讓每個(gè)節(jié)點(diǎn)都知道使用者的身份。問題的第二部分是使用DHE建立密鑰。使用者的計(jì)算機(jī)并沒有直接與所有三個(gè)節(jié)點(diǎn)通信,而是在與入口節(jié)點(diǎn)建立密鑰后,用 Kn1 對(duì)所有消息進(jìn)行加密,并通過入口節(jié)點(diǎn)將消息發(fā)送到中繼節(jié)點(diǎn)。這意味著中繼節(jié)點(diǎn)只知道入口節(jié)點(diǎn)而不知道使用者。同樣,使用者的計(jì)算機(jī)用 Kn2 和 Kn1 加密 DHE 消息,并將它們通過守衛(wèi)節(jié)點(diǎn)和中繼節(jié)點(diǎn)發(fā)送到退出節(jié)點(diǎn)。
不幸的是,在使用者了解Tor并開始使用它之后,監(jiān)控者開始審查與公開宣傳的Tor節(jié)點(diǎn) IP 的連接。為了安全,開發(fā)者開始運(yùn)行秘密的Tor網(wǎng)橋(私下替換公開宣傳的入口節(jié)點(diǎn)),并一次只向少數(shù)用戶提供小批量的服務(wù)。
對(duì)使用者來說,更糟糕的是,研究人員發(fā)現(xiàn)他們可以通過掃描整個(gè)IPv4空間來發(fā)現(xiàn)Tor網(wǎng)橋。
總之,對(duì)于使用者來說,這是一場(chǎng)持續(xù)的貓捉老鼠游戲。
Tor 的惡意和良性示例
使用Tor的用戶可以可能是壞人也可能是好人。不管怎樣,人們可能會(huì)使用Tor訪問受地理限制的內(nèi)容或規(guī)避政府的審查或機(jī)構(gòu)的內(nèi)容封鎖。例如,如果Tor流量沒有被阻止,高級(jí)URL過濾的客戶無法阻止使用Tor的員工規(guī)避基于分類的過濾。
Tor 還以其洋蔥服務(wù)而聞名。例如,Tor 有助于隱藏多個(gè)舉報(bào)人網(wǎng)站,用戶可以在這些網(wǎng)站上舉報(bào)其組織中的非法和不道德活動(dòng),而不必?fù)?dān)心遭到報(bào)復(fù)。洋蔥服務(wù)通過允許用戶僅使用Tor進(jìn)行連接來保護(hù)其 IP 地址的秘密。這個(gè)想法是,用戶和洋蔥服務(wù)都通過Tor連接,它們?cè)谥虚g的一個(gè)集合點(diǎn)(一個(gè)Tor節(jié)點(diǎn))相遇。雖然這些洋蔥服務(wù)的目的不一定是為了使非法活動(dòng)成為可能,但過去的研究發(fā)現(xiàn),Tor用戶建立了很大一部分或大部分用于非法目的的隱藏服務(wù)。然而,只有 6.7% 的Tor用戶連接到隱藏服務(wù)。與洋蔥服務(wù)相比,絕大多數(shù)用戶訪問不太可能是非法的那些網(wǎng)站。例如,超過 100 萬人使用Tor查看 Facebook 的隱藏服務(wù),該服務(wù)允許來自政府審查的地區(qū)的訪問。
攻擊者也可以利用Tor進(jìn)行他們的活動(dòng)。攻擊通常從偵察開始,攻擊者探索目標(biāo)的基礎(chǔ)設(shè)施并搜索潛在漏洞,例如,通過掃描開放的端口和運(yùn)行的服務(wù)。通過使用Tor,攻擊者可以隱藏他們的位置,并將他們的活動(dòng)分布到多個(gè)退出節(jié)點(diǎn)。
同樣,攻擊者可以使用Tor進(jìn)行攻擊的后續(xù)步驟,例如利用偵察期間發(fā)現(xiàn)的漏洞、更新目標(biāo)設(shè)備上的惡意代碼、命令和控制通信以及數(shù)據(jù)泄露。Tor的其他惡意用途包括 DoS 攻擊、虛假帳戶創(chuàng)建、垃圾郵件和網(wǎng)絡(luò)釣魚。
攻擊者以各種方式利用Tor進(jìn)行勒索軟件攻擊。在 Ryuk 和 Egregor 勒索軟件的示例中,名為 SystemBC 的初始遠(yuǎn)程訪問木馬 (RAT)使用Tor隱藏服務(wù)作為命令和控制通信的后門。在構(gòu)建木馬攻擊時(shí),使用Tor隱藏服務(wù)進(jìn)行命令和控制非常有用,因?yàn)檫@使得命令和控制難以取消并保持其可訪問性,除非使用各種安全產(chǎn)品阻止與Tor的連接。Gold Waterfall 攻擊組織在安裝 DarkSide 勒索軟件時(shí)也使用Tor進(jìn)行后門通信。Tor隱藏的基于服務(wù)的泄漏網(wǎng)站也被用來托管與 DarkSide 和Ranzy locker相關(guān)的被盜數(shù)據(jù)。此外,DoppelPaymer還利用Tor支付網(wǎng)站收取贖金。 Unit 42 最近發(fā)表了關(guān)于 Cuba勒索軟件和BlueSky Ransomware勒索軟件的研究,前者使用基于Tor隱藏服務(wù)的泄漏網(wǎng)站,后者發(fā)送勒索通知,指示目標(biāo)下載Tor瀏覽器,作為獲取文件訪問權(quán)的一部分。
Tor 的使用并不特定于針對(duì)服務(wù)器和個(gè)人計(jì)算機(jī)的惡意軟件。一種Android惡意軟件還使用Tor隱藏服務(wù)作為命令和控制服務(wù)器,使攻擊變得困難。
此外,研究人員發(fā)現(xiàn)Tor被用來發(fā)送各種惡意垃圾郵件,通常以評(píng)論和約會(huì)垃圾郵件的形式出現(xiàn)。研究人員還發(fā)現(xiàn),通過Tor發(fā)送的電子郵件可能包含嚴(yán)重的威脅,包括 AgentTesla RAT 的傳播、以 Adobe 為主題的網(wǎng)絡(luò)釣魚電子郵件和 Covid-19 貸款詐騙。
使用Tor的攻擊者是如何被抓住的?
雖然Tor提供了比許多其他解決方案更好的匿名性,但它并不完美。
2013 年,一名哈佛學(xué)生試圖通過發(fā)送炸彈攻擊來逃避他的期末考試。他通過Tor連接到一個(gè)匿名電子郵件提供商以隱藏他的身份。然后他使用這個(gè)電子郵件提供商發(fā)送炸彈攻擊。雖然他正確使用了 Tor,但當(dāng)他從哈佛的 wifi 網(wǎng)絡(luò)連接到Tor時(shí),他犯了一個(gè)大錯(cuò)誤。該生的錯(cuò)誤是Tor只隱藏了使用者所做的事情,而不隱藏使用Tor的事實(shí)。學(xué)校管理者從電子郵件的標(biāo)題中發(fā)現(xiàn)有人使用Tor發(fā)送電子郵件。他們從那個(gè)位置檢查了網(wǎng)絡(luò)日志,看看是否有學(xué)生在學(xué)校收到郵件的時(shí)間內(nèi)連接到 Tor。
臭名昭著的洋蔥服務(wù)“絲綢之路”(Silk Road)的創(chuàng)始人羅斯·烏布里希(Ross Ulbricht)也正確使用了洋蔥網(wǎng)絡(luò),但他在操作上犯了另一個(gè)錯(cuò)誤,導(dǎo)致他被捕。絲綢之路是當(dāng)時(shí)最著名的暗網(wǎng)市場(chǎng),賣家提供毒品、假鈔、偽造身份證件和槍支等商品。美國聯(lián)邦調(diào)查局(FBI)發(fā)現(xiàn),早些時(shí)候,有人用“薄荷糖”(Altoid)這個(gè)筆名四處推銷絲綢之路。8個(gè)月后,Ulbricht用這個(gè)筆名發(fā)布了招聘廣告,聯(lián)系人是rossulbricht@gmail[.]com ,以聘請(qǐng)一名 IT 專家,來幫助“一家由風(fēng)投支持的比特幣創(chuàng)業(yè)公司”。據(jù)報(bào)道,聯(lián)邦調(diào)查局隨后能夠訪問Ulbricht使用的 VPN 服務(wù)器的日志和谷歌訪問他的 Gmail 地址的日志。這兩項(xiàng)記錄都指向了舊金山的一家網(wǎng)吧,并導(dǎo)致了他的被捕。
攻擊者可以通過其他方法對(duì)Tor用戶進(jìn)行去匿名化,例如,通過使用 JavaScript 或設(shè)置非法Tor節(jié)點(diǎn)(現(xiàn)在可能正在現(xiàn)實(shí)世界中發(fā)生)。關(guān)鍵是,雖然Tor確實(shí)提供了一定程度的匿名性,但用戶可以通過操作錯(cuò)誤泄露他們的身份,或者如果追查者確定并擁有資源,他們可以被識(shí)別。
如何阻止攻擊者利用Tor
如何使用不同的方法來阻止攻擊者利用 Tor。標(biāo)記為 Part 1* 和 2* 的單元格表示需要同時(shí)使用這兩種解決方案來保護(hù)企業(yè)。
要阻止進(jìn)出Tor網(wǎng)絡(luò)的流量,我們可以阻止公開發(fā)布的TorIP,或者識(shí)別和阻止Tor應(yīng)用程序流量。上圖總結(jié)了每種阻止機(jī)制的示例。首先,我們可以使用已知退出節(jié)點(diǎn) IP 列表來阻止來自Tor的攻擊,例如偵察、利用、命令和控制通信、數(shù)據(jù)泄露和 DoS 攻擊。使用已知保護(hù)節(jié)點(diǎn) IP 列表,我們可以阻止我們的用戶及其設(shè)備向Tor發(fā)送流量,并防止數(shù)據(jù)泄露、命令和控制通信、規(guī)避地理限制和內(nèi)容阻止以及訪問 .onion 網(wǎng)站。
由于Tor網(wǎng)橋節(jié)點(diǎn)列表未知,基于保護(hù)節(jié)點(diǎn) IP 的阻止只是部分解決方案。相反,我們可以使用 Palo Alto Networks 流量分類系統(tǒng) App-ID 直接檢測(cè)和阻止Tor流量。除了使用可用的保護(hù)和橋接節(jié)點(diǎn) IP,App-ID 還會(huì)查看連接的特征,例如使用的密碼套件或數(shù)據(jù)包的大小來識(shí)別Tor流量。
此外,攻擊者可以從Tor網(wǎng)絡(luò)或受感染的設(shè)備發(fā)起數(shù)據(jù)泄露以及命令和控制通信。因此,要阻止這些攻擊,最好同時(shí)使用基于退出IP 和基于流量分析的阻止。
Palo Alto Networks 收集所有公開宣傳的Tor退出IP,并利用它們建立一個(gè)電路來測(cè)試它們是否有效。已知且有效的Tor退出列表構(gòu)成了Palo Alto Networks 預(yù)定義的Tor退出IP 外部動(dòng)態(tài)列表。
使用Tor退出 IP 外部動(dòng)態(tài)列表和 App-ID,研究人員觀察到企業(yè)使用Tor很常見,因?yàn)槲覀冊(cè)谝粋€(gè)月內(nèi)確定了 204 個(gè)客戶網(wǎng)絡(luò)中 691 臺(tái)設(shè)備上的 6617473 個(gè)會(huì)話。
除了阻止Tor流量外,企業(yè)還可以利用 Cortex XDR 等端點(diǎn)保護(hù)來覆蓋基于Tor的攻擊。 Cortex XDR 基于用戶和實(shí)體行為分析 (UEBA)、端點(diǎn)檢測(cè)和響應(yīng) (EDR)、網(wǎng)絡(luò)檢測(cè)和響應(yīng) (NDR) 以及云審計(jì)日志來檢測(cè)以下活動(dòng):
與Tor中繼服務(wù)器的可能網(wǎng)絡(luò)連接;來自Tor的成功 VPN 連接;從Tor成功登錄;來自Tor退出節(jié)點(diǎn)的可疑 API 調(diào)用;來自Tor的 SSO 成功登錄。總結(jié)
Tor 為其用戶提供匿名性,不過匿名性經(jīng)常被不法分子利用,一方面,Tor 可以幫助人們改善隱私和保護(hù)舉報(bào)人。另一方面,Tor 可用于各種惡意活動(dòng),包括匿名偵察、數(shù)據(jù)盜竊、逃避地理限制、規(guī)避內(nèi)容阻止以及在暗網(wǎng)上運(yùn)行非法市場(chǎng)。
由于網(wǎng)絡(luò)犯罪分子經(jīng)常將Tor用于惡意目標(biāo),因此建議在企業(yè)環(huán)境中禁止使用Tor。根據(jù)調(diào)查,企業(yè)使用Tor很常見,研究人員在一個(gè)月內(nèi)發(fā)現(xiàn)了 204 個(gè)客戶網(wǎng)絡(luò)上的 691 臺(tái)設(shè)備的 6617473 個(gè)會(huì)話。
Palo Alto Networks 提供了兩種用于阻止Tor流量的解決方案,作為攻擊預(yù)防的一部分,最好一起使用。他們向客戶提供經(jīng)過驗(yàn)證的內(nèi)置Tor退出IP 外部動(dòng)態(tài)列表,他們可以使用該列表來阻止與Tor退出節(jié)點(diǎn)的連接。此外,可以使用 Palo Alto Networks 流量分類系統(tǒng) App-ID 阻止企業(yè)網(wǎng)絡(luò)中的Tor流量。此外,客戶可以利用 Cortex XDR 來提醒和響應(yīng)端點(diǎn)設(shè)備、網(wǎng)絡(luò)或云中的Tor相關(guān)活動(dòng)。
本文翻譯自:https://unit42.paloaltonetworks.com/tor-traffic-enterprise-networks/
標(biāo)簽: