Zews321
Начинающий
- Регистрация
- Сообщения
- 9
- Реакции
- 0
Деанонимизация пользователей TOR через файлы-приманки
Какой бы банальной и очевидной не казалась вам эта атака, с ее помощью удалось вычислить огромное количество кибер преступников.
Особенности данной атаки – простота и эффективность против пользователей TOR браузеров.
TOR дает максимальную анонимность среди всех инструментов для сокрытия своего подлинного IP-адреса. Если пользователя VPN или proxy можно вычислить благодаря запросам, сопоставлению соединений, через сторонние сайты и другими методами, то в случае с TOR это все не работает.
Обычно кибер преступник ставит себе TOR браузер и сразу получает высочайший уровень анонимности «в пакете». К его деанонимизации может привести только его глупость, допущенная ошибка, очень сложная в реализации атака (вроде Cross-device tracking) либо уязвимость в Tor сети или Tor браузере.
Уязвимости встречаются нечасто, но исключать их не стоит. Так, благодаря одной из уязвимостей были деанонимизированы и арестованы более 900 посетителей сайта с детской порнографией PlayPen. Все они использовали TOR, но это не спасло педофилов от ФБР и правосудия.
PlayPen, скорее, исключение из правил, и кибер преступники, используя TOR, чувствуют себя в безопасности. Но вот кибер преступник сталкивается с документом Word (или PDF), который ему прислали и который в его интересах открыть.
Он качает его, проверяет на Virustotal и запускает на виртуальной машине. Документ не проявляет никакой вредоносной активности, он только соединяется с сервером и тем самым отправляет на него IP-адрес кибер преступника. Виртуальная машина по умолчанию не блокирует соединения, а анонимность TOR браузера распространяется только на сайты, открываемые в нем.
Даже если кибер преступник использует VPN и настроил его так, что соединения в обход него невозможны, в руках правоохранительных органов окажется IP-адрес коммерческого VPN-сервиса. Остается направить запрос и получить подлинные данные – это не самая сложная задача. Таким образом были вычислены многие известные хакеры, включая Коди Кретсингера из хакерской группировки LulzSec.
Для соединения с сервером необходимо открытие файла-приманки на компьютере жертвы, простое скачивание не приведет к результату. Еще раз обращаю внимание, что с высокой вероятностью всевозможные проверки файла сочтут приманку безопасной, в целом такой она и является: соединение с сервером – это не вредоносный функционал.
Защититься от данного метода деанонимизации можно, открывая подобные документы в виртуальной операционной системе Whonix. Whonix исключает соединения в обход сети TOR. Если файл открывается в песочнице, необходимо убедиться, что песочница предотвращает все внешние соединения открываемых в ней объектов. Либо можно полностью отказаться от открытия у себя на компьютере каких-либо файлов.
