Tor代理通過替換比特幣地址將勒索贖金歸為己有
概要
近日,Proofpoint的安全研究人員發現了一種新的竊取他人比特幣的方法,即利用Tor代理(onion[.]top)來竊取比特幣。據了解,該代理運營商通過修改用於支付的網頁來源,偷偷地將由勒索軟體作者控制的比特幣地址換成自己的比特幣錢包地址。
背景:Tor代理
大部分勒索軟體都會要求受害者向其支付一定的贖金,而想要完成支付受害者往往需要訪問Tor.onion類型的網站。由於大多數用戶通常都沒有安裝Tor瀏覽器,因此他們可能會使用Tor代理,一些勒索軟體在勒索提示信息中也會建議受害者使用Tor代理。Tor代理是將Tor流量轉換為正常網路流量的常規網站。然而,使用Tor代理並不安全。由於Tor代理運營商掌控著代理伺服器的所有權,因此所有的網頁來源都有可能被運營商攔截和替換。
Tor代理的使用也非常簡單。用戶只需在nion URL後添加一個簡單的擴展後綴,即可實現在普通常規瀏覽器中的洋蔥訪問。例如訪問:hxxps://robusttldkxiuqc6[.]onion/,使用Tor代理就可以在任何瀏覽器中以該格式訪問:hxxps://robusttldkxiuqc6[.]onion[.]to/。
通過谷歌搜索關鍵字「Tor gateway」或「Tor Proxy」 ,可以找到許多關於Tor的代理服務。從搜索結果可以看到onion[.]top代理排在了第一位,這也是最受歡迎的提供商之一。要使用他們的服務,用戶只需在.onion URL後添加.top擴展名即可。
LockerR
Proofpoint的安全研究人員最初是在一款名為LockeR的勒索軟體支付信息上,發現該比特幣偷盜方法的。LockeR勒索軟體的作者在其支付界面敦促受害者不要使用onion.top支付他們的贖金(如圖)。
在不久前安全研究人員已經發現了一種具有類似行為的Evrial木馬。該木馬可以監視Windows中某些文本的剪貼板,並替換剪貼板內容盜取用戶信息,特別是加密貨幣和Steam交易的支付地址和URL。
LockeR是在去年10月份被披露的。我們比較了通過Tor瀏覽器和.top Tor代理瀏覽過的同一個LockerR支付網站,結果正如我們所預期的,通過onion.top訪問的頁面中比特幣地址已被替換(如圖)。
在上圖的左側,Tor瀏覽器顯示的比特幣地址為LockeR的正確支付地址,而在右側通過.top Tor代理顯示的支付地址則為代理商替換地址。
GlobeImposter
此外,我們測試了另一款流行的勒索軟體GlobeImposter。
同樣從上圖對比我們可以看到,Tor瀏覽器顯示的比特幣地址為GlobeImposter的正確支付地址,而在右側通過.top Tor代理顯示的支付地址則為代理商替換地址。仔細觀察你會發現,此時的替換地址與LockerR的替換地址並不相同。
Sigma
最後,我們還測試了Sigma勒索軟體。
最終測試結果也毫無例外是相同的。不過有趣的是我們發現Sigma被替換的地址與GlobeImposter是相同的(1Q64uWnKMUoZ6G7BSrH77xdrewMou2zGpU)。
轉移比特幣贖金
我們檢查了替換比特幣地址,以確定代理運營商盜取的比特幣數額。我們發現比特幣地址為13YFjj7WqWY5Un7Pgw1VdrpceHpn5BTZdp的共有0.15 BTC的轉帳(截至發布時該地址收到的比特幣總價值為1661美元,如下圖)。而另外一個比特幣地址1Q64uWnKMUoZ6G7BSrH77xdrewMou2zGpU共有1.82 BTC轉帳(截至發布時該地址收到的比特幣總價值為20,154美元,如下圖)。
雖然如此,但我們也發現.onion.top並沒有將所有使用其代理的勒索軟體的比特幣地址做更換。例如BitPaymer在我們的測試中就沒發現地址被替換。
勒索軟體的開發者也意識到了這一行為,並試圖通過「用戶教育」和技術手段來解決這一問題。
例如,當LockeR第一次被觀察到時,勒索軟體的開發者們並沒有發現代理商的這一行為,甚至在他們的贖金支付信息中包含了.onion.top鏈接。而在之後他們則刪除了.top鏈接,並用紅色字體警告用戶不要使用onion.top。
Magniber勒索軟體通過將比特幣地址在HTML源碼中分成四個部分,使得代理難以檢測比特幣地址匹配模式(如圖):
GlobeImposter勒索軟體則敦促用戶使用Tor瀏覽器,並將.onion付款地址隱藏在注釋中進行混淆處理,當用戶單擊按鈕運行時再做反混淆處理。
總結
儘管onion.top的運營商似乎還沒有從勒索軟體受害者那裡竊取大量的比特幣,但由於大部分受害者都使用Tor代理來代替Tor瀏覽器,這無疑會對那些試圖通過支付贖金來解密文件的用戶代理巨大影響,並破壞了勒索軟體業務的可信關係,進一步增加了受害者的風險。同時,該案例也從側面反映出了現今針對加密貨幣盜取活動的廣泛趨勢。加密貨幣市場的持續波動以及對Tor網路興趣的增加可能會進一步推動Tor代理商的潛在濫用行為,給新用戶帶來額外的風險。
參考
[1] https://www.pcrisk.com/removal-guides/11947-locker-ransomware
[2] https://blog.fortinet.com/2017/08/05/analysis-of-new-globeimposter-ransomware-variant
[3] https://blog.trendmicro.com/trendlabs-security-intelligence/magnitude-exploit-kit-now-targeting-korea-with-magniber-ransomware/
IOCs
IOC | IOC Type | Description | ||
|---|---|---|---|---|
| 7cf39ebb4409b13a7c153abff6661cc4d28d8d7109543d6419438ac9f2f1be57 | SHA256 | LockeR ransomware | ||
| lockerrwhuaf2jjx[.]onion | Domain | LockeR ransomware C&C | ||
| ae0d28e8d57329866624ec6cf63b9609fe9e685200029d3aa207eda67747fcd7 | SHA256 | GlobeImposter ransomware | ||
| bcwfga5ssxh3jrlp.onion | Domain | GlobeImposter ransomware C&C | ||
| 8f66bb494b3fc3063b18a18a51c7b85da90dc1bb429ded21e7dbb02b404d3831 | SHA256 | Sigma ransomware | ||
| yowl2ugopitfzzwb[.]onion | Domain | Sigma ransomware C&C | ||
| onion[.]top | 46.246.120.179 | Domain | IP | onion[.]top Tor Gateway |
*參考來源:proofpoint
,FB小編 secist 編譯,轉載請註明來自FreeBuf.COM
※2017年Google與不良應用和惡意開發者都做了哪些鬥爭
※朝鮮又中槍,近期Adobe Flash 0-Day攻擊幕後黑手竟然是他?
TAG:FreeBuf |