專案作者
在其活動高峰期,該惡意組織由約 380 個節點組成。 透過根據具有惡意活動的伺服器上指定的聯絡電子郵件來連結節點,研究人員能夠識別出至少 9 個不同的惡意退出節點集群,這些節點已經活躍了大約 7 個月。 Tor 開發人員試圖阻止惡意節點,但攻擊者很快又恢復了活動。 目前,惡意節點數量有所減少,但仍有超過10%的流量經過它們。
從惡意出口節點上記錄的活動可以看出選擇性刪除重定向
當最初透過 HTTP 存取未加密的資源時,將其轉換為 HTTPS 版本的站點,這允許攻擊者在不替換 TLS 憑證的情況下攔截會話內容(「ssl 剝離」攻擊)。 此方法適用於鍵入網站位址而未在網域前明確指定「https://」的用戶,且開啟頁面後不關注 Tor 瀏覽器網址列中的協定名稱。 為了防止阻止重新導向到 HTTPS,建議網站使用
為了難以識別惡意活動,選擇性地在個別網站上進行替換,主要與加密貨幣相關。 如果在不受保護的流量中偵測到比特幣地址,則會對流量進行更改以替換比特幣地址並將交易重定向到您的錢包。 惡意節點由託管普通 Tor 節點的熱門供應商託管,例如 OVH、Frantech、ServerAstra 和 Trabia Network。
來源: opennet.ru