Tor代理通过替换比特币地址将勒索赎金归为己有
概要
近日,Proofpoint的安全研究人员发现了一种新的窃取他人比特币的方法,即利用Tor代理(onion[.]top)来窃取比特币。据了解,该代理运营商通过修改用于支付的网页来源,偷偷地将由勒索软件作者控制的比特币地址换成自己的比特币钱包地址。
背景:Tor代理
大部分勒索软件都会要求受害者向其支付一定的赎金,而想要完成支付受害者往往需要访问Tor.onion类型的网站。由于大多数用户通常都没有安装Tor浏览器,因此他们可能会使用Tor代理,一些勒索软件在勒索提示信息中也会建议受害者使用Tor代理。Tor代理是将Tor流量转换为正常网络流量的常规网站。然而,使用Tor代理并不安全。由于Tor代理运营商掌控着代理服务器的所有权,因此所有的网页来源都有可能被运营商拦截和替换。
Tor代理的使用也非常简单。用户只需在nion URL后添加一个简单的扩展后缀,即可实现在普通常规浏览器中的洋葱访问。例如访问:hxxps://robusttldkxiuqc6[.]onion/,使用Tor代理就可以在任何浏览器中以该格式访问:hxxps://robusttldkxiuqc6[.]onion[.]to/。
通过谷歌搜索关键字“Tor gateway”或“Tor Proxy” ,可以找到许多关于Tor的代理服务。从搜索结果可以看到onion[.]top代理排在了第一位,这也是最受欢迎的提供商之一。要使用他们的服务,用户只需在.onion URL后添加.top扩展名即可。
LockerR
Proofpoint的安全研究人员最初是在一款名为LockeR的勒索软件支付信息上,发现该比特币偷盗方法的。LockeR勒索软件的作者在其支付界面敦促受害者不要使用onion.top支付他们的赎金(如图)。
在不久前安全研究人员已经发现了一种具有类似行为的Evrial木马。该木马可以监视Windows中某些文本的剪贴板,并替换剪贴板内容盗取用户信息,特别是加密货币和Steam交易的支付地址和URL。
LockeR是在去年10月份被披露的。我们比较了通过Tor浏览器和.top Tor代理浏览过的同一个LockerR支付网站,结果正如我们所预期的,通过onion.top访问的页面中比特币地址已被替换(如图)。
在上图的左侧,Tor浏览器显示的比特币地址为LockeR的正确支付地址,而在右侧通过.top Tor代理显示的支付地址则为代理商替换地址。
GlobeImposter
此外,我们测试了另一款流行的勒索软件GlobeImposter。
同样从上图对比我们可以看到,Tor浏览器显示的比特币地址为GlobeImposter的正确支付地址,而在右侧通过.top Tor代理显示的支付地址则为代理商替换地址。仔细观察你会发现,此时的替换地址与LockerR的替换地址并不相同。
Sigma
最后,我们还测试了Sigma勒索软件。
最终测试结果也毫无例外是相同的。不过有趣的是我们发现Sigma被替换的地址与GlobeImposter是相同的(1Q64uWnKMUoZ6G7BSrH77xdrewMou2zGpU)。
转移比特币赎金
我们检查了替换比特币地址,以确定代理运营商盗取的比特币数额。我们发现比特币地址为13YFjj7WqWY5Un7Pgw1VdrpceHpn5BTZdp的共有0.15 BTC的转帐(截至发布时该地址收到的比特币总价值为1661美元,如下图)。而另外一个比特币地址1Q64uWnKMUoZ6G7BSrH77xdrewMou2zGpU共有1.82 BTC转帐(截至发布时该地址收到的比特币总价值为20,154美元,如下图)。
虽然如此,但我们也发现.onion.top并没有将所有使用其代理的勒索软件的比特币地址做更换。例如BitPaymer在我们的测试中就没发现地址被替换。
勒索软件的开发者也意识到了这一行为,并试图通过“用户教育”和技术手段来解决这一问题。
例如,当LockeR第一次被观察到时,勒索软件的开发者们并没有发现代理商的这一行为,甚至在他们的赎金支付信息中包含了.onion.top链接。而在之后他们则删除了.top链接,并用红色字体警告用户不要使用onion.top。
Magniber勒索软件通过将比特币地址在HTML源码中分成四个部分,使得代理难以检测比特币地址匹配模式(如图):
GlobeImposter勒索软件则敦促用户使用Tor浏览器,并将.onion付款地址隐藏在注释中进行混淆处理,当用户单击按钮运行时再做反混淆处理。
总结
尽管onion.top的运营商似乎还没有从勒索软件受害者那里窃取大量的比特币,但由于大部分受害者都使用Tor代理来代替Tor浏览器,这无疑会对那些试图通过支付赎金来解密文件的用户代理巨大影响,并破坏了勒索软件业务的可信关系,进一步增加了受害者的风险。同时,该案例也从侧面反映出了现今针对加密货币盗取活动的广泛趋势。加密货币市场的持续波动以及对Tor网络兴趣的增加可能会进一步推动Tor代理商的潜在滥用行为,给新用户带来额外的风险。
参考
[1] https://www.pcrisk.com/removal-guides/11947-locker-ransomware
[2] https://blog.fortinet.com/2017/08/05/analysis-of-new-globeimposter-ransomware-variant
[3] https://blog.trendmicro.com/trendlabs-security-intelligence/magnitude-exploit-kit-now-targeting-korea-with-magniber-ransomware/
IOCs
IOC | IOC Type | Description | ||
|---|---|---|---|---|
7cf39ebb4409b13a7c153abff6661cc4d28d8d7109543d6419438ac9f2f1be57 | SHA256 | LockeR ransomware | ||
lockerrwhuaf2jjx[.]onion | Domain | LockeR ransomware C&C | ||
ae0d28e8d57329866624ec6cf63b9609fe9e685200029d3aa207eda67747fcd7 | SHA256 | GlobeImposter ransomware | ||
bcwfga5ssxh3jrlp.onion | Domain | GlobeImposter ransomware C&C | ||
8f66bb494b3fc3063b18a18a51c7b85da90dc1bb429ded21e7dbb02b404d3831 | SHA256 | Sigma ransomware | ||
yowl2ugopitfzzwb[.]onion | Domain | Sigma ransomware C&C | ||
onion[.]top | 46.246.120.179 | Domain | IP | onion[.]top Tor Gateway |