SHA1碰撞衍生出的BitErrant攻击

本文将给大家介绍BitErrant攻击,这是由SHA1碰撞衍生出来的一种攻击技术,当SHA1碰撞成为现实,一切皆有可能发生。

BitErrant是一种非常有意思的攻击技术,它给我们展示了当SHA1碰撞成为现实之后,BitTorrent协议会出现怎样的错误。SHA1碰撞不仅会导致已下载文件中的数据块被替换成完全不同的内容,而且还有可能使下载文件崩溃,有时甚至还能触发后门功能。当目标用户使用BitTorrent协议来下载可执行文件时,攻击者将可以通过修改数据块来改变可执行文件的执行路径。这一切多亏了Google和CWI的安全研究专家,如果没有SHAttered攻击的话,SHA1碰撞也无法成为了现实。

PoC

我们在这里提供了两个功能不同的EXE文件(即一个正常文件和一个恶意文件,恶意文件中包含一个meterpreter,它可以监听所有的接口),并且全部压缩在了一个压缩包内。【种子文件biterrant_poc.zip<点击文末阅读原文按钮下载>】

密码:biterrant.io SHA1: eed49a31e0a605464b41df46fbca189dcc620fc5

除此之外,我们还给大家提供了一个GitHub库(点击文末阅读原文按钮下载)来告诉大家如何去生成这样的可执行文件。

BitTorrent的工作机制

通过BitTorrent来发布文件的第一步就是利用原始文件(DATA。)来生成一个“.torrent”文件。在这一步中,首先要将文件切分成固定大小的数据块,然后计算每一个数据块的SHA1哈希。计算完所有的数据块之后,再将所有的哈希字节连接起来并存储在种子文件的“pieces”字典密钥中。

当用户尝试通过BitTorrent下载数据文件时,首先要下载并解析“DATA.torrent”文件。客户端需要根据DATA.torrent文件中存储的信息来搜索peer并下载原始文件(DATA)的数据块。为了确保恶意peer无法发送恶意数据,客户端需要根据DATA.torrent文件中存储的哈希数据来验证每一个下载下来的区块。如果种子文件中的哈希数据与已下载数据块中的SHA1哈希无法匹配的话,那么无效的数据块将会被丢弃。

恶意意图

攻击者可以创建一个在执行过程中看起来无害的可执行文件,但是这个文件可以根据SHATTER域中的数据来修改其执行路径。当然了,反病毒软件在检测这种文件时是不会报毒的,因为恶意文件已经将恶意代码隐藏在一个加密数据块之内了,而这些恶意代码是不会被执行的,但真的是这样吗?

如果攻击者有两个SHA1哈希相同的数据块,那么攻击者就有可能用不同的数据生成两个不同的可执行文件并放在同一个的.torrent文件中(需要考虑一些约束条件)。

如果之前所提到的那些约束条件都能够满足,那么现在这两个不同的可执行文件中就会有一个数据块的数据是可以相互替换的。还记得之前存储在加密数据块中的恶意代码么?此时,攻击者就可以将这个数据块中的数据替换成能够触发那些恶意代码的数据了。

比如说,shatter-2.pdf中的数据是用来触发恶意代码的,shatter-1.pdf的数据是用来分发的。在下载的过程中,攻击者可以用shatter-2.pdf来做种,然后替换替换其中的一个数据块并在目标客户端中解密并执行shellcode。

常见问题解答

这个问题很严重吗?

目前来说还不是很严重。不过在这项技术得到广泛应用之后,我可能还会更正这个问题的答案。

如何保护自己?

当你下载完成了一个文件之后,一定要验证这个文件的MD5或SHA256哈希,一般的网站在提供种子文件时都会提供相应的验证值。还有一种方法,就是在生成种子文件时将完整数据文件的MD5值一起包含在里面,但是这种方法一般都不会采用,因为并非所有的Torrent客户端都支持这种形式的文件。

本文分享自微信公众号 - FreeBuf(freebuf)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2017-03-25

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏企鹅号快讯

“刷脸取款”来了,要和银行卡说“再见”?

黑客可以不需要你的人脸生物特征数据,就能完成人脸进行身份认证,这就对“刷脸取款”提出了更高的安全要求。 ? 消费者在农业银行取款机前体验“刷脸取款”。 图/视...

22490
来自专栏企鹅号快讯

潜伏17年0day漏洞被发现威胁Office全版本 1123台利盟打印机在线暴露

2017.12.22 周五 安全资讯 资讯要点 网络安全公司 FireEye 和 Dragos 于上周报道称,新型恶意软件 Triton 和 Trisis通过破...

245100
来自专栏FreeBuf

应用安全思维系列之一:如何保护密码才安全

【本文背景】 近几年,国内一些企业的后台用户信息被黑客公布,相信大家都有耳闻,这只是公布了的,没公布的呢?还有多少,你想想诸多中国互联网企业保存了多少用户的数...

20550
来自专栏企鹅号快讯

2018年全球网络安全威胁或呈现十大趋势

●●● Tencentccc ? 题图 | 网络 来源 | 《中国经济时报》 “ 在即将过去的一年中,网络罪犯不断提升他们的专业技术,突破网络防御,在全球造成了...

24850
来自专栏企鹅号快讯

比特币挖矿木马疯狂敛财 有僵尸网络获利超300万

原标题:比特币走高 致“挖矿”木马疯狂敛财 一个僵尸网络获利超300万人民币 段郴群 网络安全提醒 广州日报讯 (全媒体记者 段郴群)用户电脑突然出现计卡顿或者...

24250
来自专栏企鹅号快讯

就中国电讯产业进入菲国 总统府:菲正加强网络安全措施

【菲律宾世界日报专讯】就中国企业进入菲律宾电讯产业,带来的对国家安全风险的担忧,总统府发言人周四说,菲律宾在加强网络安全的措施。 一些参议员说,允许中国的国有背...

20080
来自专栏FreeBuf

FireHost发布2013年第二季度排名前四的攻击方法

本周二,云托管公司FireHost公布了2013年第二季度排名前四的攻击方法,分别是跨站脚本攻击(XSS)、目录遍历、SQL注入、跨站请求伪造(CSRF)。 F...

21360
来自专栏企鹅号快讯

比特币走高致“挖矿”木马疯狂敛财

原标题:比特币走高 致“挖矿”木马疯狂敛财 网络安全提醒 广州日报讯 (全媒体记者 段郴群)用户电脑突然出现计卡顿或者运行慢,甚至死机等情况,严重影响用户计算机...

22290
来自专栏企鹅号快讯

全球最大网络袭击——原来凶手就是你!

[导语] 当地时间20日,白宫第一次正式宣布,确认今年早些时候造成全球计算机系统瘫痪的网络袭击Wanna-cry的幕后黑手是朝鲜政府,并对金正恩政权进行了严厉谴...

21060
来自专栏FreeBuf

震网的秘密兄弟(一)

从震网病毒发现到现在已经3年多了,作为第一个被曝光的网络武器,时至今日依然让军事战略家,信息安全专家,政治决策者和广大的公众对它感到迷惑不解。我们已经听过它的故...

20770

扫码关注云+社区

领取腾讯云代金券

年度创作总结 领取年终奖励