Xakep #305. Многошаговые SQL-инъекции
Количество пользователей Tor долгое время оставалось стабильным на уровне 500 тыс. человек, но в августе начало резко расти. Всего за несколько дней аудитория увеличилась до 1,2 млн. Это количество ежесуточных запросов к одному из нескольких сотен зеркал со списком рилеев — работающих узлов, через которые пропускается трафик. Клиент Tor должен регулярно обновлять этот список, так что по количеству обращений можно косвенно судить об активной аудитории Tor.
Оптимисты высказали предположение, что рост популярности Tor связан с выходом PirateBrowser — браузера со встроенным клиентом Tor, который выпустил популярный портал The Pirate Bay.
Впрочем, выпуск браузера и всплеск популярности слегка не совпадали по срокам. Кроме того, в последующие дни трафик Tor продолжил расти буквально фантастическими темпами. На вышеупомянутых 1,2 млн он не остановился. К 5 сентября аудитория выросла до 2,5 млн, то есть в пять раз по сравнению с серединой августа.
Естественно, этот феномен заинтересовал сообщество. За прошедшие дни проверялись разные версии, но ни одного логичного объяснения не нашлось. «Не похоже на то, что новые клиенты используют Tor для направления трафика на внешние узлы (веб-сайты), — говорится в официальном сообщении проекта Tor. — Судя по имеющейся информации, они связываются только со скрытыми сервисами — в логах рилеев часто можно увидеть сообщения "Received an ESTABLISH_RENDEZVOUS request", но в точках выхода нет значительного роста трафика. Единственным правдоподобным объяснением кажется то, что это ботнет, который работает под управлением командного центра (Command and Control (C&C)), установленного как скрытый сервис».
Исследователи Fox IT утверждают, что ботнет принадлежит русскоязычным злоумышленникам. Образец вредоносного программного обеспечения можно изучить здесь:
hxxp://olivasonny.no-ip.biz/attachments/tc.c1
В ситуации, когда в сеть хлынули миллионы новых клиентов версии 0.2.3.25, администраторы Tor рекомендуют пользователям обновиться до версии Tor 0.2.4.17-rc, в которой рукопожатия NTor имеют приоритет над старыми TAP, которые используются в клиентах 0.2.3.x, так что нормальные пользователи получат приоритет над ботнетом, а нагрузка на сеть уменьшится за счет более эффективных вычислений при расчете маршрутизации. Остается надеяться, что владельцы ботнета не сделают такой апгрейд, иначе придется использовать другие методы для обеспечения устойчивости сети.
Параллельно нужно искать специфические характеристики трафика ботнета, чтобы блокировать его и изгнать из сети Tor.
Администраторы проекта Tor подчеркивают, что со стороны владельцев ботнета с миллионами клиентов глупо прятаться в сети из 4000 рилеев Tor. Им бы лучше использовать собственную P2P-сеть, потому что Tor не очень подходит для их нужд.