Russischer Tor-Server schleuste Malware in Programme
Ein russischer Exit-Server hat im anonymen Tor-Netzwerk Binärdateien während der Übertragung manipuliert und mit Malware verseucht.
Das Tor-Netzwerk gilt als Standard für anonymen Informationsaustausch im Internet. Doch Anonymität garantiere keine Sicherheit, warnt Josh Pitts in einem Blogpost: Der Sicherheitsexperte hat im Tor-Netzwerk einen russischen Austritts-Server (exit node) entdeckt, der Windows-Binärdateien während der Übertragung manipuliert und mit Malware verseucht.
Der betroffene Server hätte unkomprimierte PE-Dateien verändert, schreibt Pitts. Das können also exe- und dll-Dateien sein. Inzwischen steht der Server auf der Blacklist des Tor-Projekts und ist mit einem BadExit-Flag versehen.
In einer Präsentation auf der diesjährigen Security-Konferenz DerbyCon hatte Pitts bereits gezeigt, wie einfach Veränderung von Binärdateien mit Hilfe seines Frameworks Backdoor Factory (BDF) und dem BDFProxy funktionieren. Der Sicherheitsexperte vermutete, dass diese Art von Attacken bereits in Verwendung seien. Mit dem Scanner exitmap machte sich Pitts im Tor-Netzwerk auf die Jagd nach Exit-Servern, die Binärdateien "on the fly" verändern und verseuchen. Nach einer Stunde fand das Tool den "malicous exit node". Doch nur dieser eine von 1110 Exit-Servern hat laut Pitts Dateien mit Malware verseuchte. Trotzdem könne es weitere Ausgangsserver geben, die Dateien manipulieren.
Unternehmen und Entwickler sollten zum Schutz ihre Programme via SSL/TLS verschlüsseln – unabhängig davon, ob die Binärdateien zusätzlich signiert seien oder nicht. Tor-Nutzer sollten beim unverschlüsselten Download ausführbarer Dateien Vorsicht walten lassen sowie auf korrekte Hashes und Signaturen achten, bevor sie die heruntergeladenen Dateien ausführen, schreibt Pitts. (dbe)