超过23%的ToR出口中继由单个恶意攻击者操作

2019年12月，我写了一篇关于Tor网络上日益严重的恶意中继问题的文章，目的是提高人们的意识，并随着时间的推移改善这种情况。不幸的是，情况非但没有改善，反而变得更加糟糕，特别是当涉及到恶意Tor退出中继活动时。

ToR出口中继是3个中继链中的最后一跳，也是唯一可以看到Tor浏览器用户选择的实际目的地的连接的中继类型。用户使用的协议(即HTTP与HTTPS)决定恶意退出中继是否可以实际看到并操纵传输的内容。

在这篇文章中，我想给你一个2020年前7个月恶意Tor中继情况的更新，通过观察一个持续关注的大规模恶意行为。它再次证明，目前的检查不足以防止如此大规模的攻击。

到目前为止，就恶意Tor退出中继活动而言，2020年可能是我大约5年前开始监测以来最糟糕的一年。据我所知，这是我们第一次发现恶意行为者运行超过整个Tor网络出口容量的23%。这意味着大约每4个离开Tor网络的连接中就有一个通过由单个攻击者控制的出口中继。

图1显示了ToR网络出口容量的累积部分由恶意行为者控制，以及有多少已确认的恶意中继正在并发运行(超过380个中继时达到峰值)。图1还告诉我们，我们在2020-05-22攻击高峰期打开了Tor浏览器，您有23.95%的机会最终选择攻击者控制的Tor退出中继。由于Tor客户端通常会随着时间的推移使用许多Tor出口中继，因此使用恶意出口中继的机会会随着时间的推移而增加。

图1中的中继计数行显示，他们在大型垃圾中添加了中继，这使OrNetRadar(中继组检测器)有机会检测到它们，并且在多个情况下都检测到了它们(请参见附录)。最值得注意的是，你可以在2020年3月看到中继数量的激增。在2020-03-16，OrNet雷达和Tor项目的Sybil攻击检测报告了超过150个新中继的突然激增。在这么短的时间内基本上从来没有发生过的事情。他们当时被删除，但在恶意操作员联系坏中继邮件列表并配置所谓的“我的家庭”设置以声明自己为一个组后，3天后允许他们加入网络。目前，对于运行如此庞大的ToR继电器群没有进一步的要求。

图1中的3个急剧下降(标记为1、2、3)描述了Tor目录机构检测到、报告某些恶意ToR出口并将其从网络中删除时的事件。这也向我们展示了恶意实体从单个删除事件中恢复的速度有多快，而且我们没有同时检测到所有删除事件。他们在移除后用了不到30天的时间就恢复了，并再次达到了22%的退出概率(从4%开始)。这也给了我们一个想法，他们显然不会在被发现一次后退缩。事实上，他们似乎提前计划了检测和移除，并先发制人地设置了新的继电器，以避免他们的操作完全停止。

临时移除事件为他们提供了一次培训，随后的所有继电器大概都有完美的My Family配置，但有一个重要的警告：他们没有宣布所有的继电器都在一个组中，而是假装成多个中继组，而不是直接将它们联系在一起。这是他们从一开始就遵循的战略(2020年1月)。图2按家庭联系信息显示了他们的退出概率(堆叠图)。

图3显示了此特定参与者按给定中继ContactInfo操作的恶意出口中继的数量(堆积图)。

联系信息可以由中继操作员任意设置，因此需要谨慎对待此信息，但由于这些电子邮件地址中的多个与Tor项目的不良中继邮件列表交互，因此可以确定所有这些地址实际上都存在，并且由恶意中继操作员控制。他们甚至冒充联邦调查局，创建了一个地址“fbirelays@…”。(此电子邮件地址从未用于联系坏中继邮件列表。不，我不相信FBI与这些接力有任何关系)。我们可以看到，攻击者喜欢使用常见的电子邮件提供商(Hotmail、ProtonMail和Gmail)。

恶意中继分析的一个关键问题始终是：他们使用了哪些托管公司？这里是二手互联网服务提供商的细分数据。它主要是OVH(一般来说，用于ToR中继的最大的ISP之一)。Frantech、ServerAstra和Trabia Network也是众所周知的继电器供应商。“不错的IT服务组”看起来很有趣，因为在攻击者于2020年4月16日在那里添加了一些中继之前，我从未在这个不起眼的网络上看到过中继。

他们运营的全面程度尚不清楚，但一个动机似乎很简单：利润。他们通过控制流经其出口中继的流量，对Tor用户进行中间人攻击。它们(有选择地)删除HTTP到HTTPS重定向，以获得对纯未加密HTTP流量的完全访问权限，而不会导致TLS证书警告。如果Tor浏览器用户不专门在地址栏中查找“https：//”，则很难检测到这一点。这是一种名为“SSL Stripping”的已知攻击，它利用用户很少键入以“https：//”开头的完整域这一事实。有既定的对策，即HSTS预加载和HTTPS无处不在，但实际上许多网站运营商没有实施这些对策，导致其用户容易受到此类攻击。这种攻击不是针对Tor浏览器的。恶意中继只是用来获取对用户流量的访问权限。为了使检测更加困难，恶意实体并没有平等地攻击所有网站。似乎他们主要针对的是与加密货币相关的网站-即多比特币混合器服务。他们替换了HTTP流量中的比特币地址，将交易重定向到他们的钱包，而不是用户提供的比特币地址。比特币地址改写攻击并不新鲜，但他们的行动规模是新的。无法确定他们是否参与了其他类型的攻击。

我已经联系了一些已知的受影响的比特币网站，这样他们就可以使用HSTS预加载在技术层面上缓解这一问题。其他人为已知受影响的域提交了HTTPS-Everywhere规则(默认情况下，HTTP Everywhere安装在Tor浏览器中)。不幸的是，这些站点当时都没有启用HSTS预加载。至少有一家受影响的比特币网站在得知这些事件后部署了HSTS预加载。

如果我们查看ToR网络上通告的整体送出带宽，并突出显示ToR目录授权机构删除的恶意容量，我们可以看到，在2020-06-21年左右的最新一次删除后，通告的送出容量显著增加。曲线的这一部分实际上看起来与上个月类似，当时攻击者在2020-05-22左右第一次被移除后恢复了容量。我在图表中添加了一条“预期”线，以显示我粗略地预计总容量不会出现异常增长的位置(大致通过添加已知运营商在移除事件后添加的广告带宽数量来计算)。

图6显示了恶意操作员对ToR浏览器用户选择运行ToR出口能力的已知组织之一的概率的影响(如https://torservers.net/partners.html上提到的组织和自较长时间以来活跃在Tor-Relay社区中的其他组织)。攻击者能够将他们的退出概率从通常的约60%降低到50%以下。此图还显示，尽管这些已知组织的绝对广告退出能力实际上在增加，但它们的比例仍在减少。

已知运营商的份额在减少，那么谁的份额在增加呢？图7和图8分别按自治系统(图7)和中继ContactInfo(图8)显示了未知操作员的退出分数。这些图表仅显示了网络和ContactInfos的很大一部分(>；0.5%的退出概率)。图表显示，在2020-06-21年左右的删除事件发生后，主机OVH(此攻击者以前经常使用)和Liteserver Holding的网络份额确实大幅增加，并且出现了两个巨大的(>；各5%的出口容量)、新的和未知的ContactInfos。

这些和一些额外的指标(我不公布这些指标是为了避免烧毁它们)表明袭击者并没有离开，但由于对已知受害者的剥削变得更加困难，攻击者可能选择了新的受害者或其他类型的袭击。这是一个正在进行的分析，详细信息可能会在后续的博客文章中公布。

在2019年12月的博客文章发表后，Tor Project在2020年有了一些有希望的计划，有一名专门的人来推动这一领域的改善，但由于最近与COVID19相关的裁员，该人被分配到了另一个领域。除此之外，Tor目录管理机构显然不再删除自2020-06-26以来一直用于删除的中继。目前还不清楚是什么触发了这一政策变化，但显然有人喜欢它，并添加了未声明的中继组(过去由于缺少ContactInfo和MyFamily而被删除)。这意味着，2019年12月发现的攻击者确实运行了Tor网络10%的守卫能力，显然没有带来任何改善。自从一个多月以来，之前的报告还没有得到行动或回应，我已经停止了删除中继的报告，但让我们暂时搁置这个问题(另一篇博客文章的主题)，让我们记住，Tor项目没有专门的资源来解决这个问题(当试图取得一些进展时，相关信息)。

“我们缺乏追踪和可视化我们信任的中继的工具”--罗杰·丁莱丁(Roger Dingledine)。

当ToR网络的已知部分与未知部分发生重大变化时，注意这一点是至关重要的。我的目标是通过将图6和图7之类的图形合并到每日生成的OrNetStats中来解决这个问题，但我只能在某些静态操作符标识符的验证可以自动化时才能实现这一点，因为从长远来看，手动验证太耗时了。我正在开发ContactInfo信息共享规范的第2版，为Tor中继操作员提供两个易于实现的选项，以允许自动验证“Operatorurl”字段。然后，验证过的字段可以用作手动分配(完成一次)“已知”标签的输入，然后该标签将用于图形。一旦规范的第2版发布(应该在2020年8月底之前)并由足够多的中继操作员部署，就可以将这样的图添加到OrNetStats和其他工具中。这也是为了帮助罗杰·丁莱丁(Roger Dingledine)在这件事上的计划。一个关键因素将是中继运营商采用版本2规范。

我们如何让恶意行为者持续运行如此大的Tor网络变得更加昂贵和耗时？目前对(大规模)ToR中继操作员没有要求。因此，目前没有任何东西可以阻止恶意行为者添加150个恶意中继，2020年3月的这起攻击就证明了这一点。

以下建议考虑到Tor项目没有专门的资源来解决这一问题。

作为对这一持续问题的直接对策，Tor项目可能要求对所有新的(2020年加入的)Tor中继运营商进行物理地址验证，这些运营商运行的Tor网络出口或守卫容量超过0.5%。为什么是0.5%？这是恶意ToR中继容量的风险和验证所需工作之间的平衡。使用0.5%作为阈值是实际需要验证的操作员数量很少。截至2020-08-08，只有5个出口和1个警卫操作员符合这些标准(新的和大的)。其中一些与之前检测到的恶意组有相似之处。其他一些已经有了一定的知名度和良好的声誉。因此，此初始验证的数量仅限于向提供的物理地址发送6封信(实际上更有可能是3封，因为有些人可能不会请求物理地址验证)。

这也是关于授权那些在处理可疑中继时必须做出艰难决定的人。

罗杰·丁莱丁(Roger Dingledine)的计划是为“已知的”运营者池分配一个固定的下限。这限制了恶意操作员可以造成的破坏，无论他们在隐藏各自的中继/中继组方面做得有多好。此方法很强大，但应与以下方法结合使用，以进一步增加攻击者所需的努力：

1、需要经过验证的邮箱地址才能获得出口或守卫中继标志。电子邮件验证可以完全自动化。由于恶意中继操作员可以很容易地注册电子邮件地址，这一点与第二点相结合。

自从2019年12月披露了针对Tor网络的大规模攻击(恶意运营商确实运行了Tor防护能力的10%)以来，并没有对恶意Tor中继进行任何改进。

本文讨论的恶意ToR中继运营商控制了整个ToR网络出口容量的23%以上(截至2020-05-22)。

恶意操作员演示在Tor目录授权机构进行初始删除尝试后恢复其容量。

有多个指标表明攻击者仍在运行ToR网络出口容量的10%(截至2020-08-08)。

大规模恶意Tor中继事件的重现表明，现有的不良中继检测检查和方法不足以防止此类事件再次发生，Tor用户面临的威胁格局已经发生了变化。

已经提出了多个具体的对策来解决正在进行的恶意中继容量问题。

应由Tor项目和Tor目录管理机构采取行动，防止对Tor用户造成进一步伤害。

我要感谢最初报告一些恶意中继的人，这使得更广泛地发现了这个巨大的恶意Tor出口中继部分。(举报人要求匿名。)