V2 Onion Services Deprecation 我如何知道我是在使用v2还是v3洋葱服务? 你可以通过56个字符的长度来识别v3洋葱地址,例如,Tor项目的v2地址:http://expyuzz4wqqyqhjn.onion/,Tor项目的v3地址:http://2gzyxa5ihm7nsggfxnu52rck2vv4rvmdlkiu3zzui5du4xyclen53wid.onion/
如果你是一个洋葱服务管理员,你必须尽快升级到v3洋葱服务。如果你是一个用户,请确保将你的书签更新到网站的v3洋葱地址。
v2废止的时间表是什么? 2020年9月,Tor开始警告洋葱服务运营商和客户,v2将在0.4.6版本中被弃用和淘汰。2021年6月,Tor浏览器开始警告用户。
2021年7月,0.4.6版的Tor将不再支持v2,支持将从代码库中删除。
2021年10月,我们将为所有支持的系列发布新的Tor客户端稳定版本,该版本将禁用v2。
你可以在Tor项目的Blog《洋葱服务第2版废弃时间表》中阅读更多内容。
我可以继续使用我的v2洋葱地址吗?我可以在9月之后访问我的v2洋葱吗?这是一个向后不兼容的变化吗? V2洋葱地址从根本上来说是不安全的。如果你有一个V2洋葱服务,我们建议你现在就进行迁移。这是一个向后不兼容的变化:V2洋葱服务在2021年9月后将无法到达。
对开发者来说,迁移的建议是什么?有没有关于如何向人们传播新的v3地址的提示? 在torrc中,要创建一个v3的地址,你只需要像创建v2服务一样创建一个新的服务,用这两行。
HiddenServiceDir /full/path/to/your/new/v3/directory/ HiddenServicePort <virtual port> <target-address>:<target-port> 默认版本现在被设置为3,所以你不需要明确地设置它。重新启动 tor,并在你的目录上寻找新的地址。如果你希望继续运行你的v2服务,直到它被废弃,以便为你的用户提供一个过渡路径,请在你的版本2服务的配置块中添加这一行。
HiddenServiceVersion 2 这将允许你在你的配置文件中识别哪个是哪个版本。
如果你在网站上配置了Onion-Location,你需要用你的新v3地址来设置头。关于运行洋葱服务的技术文档,请阅读我们社区门户中的洋葱服务页面。
我没有看到公告,我可以得到更多的时间来迁移吗? 不能,V2洋葱连接现在就开始失效了,先是慢慢地,然后突然地。现在是时候迁移了。
服务会在9月开始失效,还是之前就已经开始失效了?
在Tor 0.4.6中已经没有引入点了,所以如果中继运营商更新,它们将无法到达。
作为一个网站管理员,我可以把用户从我的v2洋葱重定向到v3吗? 是的,它将工作,直到v2洋葱地址无法到达。你可能想鼓励用户更新他们的书签。
v3洋葱服务是否会有助于缓解DDoS问题? 是的,我们正在不断努力提高洋葱服务的安全性。我们在路线工作计划图中的一些工作是ESTABLISH_INTRO Cell DoS防御扩展:Res tokens: Anonymous Credentials for Onion Service DoS Resilience, A First Take at PoW Over Introduction Circuits.。关于这些建议的概述,请阅读详细的博文《如何阻止针对洋葱服务的拒绝服务攻击》。
本文来自:https://support.torproject.org/onionservices/#v2-deprecation
一项关于暗网基础设施的新研究显示,一个未知的威胁参与者在2021年2月上旬设法控制了整个Tor网络出口流量的27%以上。
独立安全研究人员nusenu在周日发表的一篇文章中说: “攻击Tor用户的黑客组织自一年以来一直在积极针对tor用户,并将其攻击范围扩大到新的记录水平。” 在过去的12个月中,该黑客组织控制的平均出口节点比例超过14%。”
这是自2019年12月以来揭露恶意的Tor活动而开展的一系列工作中的最新一项。据称,这些攻击始于2020年1月,由同一研究人员在2020年8月首次记录和揭露。
Tor是一款开源软件,用于实现互联网上的匿名通信。它通过将网络流量引导通过一系列中继来混淆Web请求的源和目的地,以便从监视或流量分析中掩盖用户的IP地址以及位置和使用情况。中继节点通常负责在Tor网络上接收流量并传递,而出口节点是Tor流量到达目的地之前经过的最后一个节点。
过去曾经发生过破坏了Tor网络上的出口节点以注入OnionDuke之类的恶意软件,但这是第一次有一个身份不明的参与者首次设法控制如此大比例的Tor出口节点。
在2020年7月和2021年4月之间,这个特定的恶意攻击者控制的Tor出口容量(以整个可用的Tor网络出口容量的百分比衡量)。峰值可以看出:攻击者在2021年2月2日确实控制了大约27.5%的Tor网络出口容量。Graph by nusenu (raw data source: Tor Project/onionoo) 黑客组织在2020年8月高峰期之前维护了380个恶意Tor出口节点,然后Tor项目官方进行了干预,将这些节点从Tor网络中剔除,之后该活动在今年年初再次达到顶峰,攻击者试图在5月的第一周增加超过1000个出口节点。在第二波攻击中检测到的所有恶意Tor出口节点后来都被删除。
据nusenu称,攻击的主要目的是通过控制流过出口中继网络的流量来对Tor用户进行“中间人”攻击。具体来说,攻击者似乎执行了所谓的SSL剥离,以将前往比特币混币服务的流量从HTTPS降级为HTTP,以试图替换比特币地址并将交易重定向到其钱包,而不是用户提供的比特币地址。
“如果用户访问了这些站点之一的HTTP版本(即未加密,未经身份验证的版本),他们将阻止该站点将用户重定向到该站点的HTTPS版本(即经过加密,身份验证的版本),”维护者Tor Project的负责人于去年8月解释道。“如果用户没有注意到他们没有进入该站点的HTTPS版本(浏览器中没有锁定图标)并继续发送或接收敏感信息,则攻击者可能会拦截此信息。”
为了减轻此类攻击,Tor项目概述了许多建议,包括敦促网站管理员部署.onion网站时默认启用HTTPS以避免出口节点攻击,并补充说它正在“全面修复”上工作以禁用Tor浏览器中的纯HTTP。
美国网络安全和基础设施安全局(CISA)在2020年7月的一份咨询报告中说: “通过Tor传播的恶意活动的目标风险对每个组织来说都是独特的。每个组织应通过评估黑客将其系统或数据作为目标的可能性,以及考虑到当前的缓解措施和控制措施,并苹果黑客成功的概率来确定其风险。”
该机构补充说:“各组织应评估其缓解决策,以应对来自高级持续性威胁(APT)、中度复杂的攻击者以及技术水平低下的单个黑客的威胁,这些人过去都曾利用Tor进行了侦察和攻击。”
早在2020年,Tor官方就宣布:由于使用的密码学中存在漏洞,V2版本的洋葱地址将被终止。最近,Tor官方开发团队正式确认:将从2021年7月开始停止使用旧版本,要求所有用户迁移到Onion V3。
该事件的提醒来自官方的Tor官方Twitter,Tor官方给出的具体时间点是:Tor将在2021年7月15日发布一个新版本,该版本将禁用对Onion V2地址的支持。最终决定于今年10月15日结束,届时,Tor Explorer的稳定版本将完全禁用此版本。
这两个阶段之间的区别在于,在对应于2021年7月15日的一个阶段中,尽管用户仍可以通过在浏览器中进行一些内部配置来使用它,但建议中止与Onion V2的默认兼容性。取而代之的是,从10月15日起,Tor将完全不再与该旧版本兼容。
这项变更是在2018年1月9日推出的Onion V3地址发布了三年之后进行的,根据开发团队本身的说法,与之前的版本相比,它具有更好的密码学和更高的安全性。同样,由于V3当前是标准版本,因此在Tor网络的所有节点上成功实施版本V3之后,才进行修改。
版本更改将会大大改善使用Tor服务的用户的安全性和隐私性,但是应该注意的是,V2版本的停用不会直接影响用户,而是使用V2版本地址域名的网站。
从洋葱V2更改为V3的原因 Tor浏览器中的网址具有.onion域后缀,它对应着例如.com,.io,.org或传统网站中的任何其他网址后缀。这些提供了从Web到用户的一种加密类型,从而创建了无法追踪的加密连接。
.onion的第2版与Tor的地址第1版一起在2004年Tor发布后不久开发。
目的是使用为此目的的算法对连接进行加密,在Onion V2的情况下,使用SHA-1。这种加密算法是比特币(SHA256)使用的加密算法的前身之一,当时该加密算法为用户提供了中等级别的安全加密。
随着近年来计算的指数增长,该算法变得脆弱,甚至在实践中也被打破了。这导致它被各种程序终止。Chrome浏览器本身显示有关那些使用带有SHA-1加密的SSL证书的网站的警告。
SHA-1算法容易受到冲突攻击,其中2个不同的输入可以生成相同的哈希。资料来源:shattered.io。 考虑到可能存在的漏洞,Tor开发团队计划在2015年之前将安全级别提高到一个新水平。到2018年,该产品已经准备就绪,展示了洋葱地址的第3版,该版本使用ed25519改进了其密码签名算法,该算法提供了比其前身更好的加密功能。
Tor和比特币 Tor是一个安全的网络架构,它基于分布式网络范式,与比特币使用的一样,节点之间的通信是分散的。它对用户的连接进行加密并保护其免受第三方追踪。
正因为如此,Tor和比特币经常被紧密联系在一起。有一个具体例子就是当时的CriptoNoticias报道的MIT比特币2021年世博会黑客马拉松的获奖项目,该项目被称为Onion’78。其目标是使用PayJoin系统和Tor网络架构来改善比特币交易中的隐私,从而允许使用更多的私人连接。这只是利用Tor来增加隐私的比特币项目的众多示例之一。
估计很多网友都认为作为史上最安全、隐私保护最好的浏览器,Tor浏览器应该是默认禁用javascript的,然而事实并非如此。新安装的Tor浏览器的Security Level是Standard,浏览器的常用功能默认都是启用的,包括javascript。
通过Tor浏览器Security Level的说明,我们可以看到:选择Standard,所有暗网网站启用javascript;选择Safer,HTTPS站点启用javascript;选择Safest,所有暗网站点禁用javascript。
我们查阅torproject官方的解释,发现官方是这么说的:
为什么 Tor 浏览器默认启用 JavaScript ?
因为禁用 JavaScript 会让很多网站无法工作, Tor 浏览器内置的 NoScript 默认允许 JavaScript。 默认禁用 JavaScript 造成的不便过于严重,也许会让大多数用户直接放弃使用 Tor 。 原则上来说,我们不仅想让 Tor 浏览器尽可能安全,还想让大多数人都可以使用。所以按照目前状态, Tor 浏览器会继续默认启用 JavaScript。
对于想要在所有的 HTTP 网站上默认关闭 Javascript 的用户,我们坚已您更改 Tor 浏览器中“安全等级“的选项。 这可以通过找到安全图标(屏幕右上角那个小小的灰色盾牌)并点击“高级安全设置…”来实现。 ”标准“等级允许JavaScript,但是”安全“与”最安全“等级都将阻止HTTP网站上的JavaScript。
不过,网站功能是一方面,从安全角度考虑,还是建议将Tor浏览器请禁用Javascript,不允许任何客户端动态JS脚本。禁用的方法是将Security Level设置为Safest。
很长一段时间,我(kushaldas.in)想为我的博客的onion域名创建一个HTTPS认证证书。Digicert是长期以来唯一提供暗网onion域名认证的CA,但是成本很高,只适合大的公司或者组织使用,但是我个人不适合,尤其是由于成本原因。
几天前,在IRC上,我发现 Harica为暗网洋葱站点提供Domain验证证书,费用约为每年30欧元。我就抢着去办了一个,同时, ahf也在弄他的证书,他帮助我进行了Nginx的配置。
如何获得自己的证书? 确保您的网站以Tor v3洋葱服务运行在https://cm.harica.gr/上创建一个帐户进入左侧栏的服务器证书,对你的域名进行新的申请,按照表格中的要求提供洋葱地址。它将为你提供上传CSR证书签名请求的选项。你可以通过openssl req -newkey rsa:4096 -keyout kushaldas.in.onion.key -out csr.csr生成一个。对于通用名,请提供相同的onion地址。单击网站后,它将要求您下载文件并将其放在目录内的Web根目录.well-known/pki-validation/中,请确保可以通过Tor浏览器访问文件。当您单击最终提交按钮时,系统将花费一些时间来验证域。付款后,您应该可以完整下载证书(以.p7b结尾的文件)。网页上有3个选项,因此请记住下载正确的文件:)您将不得不将其转换为PEM格式,我使用了ahf提供给我的命令: openssl pkcs7 -inform pem -in kushaldas.in.p7b -print_certs -out kushaldas.in.onion.chain.pem -outform pem 设置nginx 这一部分和其他标准的nginx配置一样。以下是我使用的配置。请在确定一切正常后,取消对Strict-Transport-Security头行的注释。
server { listen unix:/var/run/tor-hs-kushal.sock; server_name kushal76uaid62oup5774umh654scnu5dwzh4u2534qxhcbi4wbab3ad.onion; access_log /var/log/nginx/kushal_onion-access.log; location / { return 301 https://$host$request_uri; } } server { listen unix:/var/run/tor-hs-kushal-https.sock ssl http2; server_name kushal76uaid62oup5774umh654scnu5dwzh4u2534qxhcbi4wbab3ad.onion; access_log /var/log/nginx/kushal_onion-access.log; ssl_certificate /etc/pki/kushaldas.in.onion.chain.pem; ssl_certificate_key /etc/pki/kushaldas.in.onion.open.key; #add_header Strict-Transport-Security "max-age=63072000; includeSubdomains"; add_header X-Frame-Options DENY; add_header X-Content-Type-Options nosniff; # Turn on OCSP stapling as recommended at # https://community.
Tor项目官方,Tor网络和Tor浏览器的非营利性开发商,近期宣布了两个令人兴奋的onion服务的进展:HARICA签发用户承担的起的onion域名的DV证书,和新的、简单的onion网站配置指南。
关于Tor 每天都有数以百万计的人使用Tor来绕过审查制度,保护自己免受监视,并夺回他们的在线隐私权。除此之外,越来越多的网站和服务–包括《纽约时报》、BBC、德国之声和Facebook,都在使用Tor的.onion域名的网站,为他们的受众提供更私密的浏览方式。
Onion网站是只能通过Tor网络访问的网站:你可以发现它们,因为它们以TLD.onion结尾。例如,DuckDuckGo的洋葱是https://3g2upl4pq6kufc4m.onion。你可以通过使用Tor浏览器访问这些网站。使用onion服务可以混淆你的元数据,并提供端到端的认证和端到端的加密–简单地说,onion服务提供了一些你在互联网上可以得到的最私密的浏览体验。
新onion网站配置指南 现在,在Tor项目新的onion Zine和Tor项目社区门户中更新的onion服务文档的帮助下,组织、网站和服务机构更容易建立自己的.onion网站,并为他们的用户提供这种下一级的隐私保护,这是在数字卫士伙伴关系的支持下开发的。
Onion Zine以人权维护者及其组织为中心设计,旨在帮助网站管理员了解.onion网站的好处,以及如何为自己的网站建立自己的.onion网站。任何人都可以阅读英文、西班牙文和葡萄牙文的onion zine,并使用这些杂志和更新的onion服务文件来建立.onion网站。
onion网站的DV证书 除此之外,网站管理员现在还可以使用HARICA为您的v3 onion网站轻松获取DV证书,HARICA是由希腊的民间社会非营利组织Academic Network (GUnet)创立的根CA运营商。有了HARICA,对于.onion网站运营商来说,获取证书变得更加容易。
Tor项目官方一直在提醒,用HARICA申请DV证书的人,一定要用v3的onion域名地址来做,因为v2将在2021年7月被废弃。
自2020年1月以来,一个神秘的黑客组织一直在向Tor网络添加服务器,以便对通过Tor浏览器访问与加密货币相关站点的用户进行SSL剥离攻击。
该组织的攻击是如此的庞大和持久,以至于2020年5月,他们运行 了所有Tor出口中继的四分之一 -用户流量通过这些服务器离开Tor网络并访问公共互联网。
根据 独立安全研究人员和Tor服务器运营商Nusenu周日发布的一份报告,在Tor团队采取三项干预措施中的第一项来淘汰该网络之前,该小组在高峰期管理了380个恶意Tor出口中继。
SSL对比特币用户的攻击 努瑟努在周末写道:“他们运作的全部细节还不得而知,但动机似乎很简单:利润。”
研究人员说,该组织正在“通过操纵流过出口中继的流量来对Tor用户进行中间人攻击”,他们专门针对使用Tor软件或Tor浏览器访问与加密货币相关的网站的用户。
中间人攻击的目标是通过将用户的Web流量从HTTPS URL降级为不太安全的HTTP替代方案,来执行“ SSL剥离”攻击。
根据他们的调查,Nusenu说,这些SSL剥离攻击的主要目标是允许该组织替换进入比特币混合服务的HTTP流量内的比特币地址。
比特币混合器是一个网站,通过将少量资金分成零碎资金并通过数千个中间地址进行转移,然后再在目标地址重新加入资金,用户可以将比特币从一个地址发送到另一个地址。通过在HTTP流量级别替换目标地址,攻击者有效地劫持了用户的资金,而无需用户或比特币混合器的了解。
艰难的进攻 研究人员说:“比特币地址重写攻击并不新鲜,但是其操作规模却是新的。”
Nusenu表示,根据用于恶意服务器的联系电子邮件地址,他们跟踪了至少七个不同的恶意Tor出口中继群集,这些群集在过去七个月内被添加。
图片:Nusenu 研究人员说,恶意网络在5月22日达到380台服务器的峰值,当时所有Tor出口中继的23.95%受该小组控制,这使Tor用户有四分之一的机会登陆到恶意出口中继。
Nusenu表示,自5月份以来,他一直在向Tor管理员报告恶意出口中继,并且在6月21日最近一次撤离之后,威胁参与者的能力已大大降低。
图片:Nusenu 尽管如此,Nusenu还补充说,自上次下台以来,“有多个指标表明攻击者 的Tor网络出口容量仍然超过10% (截至2020-08-08)。”
研究人员认为,由于Tor项目对可加入其网络的实体没有适当的审查流程,威胁者可能会继续进行攻击。尽管匿名是Tor网络的核心特征,但研究人员认为,至少对出口中继运营商而言,可以进行更好的审查。
2018年类似的攻击地点 在2018年发生了类似的攻击; 但是,它不是针对Tor出口中继,而是针对Tor-to-web(Tor2Web)代理-公共互联网上的Web门户,允许用户访问通常只能通过Tor浏览器访问的.onion地址。
当时, 美国安全公司Proofpoint报告 称,至少有一个Tor-to-web代理运营商正在悄悄地替换比特币地址,以供用户访问旨在支付赎金要求的勒索软件支付门户,从而有效地劫持了付款并让受害者没有解密密钥,即使他们支付了赎金。
Tor网络正在经历宕机,可能是由于暗网市场之间不受控制的DDoS所致。由于无法保留共识的“实时”状态的错误,V3 Onion站点已关闭。大量网站受到影响,有些网站保持离线状态长达12个小时。 自2021年1月6日以来一直在对Tor网络进行协同攻击,导致所有v3洋葱域昨天离线12小时。一些服务启动了临时的v2洋葱域以使其联机返回,而Tor Project团队则忙于准备一个修补程序,甚至是一个临时的修补程序。他们现在宣布了一个实验补丁,该补丁需要同时应用于客户端和服务端。
关于为什么v3洋葱域受攻击影响而先前版本没有受到攻击的解释是,最新版本在服务实现中存在错误,即使共识仍然有效,也会导致共识的“实时”状态下降。如果有足够的时间(几个小时)和回合,共识进入的状态将不再被视为“实时”,因此服务不会发布描述符,客户端也不会获取描述符。
Tor(0.4.6.0)的“ Alpha”版本目前正在测试中,如果您想摆弄它,可以从此Git存储库中构建源代码 。对Tor的攻击暴露了以前未发现或仅未解决的bug的存在并不是什么新鲜事,但是让社区充满热情地做出响应非常重要。
自然,停机时间影响了许多洋葱网站,包括Wasabi和Bisq等比特币服务。据监视暗网的研究人员称,最近有一些活动涉及暗网市场之间的拒绝服务攻击。显然,这些攻击迅速升级为压倒了Tor网络的(HSDir)节点,导致无法连接到v3洋葱站点。
试图访问其资产和钱包并经历延迟或连接失败的加密货币持有者自然会感到恐慌,因为他们担心最坏的情况。Bisq敦促社区不要公开争端,向他们保证局势不会对其资产构成威胁。
同样,Wasabi迅速采取了将跟踪路由到v2和v1洋葱站点以及仍可通过Tor访问的clearnet后端端点的方法。当然,中断将继续,但是该平台保证没有什么可担心的。
身份窃取是一个日益严重的问题,几乎成了家常便饭–Marriott、MyFitness Pal、LinkedIn、Zynga,甚至Equifax(所有地方)近年来都发生了高调的在线数据泄露事件,影响了数亿人。为了帮助应对这一问题,Experian和其他公司正在营销 “暗网扫描 “以防止数据泄露。但什么是暗网扫描,你是否需要它?
暗网,解释 暗网是一个庞大的、隐蔽的网站网络,一般的搜索引擎不会收录或发现它。它也是非法活动的中心,包括买卖被盗的财务和个人信息。如果你的信息在数据泄露后出现在暗网网站上,身份窃贼可能会利用这些数据开立信用卡、贷款或从你的银行账户中提款。
暗网扫描如何工作 暗扫描会扫描暗网,查看医疗身份信息、银行账号和社会安全号码是否被共享。如果你得到的结果是正面的,暗网扫描服务会建议你更改密码,使用更强的密码,或者对你在三大机构(Experian、Equifax和TransUnion)的信用档案进行信用冻结。当然,一个负面的搜索结果并不一定意味着你没有发生数据泄露,因为任何公司都没有办法搜索整个暗网。
许多这些服务为你提供免费扫描,但这只涵盖某些信息,如电话号码、密码和社会安全号码。如果你想设置警报,或者搜索其他信息,如银行账号、护照、驾照,或者可以访问信用报告(已经是免费的),这些服务通常会收取月费(Experian提供的这项服务在30天免费试用后每月9.99美元)。
暗网扫描值得付费吗? 不一定。暗盘扫描只会显示你的个人信息在暗网上。保护自己最有效的步骤(注销卡片、更改密码、信用冻结)是免费的–你不需要为此向公司支付费用,除非你想委屈自己。而且考虑到大量的数据泄露事件,假设你的信息已经泄露,并实践良好的隐私习惯,比如频繁更换密码,其实更容易,也更便宜。
在接受NBC新闻 “Better “采访时,”身份盗窃委员会“(Identify Theft Council)执行主任尼尔-奥法雷尔(Neal O’Farrell)称,暗网扫描是 “烟幕弹的交易”,并没有 “去解决这个问题的原因,也就是提高警惕,提高意识,保管好自己的个人信息,冻结自己的信用”。
同样重要的是要明白,暗网只是出售被盗身份的一种方式,因为身份窃贼同样可以通过网络钓鱼或窃取你的邮件轻松获得这些信息。当然,如果你想花额外的钱购买警报,监控服务也无妨–只要记住,你可以免费主动监控和防止身份盗窃,而暗网扫描不会提供完全的保护。
恶意软件分析是一个棘手的过程。错误的处理会导致意外的自我暴露,这可能会造成严重破坏,具体取决于感染发生的位置。
如果将其放在日常使用的计算机中,那么您将注定要擦干净并重新启动。如果它在虚拟机内部,您可能会认为不必担心,但是VM的网络功能又如何呢?它是否与托管VM的主机连接到同一网络?如果是这样,则容易受到感染的VM的横向移动。如果我们将恶意软件移至不相邻的网络怎么办?您可以,但是如何连接到该端点?是RDP吗?如果是这样,那么您就不得不担心 剪贴板被利用了。 听起来好像无休止的事情需要担心。当然,您要研究的恶意软件可能不具备某些令人恐惧的超跳功能,但是由于意外暴露,损失太多了。您要担心的最后一件事是在深夜分析一些新的勒索软件,并在第二天清晨醒来,出现几条警报,警告您所有客户数据均已加密。那么最佳实践是什么?
好吧,让我们从第一个正方形开始;我们如何获取这些新样本?
第一步:恶意软件分析的样本在哪里? 假设您正在寻找一个新的示例,它恰好在.onion网站上的某个论坛上做广告。您的第一个想法是跳上Tor网络并下载它:这是您的第一个错误。当您与隐藏的服务进行交互时,这是另一回事。我说的是归因。
您看起来像其他所有Tor用户一样吗?还是你脱颖而出?并非所有Tor用户都使用同一操作系统,这只是浏览器泄漏的众多属性之一。那您的时区呢?您的用户代理?您的CPU类型?这只是一个平方,有很多事情要担心。更不用说您将所有安全性都委托给Firefox,这是从入侵计算机到您和漏洞利用工具包之间唯一存在的问题 。在您时间有限的时刻(例如在事件响应期间),这些小事情可以忽略。
因此,这是我的第一条建议: 减少归因。不要在其他人都不喜欢的地方漫游,也不要在没有其他研究的情况下对比赛场地了解很多。任何突出的单个属性都可能导致某些邪恶的Web服务操作员两次检查访问日志。如果您站出来大声尖叫,“研究人员的姓名!” 这可以启动损害控制,并且您可能会丢失样品。
第二步:存储样本 一个ssuming抓住你的样品时所采取的预防措施,你怎么存放?您是否公然将其下载到您的主计算机中?尚未执行任何操作(假设您的浏览器没有为您执行此操作),但实际上某些防病毒软件已将其选中,不是吗?如果防病毒软件确实选择了它,则可以安全地假定该示例现在已对该供应商的示例数据库公开。而且,如果造成恶意软件威胁的人再次看到该样本(例如在VirusTotal上),他们将启动损害控制,您将回到第一个方框。您可能认为您应该关闭所有保护措施,以使样本不会发送到任何地方-听起来不是个好主意!如果您关闭保护装置,则有遭受意外暴露的风险,甚至都不知道是什么原因击中了您。
有这么多细微差别,我们应该在哪里存储恶意软件?我会告诉您不保留它的地方:在您的本地端点上!无论您决定放置在何处,请确保它不是您的下载文件夹。将其存储在云中,将其存储在不相邻的地方,将其保存在不必为忙于移动它而双击的地方。
因此,如果到目前为止我们已经学到了任何东西,则用于获取恶意软件的工具和放置恶意软件的位置 都不应与本地网络相邻。
第三步:分析样本 因此,您已经做到了这一步而不会被烧毁,现在开始分解恶意软件的过程。静态分析技术使您无需运行即可查看恶意软件的内部。例如,如果您尝试确定行为并快速了解恶意软件内部存储的数据类型,则此方法很有用。也许其中一个字符串被编码了,也许导致了一些控制服务器。这是进行分析时要考虑的所有重要信息。
有很多工具可让您从Ghidra,IDA Pro等中执行此操作。但是,您没有考虑的一件事是恶意软件在运行时会做什么。如果该恶意软件仅在运行时进行了多次网络握手以加载下一组指令,该怎么办?你不想知道吗 这将要求您运行恶意软件。问题是,您不能在任何环境中都这样做。
首先,此环境不能成为常规虚拟机,因为一旦恶意软件检测到它位于其中,它便可能采取必要的步骤保持休眠状态。 恶意软件作者可以通过 多种方式来生成检测二进制文件是否驻留在虚拟机内部的逻辑。如果您的恶意软件是为您或组织量身定制的,那么您第一次失败就不会失败。可能还内置了其他规避策略,您可能不知道该规避策略可以提醒作者,由于在虚拟环境中执行了恶意软件,因此正在对其恶意软件进行分析。
那么如何避免这种情况呢?查看 提供沙盒执行功能的供应商,例如 Crowdstrike 和 Cuckoo,那样您就不必担心困扰虚拟环境的所有属性,因为那里已经有人在工作。重新发明轮子毫无意义,尤其是当您不能考虑可能有助于区分您的环境确实在虚拟化的每个属性时。
第四步:使用筒仓进行研究进行批量分析(工具箱) 如果您已经做到了这一点,则意味着您已经成功分析了第一个样本,并且对它是否良性有了很好的了解。问题是:您有一个以上的工件,并且要花很多时间才能做到这一点而又不会犯任何错误,这是有问题且耗时的。必须有一条更好的路线。
Silo for Research是一款独立的浏览器,可让您修改归因,可以快速帮助您减少指纹。它可以帮助您看起来像各种花园浏览器,还可以帮助您利用Tor网络。它还带有一个安全的存储平台,可将所有工件保存在不存在意外暴露的地方。
此外,我们的外部API允许您与文件进行交互,而无需离开平台。您可以创建一个脚本,将该脚本存储到存储中,将其发送到沙箱中,然后返回报表,而无需创建虚拟机或避免确保一切正常的麻烦。
幸运的是,一个研究人员团队致力于创建一个能够做到这一点的脚本。让我们谈谈有人将如何构建这样的脚本。
第五步:构建脚本 多亏了Authentic8安全存储API和外包的恶意软件分析工具,将文件从一个不相邻的网络传输到另一个网络非常简单。以下是有关如何构建脚本的步骤:
获取您的存储桶文件令牌和存储桶ID。Silo for Research允许您通过访问令牌(用户文件令牌和存储桶ID)安全地访问共享的安全存储驱动器。身份验证后,您可以使用API端点通过HTTP请求从安全存储中下载和上传文件。此外,还有列出文件的命令,这些命令使您可以循环访问目录以查找特定文件。在您的脚本中,这些命令将有助于在安全存储中查找文件和从中进行文件传输,并将其提交到恶意软件分析工具。当文件从一个位置传输到另一位置时,请确保将文件作为二进制文件传输并保存在内存中。例如,如果要用python编写脚本,则可以使用IO库将文件存储在内存中的二进制流(例如BytesIO对象)中。在这里查看更多文档 。这样可以确保您不会在主机上存储任何恶意软件,也不会意外触发有害病毒。下一步是找到恶意软件分析工具。
为了提供帮助,我们提供了一个使用Authentic8 External API进行此操作的示例。
选择一个恶意软件分析工具。为了使事情变得简单,请选择一个具有易于使用的API的工具,该工具可让您上载和扫描文件以及访问完成的报告。例如,假设我们要设计脚本来与VirusTotal API交互。在这种情况下,我们需要参考 VirusTotal API文档 以了解API的工作原理,并指出我们可以使用哪些API端点发送和接收信息。浏览完文档并了解如何与API通信之后,我们可以使用 / file / report 端点使用sha256哈希值检索最新的防病毒报告,并使用 / file / scan端点 发送文件进行扫描并生成防病毒软件报告。 对于VirusTotal,最好的方法是先搜索文件报告,然后再发送文件进行扫描(如果其他人也提交了相同的哈希值进行分析)。这样可以更快地生成报告。混合分析, Joe Sandbox Cloud 和 SecondWrite等供应商提供了其他可用的类似分析工具 。
生成报告。 该过程中最重要的部分是生成信息。根据您希望对恶意软件执行的分析的深度,HTML中的VirusTotal返回分析报告等API可以使您分析恶意软件的行为,查找相似的恶意软件,甚至查看其创建的网络流量。您可以将这些报告发送回安全存储,以与其他分析师共享或将其保留在本地计算机上。