Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
▼
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
▼
agosto
(Total:
22
)
- Técnicas phishing utilizando texto invisible, Zero...
- La Bolsa de Nueva Zelanda (NZX) sufre ataque DDoS ...
- Filtradas 235 millones de cuentas de Instagram, Ti...
- Empleado de Tesla evitó ataque ransomware ruso
- Compañía aseguradora Mapfre también sufre de un at...
- Configuración Avanzada de CloudFlare
- Radar COVID: la aplicación de rastreo de contactos...
- Google anuncia sistema detección de terremotos en ...
- Múltiples actualizaciones de seguridad para Window...
- EmoCheck: Herramienta detección malware Emotet (tr...
- La ciudad de Lafayette también decide pagar el res...
- Publican PoC de grave vulnerabilidad en foros vBul...
- Alguien está controlando nodos de salida de Tor pa...
- China está bloqueando todo el tráfico HTTPS que us...
- Filtrados 20GB datos internos y confidenciales de ...
- Canon victima de un ataque del ransomware Maze
- Zoombombing con video porno incluido en el juicio ...
- Recibe consejos de seguridad del atacante después ...
- El ransomware NetWalker ha ganado más de 25 millon...
- Herramientas (programas) de borrado seguro discos ...
- Trump quiere prohibir TikTok en USA por motivos de...
- El líder de los culpables del mayor hackeo a Twitt...
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
396
)
privacidad
(
364
)
google
(
355
)
ransomware
(
341
)
vulnerabilidad
(
305
)
Malware
(
265
)
Windows
(
246
)
android
(
244
)
cve
(
237
)
tutorial
(
237
)
manual
(
222
)
software
(
206
)
hardware
(
196
)
linux
(
127
)
twitter
(
117
)
ddos
(
95
)
WhatsApp
(
92
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
68
)
app
(
65
)
Networking
(
57
)
nvidia
(
53
)
ssd
(
51
)
youtube
(
50
)
firmware
(
44
)
adobe
(
43
)
office
(
41
)
hack
(
40
)
firefox
(
36
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
apache
(
26
)
MAC
(
25
)
programación
(
25
)
exploit
(
23
)
multimedia
(
23
)
javascript
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
Alguien está controlando nodos de salida de Tor para extraer información sitios de criptomonedas
lunes, 10 de agosto de 2020
|
Publicado por
el-brujo
|
Editar entrada
Desde enero de 2020, un misterioso actor de amenazas ha estado agregando servidores a la red Tor para realizar ataques de eliminación de SSL (básicamente de https a http) en los usuarios que acceden a sitios relacionados con criptomonedas a través del navegador Tor. Los operadores maliciosos llegaron a controlar más del 23% de la capacidad de salida de la red Tor, ahora se calcula que sólo un 10%. Se propone controlar más rigurosamente quién pone nodos de salida Tor para evitar tráfico malicioso. Cualquiera puede poner un servidor Tor de salida, los requerimientos son mínimos y las comprobaciones, a veces, también.
Un grupo misterioso ha secuestrado los nodos de salida de Tor para realizar ataques de eliminación de SSL
¿Qué es un nodo de salida? Los nodos de salida (el último relé antes de que tu información alcance su destino)
El atacante ha usado servidores alojados en OVH y Hetzner (muy habituales) para capturar tráfico.
El grupo ha sido tan prodigioso y persistente en sus ataques, que en mayo de 2020, ejecutaron una cuarta parte de todos los relés de salida de Tor, los servidores a través de los cuales el tráfico de usuarios sale de la red Tor y acceder a la Internet pública.
Según un informe publicado el domingo por un investigador de seguridad independiente y operador del servidor Tor conocido como Nusenu, el grupo logró 380 relés de salida de Tor maliciosos en su punto máximo, antes de que el equipo de Tor hiciera la primera de tres intervenciones para eliminar esta red.
Ataques de eliminación de SSL en usuarios de Bitcoin
"Se desconoce la extensión total [sic] de sus operaciones, pero una motivación parece ser simple y llana: ganancias", escribió Nusenu durante el fin de semana.
El investigador dice que el grupo está realizando "ataques de persona en el medio a los usuarios de Tor al manipular el tráfico a medida que fluye a través de sus relés de salida", y que están apuntando específicamente a los usuarios que acceden a sitios web relacionados con criptomonedas utilizando el software Tor o el navegador Tor. .
El objetivo del ataque de persona en el medio es ejecutar ataques de "eliminación de SSL" degradando el tráfico web del usuario de URL HTTPS a alternativas HTTP menos seguras.
Basado en su investigación, Nusenu dijo que el objetivo principal de estos ataques de eliminación de SSL era permitir que el grupo reemplazara las direcciones de Bitcoin dentro del tráfico HTTP que va a los servicios de mezcla de Bitcoin.
Los mezcladores de Bitcoin son sitios web que permiten a los usuarios enviar Bitcoin de una dirección a otra dividiendo los fondos en pequeñas sumas y transfiriéndolos a través de miles de direcciones intermediarias antes de volver a unir los fondos en la dirección de destino. Al reemplazar la dirección de destino en el nivel de tráfico HTTP, los atacantes efectivamente secuestraron los fondos del usuario sin el conocimiento de los usuarios o del mezclador de Bitcoin.
Un ataque difícil de superar
"Los ataques de reescritura de direcciones de Bitcoin no son nuevos, pero la escala de sus operaciones sí lo es", dijo el investigador.
Nusenu dijo que, en función de la dirección de correo electrónico de contacto utilizada para los servidores maliciosos, rastrearon al menos nueve diferentes clústeres de retransmisión de salida de Tor maliciosos, agregados en los últimos siete meses.
Imagen: Nusenu
El investigador dijo que la red maliciosa alcanzó su punto máximo en 380 servidores el 22 de mayo, cuando el grupo controló el 23,95% de todos los relés de salida de Tor, lo que les dio a los usuarios de Tor una probabilidad de uno en cuatro de aterrizar en un relé de salida malicioso.
Nusenu dijo que ha estado informando los relés de salida maliciosos a los administradores de Tor desde mayo, y después del último derribo el 21 de junio, las capacidades del actor de amenazas se han reducido drásticamente.
tor-exit-malware-takedowns.png
Imagen: Nusenu
No obstante, Nusenu también agregó que desde la última eliminación "hay múltiples indicadores que sugieren que el atacante aún ejecuta> 10% de la capacidad de salida de la red Tor (a partir de 2020-08-08)".
El investigador sugirió que es probable que el actor de amenazas continúe su ataque ya que el Proyecto Tor no cuenta con un proceso de investigación exhaustivo para las entidades que pueden unirse a su red. Si bien el anonimato es una característica central de la red Tor, el investigador argumenta que se puede implementar una mejor verificación para al menos los operadores de retransmisión de salida.
Un ataque similar tuvo lugar en 2018
Un ataque algo similar como este tuvo lugar en 2018; sin embargo, no apuntó a los relés de salida de Tor, sino a los proxies Tor-to-web (Tor2Web), portales web en la Internet pública que permiten a los usuarios acceder a direcciones .onion generalmente accesibles solo a través del Navegador Tor.
En ese momento, la firma de seguridad estadounidense Proofpoint informó que al menos un operador de proxy Tor-to-web estaba reemplazando silenciosamente las direcciones de Bitcoin para los usuarios que acceden a portales de pago de ransomware con la intención de pagar demandas de rescate, secuestrando efectivamente el pago y dejando a las víctimas sin una clave de descifrado. , incluso si pagaron el rescate.
Resumen:
Fuentes:
https://www.zdnet.com/article/a-mysterious-group-has-hijacked-tor-exit-nodes-to-perform-ssl-stripping-attacks/
Un grupo misterioso ha secuestrado los nodos de salida de Tor para realizar ataques de eliminación de SSL
¿Qué es un nodo de salida? Los nodos de salida (el último relé antes de que tu información alcance su destino)
El atacante ha usado servidores alojados en OVH y Hetzner (muy habituales) para capturar tráfico.
- En algún momento, el grupo ejecutó casi una cuarta parte de todos los nodos de salida de Tor y El grupo todavía controla el 10% de todos los nodos de salida de Tor en la actualidad.
El grupo ha sido tan prodigioso y persistente en sus ataques, que en mayo de 2020, ejecutaron una cuarta parte de todos los relés de salida de Tor, los servidores a través de los cuales el tráfico de usuarios sale de la red Tor y acceder a la Internet pública.
Según un informe publicado el domingo por un investigador de seguridad independiente y operador del servidor Tor conocido como Nusenu, el grupo logró 380 relés de salida de Tor maliciosos en su punto máximo, antes de que el equipo de Tor hiciera la primera de tres intervenciones para eliminar esta red.
- https://medium.com/@nusenu/how-malicious-tor-relays-are-exploiting-users-in-2020-part-i-1097575c0cac
Ataques de eliminación de SSL en usuarios de Bitcoin
"Se desconoce la extensión total [sic] de sus operaciones, pero una motivación parece ser simple y llana: ganancias", escribió Nusenu durante el fin de semana.
El investigador dice que el grupo está realizando "ataques de persona en el medio a los usuarios de Tor al manipular el tráfico a medida que fluye a través de sus relés de salida", y que están apuntando específicamente a los usuarios que acceden a sitios web relacionados con criptomonedas utilizando el software Tor o el navegador Tor. .
El objetivo del ataque de persona en el medio es ejecutar ataques de "eliminación de SSL" degradando el tráfico web del usuario de URL HTTPS a alternativas HTTP menos seguras.
Basado en su investigación, Nusenu dijo que el objetivo principal de estos ataques de eliminación de SSL era permitir que el grupo reemplazara las direcciones de Bitcoin dentro del tráfico HTTP que va a los servicios de mezcla de Bitcoin.
Los mezcladores de Bitcoin son sitios web que permiten a los usuarios enviar Bitcoin de una dirección a otra dividiendo los fondos en pequeñas sumas y transfiriéndolos a través de miles de direcciones intermediarias antes de volver a unir los fondos en la dirección de destino. Al reemplazar la dirección de destino en el nivel de tráfico HTTP, los atacantes efectivamente secuestraron los fondos del usuario sin el conocimiento de los usuarios o del mezclador de Bitcoin.
Un ataque difícil de superar
"Los ataques de reescritura de direcciones de Bitcoin no son nuevos, pero la escala de sus operaciones sí lo es", dijo el investigador.
Nusenu dijo que, en función de la dirección de correo electrónico de contacto utilizada para los servidores maliciosos, rastrearon al menos nueve diferentes clústeres de retransmisión de salida de Tor maliciosos, agregados en los últimos siete meses.
Imagen: Nusenu
El investigador dijo que la red maliciosa alcanzó su punto máximo en 380 servidores el 22 de mayo, cuando el grupo controló el 23,95% de todos los relés de salida de Tor, lo que les dio a los usuarios de Tor una probabilidad de uno en cuatro de aterrizar en un relé de salida malicioso.
Nusenu dijo que ha estado informando los relés de salida maliciosos a los administradores de Tor desde mayo, y después del último derribo el 21 de junio, las capacidades del actor de amenazas se han reducido drásticamente.
tor-exit-malware-takedowns.png
Join Timestamp, Removal Timestamp,ContactInfo
2020-01-27 21:00:00,2020-05-22 00:00:00,loribthorpe@hotmail.com
2020-01-29 20:00:00,2020-06-22 00:00:00,thomaspli1@hotmail.com
2020-02-29 03:00:00,2020-06-21 23:00:00,mleachman00@gmail.com
2020-03-16 05:00:00,2020-05-22 00:00:00,johntor336@hotmail.com
2020-03-21 13:00:00,2020-06-15 23:00:00,abusetor1234@protonmail.com
2020-05-04 02:00:00,2020-06-21 23:00:00,fbirelays@protonmail.com
2020-05-25 08:00:00,2020-06-21 23:00:00,MichaelLyons12345@hotmail.com
2020-05-28 19:00:00,2020-06-21 23:00:00,stayhomeusetor@protonmail.ch
2020-06-02 08:00:00,2020-06-21 23:00:00,joycecbarrera@hotmail.com
Imagen: Nusenu
No obstante, Nusenu también agregó que desde la última eliminación "hay múltiples indicadores que sugieren que el atacante aún ejecuta> 10% de la capacidad de salida de la red Tor (a partir de 2020-08-08)".
El investigador sugirió que es probable que el actor de amenazas continúe su ataque ya que el Proyecto Tor no cuenta con un proceso de investigación exhaustivo para las entidades que pueden unirse a su red. Si bien el anonimato es una característica central de la red Tor, el investigador argumenta que se puede implementar una mejor verificación para al menos los operadores de retransmisión de salida.
Un ataque similar tuvo lugar en 2018
Un ataque algo similar como este tuvo lugar en 2018; sin embargo, no apuntó a los relés de salida de Tor, sino a los proxies Tor-to-web (Tor2Web), portales web en la Internet pública que permiten a los usuarios acceder a direcciones .onion generalmente accesibles solo a través del Navegador Tor.
En ese momento, la firma de seguridad estadounidense Proofpoint informó que al menos un operador de proxy Tor-to-web estaba reemplazando silenciosamente las direcciones de Bitcoin para los usuarios que acceden a portales de pago de ransomware con la intención de pagar demandas de rescate, secuestrando efectivamente el pago y dejando a las víctimas sin una clave de descifrado. , incluso si pagaron el rescate.
Resumen:
- Desde la divulgación de ataques a gran escala en la red Tor (el operador malicioso ejecutó> 10% de la capacidad de Tor) en diciembre de 2019, no se han implementado mejoras con respecto a los relés Tor maliciosos.
- El operador malicioso de Tor que se analiza en esta publicación de blog controlaba más del 23% de la capacidad de salida de la red Tor (a partir de 2020–05–22)
- El operador malicioso demostró recuperar su capacidad después de los intentos iniciales de eliminación por parte de las autoridades del directorio Tor.
- Hay varios indicadores que sugieren que el atacante aún ejecuta> 10% de la capacidad de salida de la red Tor (a partir de 2020-08-08)
- Los eventos recurrentes de operaciones maliciosas de retransmisión de Tor a gran escala dejan en claro que las comprobaciones y enfoques actuales para la detección de retransmisiones defectuosas son insuficientes para evitar que tales eventos vuelvan a ocurrir y que el panorama de amenazas para los usuarios de Tor ha cambiado.
- Se han propuesto múltiples contramedidas específicas para abordar el problema actual de la capacidad de retransmisión maliciosa.
- Depende del Proyecto Tor y de las autoridades del directorio Tor actuar para evitar más daños a los usuarios de Tor.
Introducción
Tor está gestionado por The Tor Project que es una organización sin
ánimo de lucro orientada a la investigación y la educación, y que es
financiada por distintas organizaciones. Años atrás pasó a ser patrocinado por la Electronic Frontier Foundation, que es
la organización de defensa de las libertades civiles en el mundo
digital.
Fue creada por Roger Dingledine, Nick Mathewson y Paul Syverson como una
evolución del proyecto Onion Routing, desarrollado por el laboratorio
de Investigación Naval de los Estados Unidos.
¿Cómo funciona Tor?
El nombre TOR son las siglas de 'The Onion Router', el router Cebolla. El objetivo de este proyecto es el de crear una red de comunicaciones distribuida y superpuesta al Internet convencional
Tor es una red que implementa una técnica llamada Onion Routing (enrutado cebolla en castellano), y basada en un sistema de enrutamiento por capas (de ahí la referencia a ‘onion’, cebolla en inglés)
La idea es cambiar el modo de enrutado tradicional de Internet para garantizar el anonimato y la privacidad de los datos.
La idea es cambiar el modo de enrutado tradicional de Internet para garantizar el anonimato y la privacidad de los datos.
Onion Routing, que consiste en enviar los datos por un camino no directo
utilizando diferentes nodos. Primero, el ordenador A, que quiere enviar
el mensaje a B, calcula una ruta más o menos aleatoria al destino
pasando por varios nodos intermedios. Después, consigue las claves
públicas de todos ellos usando un directorio de nodos.
El precio a pagar por la privacidad y seguridad es la velocidad, y las páginas de la Darknet TOR suelen cargar más lentas.
La red Tor es muy usada en países o lugares donde las comunicaciones
están extremadamente vigiladas y donde se persiguen a las personas que
intentan acceder a ese tipo de información Por eso es muy popular entre periodistas, activistas, trabajadores por los derechos humanos y quienes sacan información secreta a luz, especialmente aquellos que viven o trabajan en países con restricciones de Internet.
TOR es extremadamente sencillo gracias a que tiene un navegador preparado para conectarte sin grandes problemas. Lo primero que tienes que hacer es ir a la página de Tor Browser,
Viene con el buscador DuckDuckGo configurado para encontrar también páginas .onion, el dominio de las webs de esta Darknet.
También tienes una versión para Android de TOR Browser que puedes descargar desde Google Play. Su funcionamiento es extremadamente sencillo: la descargas, cuando la enciendas pulsas en Conectar y ya está, en unos segundos estarás conectado a la red TOR.
Fuentes:
https://www.zdnet.com/article/a-mysterious-group-has-hijacked-tor-exit-nodes-to-perform-ssl-stripping-attacks/
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.