Tor代理中的比特币支付劫持攻击分析

原始地址：hxxps://robusttldkxiuqc6[.]onion/
代理访问：hxxps://robusttldkxiuqc6[.]onion[.]to/

Tor代理中的比特币支付劫持攻击分析 1. 背景概述 Proofpoint研究人员发现了一种新型威胁： Tor代理运营者通过.onion.top域名劫持勒索软件比特币支付 。攻击者秘密将被勒索受害者支付的比特币赎金转移到自己的钱包中，同时影响了受害者和原始勒索攻击者。 2. Tor代理工作原理 2.1 Tor代理基本功能 将Tor流量转换为正常网页流量 允许用户无需安装Tor浏览器即可访问.onion网站 典型使用方式：在原始.onion URL后添加扩展名(如.to/.cab) 示例： 2.2 代理运营者的中间人能力 可无限制修改通过代理传输的内容 能够替换网页中的关键信息(如比特币地址) 3. 攻击技术细节 3.1 攻击发现 首次在 LockerR勒索软件 的赎金提示中发现此行为： 通过Tor浏览器访问：显示原始比特币地址 通过.onion.top代理访问：比特币地址被替换 3.2 受影响的勒索软件家族 3.2.1 LockerR 2017年10月首次发现 通过RIG-v漏洞利用工具包传播 后续版本移除了.top链接并添加红色警告文字 3.2.2 GlobeImposter 被替换的地址与LockerR相同 后期改进：要求使用Tor浏览器并隐藏.onion地址 3.2.3 Sigma 被替换地址与GlobeImposter相同 替换地址：1Q64uWnKMUoZ6G7BSrH77xdrewMou2zGpU 3.2.4 未受影响案例 BitPaymer勒索软件未被替换 3.3 攻击者窃取金额 已确认的两个地址窃取量： 约0.15 BTC 约1.82 BTC 其他地址窃取量未知 4. 勒索软件的防御措施 4.1 用户教育 在赎金提示中移除代理链接 添加显眼警告(如红色文字) 4.2 技术手段 4.2.1 Magniber 将比特币地址分成四部分存储在HTML源码中 增加代理检测和替换的难度 4.2.2 GlobeImposter 隐藏.onion支付地址 使用混淆技术，需点击按钮才能还原真实地址 5. 攻击影响分析 5.1 对受害者的影响 支付赎金后仍无法恢复文件 降低未来支付赎金的意愿 5.2 对勒索攻击者的影响 收益被中间人窃取 破坏"商业模式"的可信度 5.3 整体威胁趋势 反映了针对加密货币的盗窃行为增加 Tor网络滥用问题加剧 给Tor新用户带来额外风险 6. 防御建议 6.1 对普通用户 避免使用Tor代理服务 安装官方Tor浏览器访问.onion网站 警惕赎金提示中的代理链接 6.2 对企业安全团队 监控和阻断.onion.top相关域名 教育员工关于Tor代理的风险 实施比特币地址验证机制 6.3 对勒索软件开发者 实施地址混淆技术 强制使用Tor浏览器 加入地址验证机制 7. 攻击指标(IOCs) | IOC类型 | 值 | 描述 | |---------|----|------| | SHA256 | 7cf39ebb4409b13a7c153abff6661cc4d28d8d7109543d6419438ac9f2f1be57 | LockeR勒索软件 | | 域名 | lockerrwhuaf2jjx[ . ]onion | LockeR C&C | | SHA256 | ae0d28e8d57329866624ec6cf63b9609fe9e685200029d3aa207eda67747fcd7 | GlobeImposter勒索软件 | | 域名 | bcwfga5ssxh3jrlp.onion | GlobeImposter C&C | | SHA256 | 8f66bb494b3fc3063b18a18a51c7b85da90dc1bb429ded21e7dbb02b404d3831 | Sigma勒索软件 | | 域名 | yowl2ugopitfzzwb[ . ]onion | Sigma C&C | | 域名/IP | onion[ . ]top / 46.246.120.179 | Tor网关 | 8. 总结 .onion.top代理运营商的比特币支付劫持攻击虽然窃取金额不大，但严重破坏了勒索生态系统的"信任"机制。这种攻击既损害了受害者的利益，也影响了原始勒索攻击者的收益，同时凸显了加密货币交易和Tor网络使用中的安全风险。