Защищенные DRM файлы помогают деанонимизировать пользователей Tor

Как сообщают ИБ-эксперты компании Hacker House, загрузка и открытие файлов, защищенных с помощью технических средств защиты авторских прав Windows DRM, может раскрыть реальные IP-адреса пользователей браузера Tor.

Кибератаки на пользователей Windows с применением защищенных DRM медиафайлов известны еще с 2005 года, однако до недавнего времени они осуществлялись исключительно для распространения вредоносного ПО.

Атака работала следующим образом. Злоумышленники хитростью заставляли жертву открыть защищенный DRM медиафайл. Как правило, файл должен был открыться в Windows Media Player. Тем не менее, вместо него пользователю отображалось уведомление с ссылкой, по которой нужно пройти якобы для валидации контента. Пользователь мог либо согласиться пройти валидацию, либо отказаться. Ссылка для авторизации была вредоносной и использовалась злоумышленниками для заражения системы жертвы вредоносным ПО.

Как обнаружили исследователи Hacker House, уведомление отображается только при попытке открыть защищенный DRM медиафайл, неподписанный с помощью соответствующих инструментов. Если атакующий подпишет файл, используя официальные SDK от Microsoft, такие как Windows Media Encoder или Microsoft Expression Encoder, уведомление отображаться не будет. Windows Media Player сразу автоматически откроет нужную ссылку в Internet Explorer.

Подпись одного файла с помощью официальных SDK от Microsoft обойдется в $10 тыс. – сумму, которую среднестатистический киберпреступник не может себе позволить заплатить. Однако для правительственных хакеров и спецслужб такая цена вполне доступна.

К примеру, спецслужба может создать поддельный сайт-наживку с детской порнографией и разместить на нем подписанный соответствующим образом защищенный DRM медиафайл. Когда пользователь попытается открыть его, файл использует Internet Explorer для пинга сервера спецслужбы. Такая же тактика может применяться для приманки террористов, пытающихся открыть файл якобы пропагандистского характера, покупателей наркотиков и оружия, ищущих новости диссидентов, и т.д.

Источники:

securitylab.ru
myhackerhouse.com




Добавить комментарий

Войти с помощью: