Tor本來是為用戶提供匿名上網保護用戶隱私的工具，但是對于一些用戶來說，他們可以利用Tor的隱蔽性進行黑客攻擊或非法交易活動�？偨YTor的惡意應用主要表現在以下幾方面。
1.Botnet利用Tor
僵尸網絡作為最有效的網絡攻擊平臺，給互聯網安全帶來了巨大的威脅。隨著攻防技術的不斷研究，僵尸網絡的形態和控制命令機制也在不斷變化[1]：
（1）首先是IRC機制，中心化結構但是有單點故障問題；
（2）P2P結構，解決了單點故障問題，但是無法監視命令狀態，實現又很復雜；
（3）HTTP協議的botnet，又不斷改進為動態訪問機制的Fast-Flux和Domain-Flux。
僵尸網絡利用Tor進行匿名通信首次被提出是在2010 DefCon大會上，以“ZeuS”為例將C&C服務器部署于Tor暗網中，但是它不支持代理，不能直接使用Tor，但是可以通過設置URL使用tor2web代理服務進行訪問暗網（圖1，圖2）。這樣以最小的代價提高了botnet的存活性，Tor網絡配置簡單，只需提供一個.onion地址就可以實現隱藏C&C。

圖1 ZeuS不支持配置dialing

圖2 通過Tor2Web格式化請求腳本
直到2012年12月“Skynet”的出現驗證了“Botnet over Tor”的思想。Botnet主要利用Tor的隱藏服務功能隱藏C&C服務器，并在惡意程序中包含Tor程序，通過下達指令使bot自動安裝Tor組件，進而通過Tor網絡進行通信（如圖3）�？刂普邔⑺�有命令與控制信道都在Tor網絡中進行，這樣的好處有：
（1）不存在出口節點泄露信息的威脅；
（2）控制者身份不易被追蹤和暴露；
（3）C&C服務器幾乎可以免除被關閉或刪除。
隨后2013年隨著Tor用戶量的異常增加，“Sefnit”[2]僵尸網絡出現了，也是通過Tor隱藏C&C服務器，之后Tor項目對該版本的Tor（惡意代碼隨意執行無驗證漏洞）進行升級，微軟更新安全組件、掃描工具等進行清理惡意程序。2014年又出現了首個基于Tor的Android僵尸網絡隱藏C&C進行通信（圖4）。

圖3 botnet利用Tor隱藏C&C

圖4Android botnet
但是利用Tor的botnet也存在一些弊端[3]：
（1）Botnet大量使用Tor，導致Tor的下載速度下降、Tor的用戶量劇增，必然會引起Tor用戶的關注和安全專家的研究；
（2）使用Tor訪問需要安裝、配置和運行Tor，導致botnet的網絡異常；
（3）Tor本身的流量特征模式也比較明顯，增加botnet的異常性；
（4）使用Tor可能需要增加額外的大量功能代碼；
（5）使用Tor后botnet仍然面臨著Crawling攻擊和Sinkholing攻擊。
可見botnet和Tor的強強聯合沒有并帶來更好的效果。
2.勒索軟件利用Tor
勒索軟件是一種可控制用戶系統或資產，并以此為條件向用戶勒索錢財的惡意軟件。主要分為兩類：
加密型勒索：感染目標設備后通過強大的加密算法（AES、RSA等）將用戶文件、磁盤、數據庫進行加密。
鎖定型勒索：感染目標設備后通過篡改設備密碼將設備鎖定，使得用戶無法正常使用。
近幾年，勒索攻擊事件愈演愈烈，勒索軟件在全球范圍內猖獗。CyberEdge公司發布2017年度網絡威脅防御報告，報告中指出有61%的組織受到過勒索軟件的侵害，其中1/3的用戶選擇了支付贖金。勒索軟件不斷呈現新的態勢，在目標感覺階段、本地攻擊階段、勒索支付階段的復雜性和多樣性一直在增加。其中，在本地攻擊階段和勒索支付階段分別使用了Tor。
在本地攻擊階段勒索軟件使用Tor隱藏C&C服務器，如CTB-Locker[5]。用戶被感染后CTB-Locker利用不可破解的EllipticCurve Diffie-Hellman算法對文件進行加密，所有通信和數據傳遞都通過Tor網絡來進行，C&C服務器使用Hidden Service，使其更加難以追蹤和關停。用戶不需要安裝有Tor瀏覽器，Tor的可執行程序被硬編碼到惡意軟件中（圖5）。
在勒索支付階段使用了Tor網絡提供支付比特幣贖金地址，如CryptoWall3.0和PETYA ransomware，勒索信息里會包含一條以“.onion”結尾的鏈接地址（圖6），告知用戶交易地址，這樣很難被追蹤，即使沒有解密也難以追回贖金，但是勒索者在這方面都具有驚人的良好信用。

圖5 勒索軟件利用Tor隱藏C&C

圖6 通過Tor支付贖金
3.比特幣利用Tor
比特幣是一種在P2P網絡里進行交易的基于密碼學的分散式虛擬貨幣。比特幣交易系統里的付款人和收款人的交易地址都是公鑰編碼后的哈希值，所以一般不可識別。但是可以通過IP地址與你的交易聯系起來，如通過ISP、NSA、惡意節點攻擊等方法。所以Tor被用到比特幣中防止交易方的IP地址泄露（圖7）。
 

圖7 比特幣利用Tor隱藏地址

圖8 攻擊者部署惡意節點  
但是，比特幣通過Tor進行交易并不是一個好的想法，很容易被攻擊者利用[5]。
       首先，在比特幣網絡中，如果比特幣節點收到惡意構造的畸形消息（如某些協議字段的大小不正確），通過其內部機制的判斷，會將消息發送者的源IP地址加入黑名單中，導致該IP在24小時內無法訪問該比特幣服務節點。
攻擊者的攻擊流程如下：
（1）分別構造少量惡意的比特幣節點和Tor出口節點，并向各自所在網絡中宣傳，讓普通用戶的地址列表中存在這些惡意節點。
（2）攻擊者通過Tor網絡向合法的比特幣服務節點發送大量惡意構造消息，導致Tor網絡正常的出口節點被比特幣服務節點拒絕訪問。
（3）用戶通過Tor網絡訪問合法比特幣節點時，如果選擇了被拒絕訪問的Tor出口節點則不得不重新選擇訪問鏈路。此時用戶可能會選擇攻擊者構造的惡意Tor出口節點，或者Tor出口節點是合法的，但最終指向了攻擊者部署的惡意比特幣節點（圖8）。
以上兩種可能都實現了中間人攻擊，可見Bitcoin利用Tor隱藏地址會出現新的風險。
4.Tor出口節點嗅探流量
Tor網絡在設計之初，只是為了隱藏發送者和接收者的位置信息，并沒有對內容信息進行隱藏，網站可以使用HTTPS對其加密。但是很多網站仍然使用HTTP協議構建網絡，這給Tor網絡的出口節點制造了嗅探流量的機會。利用蜜罐技術可以識別惡意出口節點（圖9）。
（1）研究者在實驗中[6]部署一個蜜罐網站，并且設置訪問權限。
（2）通過正常的Tor網絡訪問該蜜罐網站，每次訪問都分別使用唯一的用戶名密碼賬號信息，并記錄出口節點IP地址及其他信息。
（3）如果該網站被登錄過的用戶名密碼再次訪問說明賬號信息泄露，該賬號對應的Tor出口節點已嗅探流量，視為惡意出口節點。
實驗證明在1400個出口節點中存在7個惡意嗅探流量的節點，畢竟大多數的志愿者是友好的。另外，Tor的出口節點也有可能修改用戶請求數據或插入惡意代碼實施中間人攻擊，該種情況可以通過比較使用Tor網絡訪問網站和不使用Tor網絡訪問相同網站的響應數據是否一致，如果不一致即說明出口節點可能實現了中間人攻擊（圖10）。

圖9 識別惡意Tor出口節點嗅探流量

圖10 識別惡意Tor出口節點中間人攻擊
5.黑市交易
Tor網絡不僅可以隱藏發送者的地址信息，也可以隱藏接收者的服務器地址信息。很多黑市商人利用Tor網絡搭建匿名服務器進行黑市交易，著名的“絲綢之路”就是利用Tor網絡的犯罪市場。雖然“絲綢之路”已被查封，但是暗網中仍然存在大量的黑市交易產業（圖11）。

圖11 暗網非法交易
6.小結
    Tor的應用在一定程度上會給惡意應用者帶來隱蔽性，但是由于Tor本身的流量特殊性以及去匿名化的研究越來越多，Tor的附加應用不一定會帶來更好的效果。