Zločinecké gangy zneužívají síť Tor k ovládání botnetů

30. 7. 2013

Sdílet

 Autor: © REIMUSS - Fotolia.com
Výzkumníci firmy ESET objevili dva nové malwary, které mají ovládací centrum skryté v anonymizační síti Tor.

Programátoři různých zločineckých gangů stále častěji využívají možností anonymizační sítě Tor jako řešení pro ukrytí skutečného umístění jejich řídících serverů. Uvedla to firma ESET, jejíž výzkumný tým v nedávné době našel dva nové malwarové programy typu „botnet“ – jejichž řídící servery byly nastaveny jako tzv. skrytá služba Tor. Protokol „Tor Hidden service“ umožňuje uživatelům nastavovat služby – většinou servery WWW –, které nemají jednoduše odhalitelnou IP adresu a lze k nim přistupovat pouze pomocí náhodně vypadajícího názvu končícího příponou .onion.

Tento protokol byl navržen s cílem zamaskovat skutečnou adresu IP ukrývané služby serveru a současně ukrýt adresy IP klientů před serverem. Je tak prakticky nemožné pro obě strany, službu provozující i službu využívající, zjistit umístění nebo identitu svého protějšku. Komunikace mezi klientem Tor a skrytou službou Tor je šifrována a náhodně směrována mezi sérií počítačů, které jsou součástí sítě a slouží jako směrovače.

Použití sítě Tor pro hostování řídících serverů není zcela nová myšlenka. Možnosti tohoto přístupu byly diskutovány v prezentaci na bezpečnostní konferenci DefCon 8 v roce 2010. Praktická implementace konceptu byla odhalena  loni v prosinci, kdy bezpečnostní firma Rapid7 identifikovala botnet Skynet složený ze 12 až 15 tisíc napadených počítačů, které přijímaly příkazy ze serveru IRC (Internet Relay Chat) běžícího právě jako skrytá služba Tor. Prezentující na konferenci varovali, že taková architektura se bude objevovat stále častěji. Dva nové botnety objevené ESETem ukazují, že tato předpověď byla pravdivá.

Na rozdíl od Skynetu oba botnety (postavené na malwaru Win32/Atrax a Win32/Agent.PTA) využívají řídícího serveru WWW. Atrax stahuje, spouští a vkládá infikované soubory do webového prohlížeče. Funkce mohou být rozšiřovány pomocí zásuvných modulů, které jsou lokálně šifrovány pomocí klíče AES generovaného z hardwarových parametrů každého infikovaného počítače. Atrax obsahuje klienta sítě Tor, který moduly doinstalovává do prohlížeče napadaného počítače a další komunikace malwaru je potom směrována do sítě Tor.

Agent.PTA je součástí rodiny malwaru, která je známá od roku 2012, ale funkce související se sítí Tor jsou nové. Stejně jako Atrax Agent.PTA dokáže krást obsah formulářů a ze sítě Tor si může průběžně stahovat nové funkce.

Nicméně, i když je obtížné najít skutečné adresy IP řídících serverů, je podle bezpečnostních expertů stále ještě možné analyzovat komunikační protokol malwaru a případně nad botnetem převzít kontrolu.

 

Autor článku