来自德国防病毒供应商G数据软件的安全研究人员已经确定了一个僵尸网络,该僵尸网络由Internet Relay Chat(IRC)服务器(IRC)服务器的攻击者控制,作为TOR匿名网络中的隐藏服务。
G数据研究人员周一在一次博客文章。
首先,研究人员或执法部门无法轻易关闭僵尸网络命令和控制服务器,因为它很难确定其真实位置,
TOR系统专门为其用户提供匿名性。当使用TOR访问Internet上的资源时,从用户的计算机发送的请求将通过其他TOR用户自愿操作的一系列节点随机路由。
此外,用户和TOR节点之间的连接以多层方式加密,这使得在本地网络级别或ISP级别运行的监视系统很难确定用户的预期目的地。
G数据研究人员说,使用TOR来控制恶意软件感染的计算机的另一个好处是,流量无法通过入侵检测系统来阻止流量。
入侵检测系统通常使用签名来识别网络上存在的感染计算机生成的流量。这些签名通常会查看流量的目的地或其实际内容。由于TOR流量并未直接指向已知的恶意目的地及其内容已加密,因此很难将其标记为恶意。
G数据研究人员发现的僵尸网络使用IRC(Internet Relay Chat)服务器,该服务器在TOR网络中作为所谓的“隐藏服务”操作。
Tor的隐藏服务协议允许人们运行各种类型的服务,例如网站或即时消息服务器,只能从TOR网络中访问。这些TOR服务可通过.onion地址而不是真实的IP地址访问,这使它们匿名。
尽管TOR网络是出于合法目的而构建的,例如通过防止网络级别的监视来保护用户隐私,但它确实为滥用提供了机会。例如,过去使用TOR网络的隐藏服务功能来托管非法药物的在线市场。
以前已经讨论过使用TOR网络托管弹性僵尸网络命令和控制服务器的可能性。Tenable Network Security的安全工程师丹尼斯·布朗(Dennis Brown)在2010年的Defcon 18安全会议上进行了谈话,讨论了这种方法的优势和劣势。
G数据研究人员说:“必须指出的是,这样的恶意软件遭受了TOR网络带来的潜伏期。”“换句话说:TOR往往很慢,不可靠,并将这些缺陷继承为基础僵尸网络。”