Tor网络用来命令天网僵尸网络

其他僵尸网络运营商可能会使用Tor隐藏在他们对未来的命令和控制服务器,研究人员说,

CSO资深作家,IDG新闻服务 |

安全研究人员已经确认了一个由Tor匿名网络的创建者控制的僵尸网络。据漏洞评估和渗透测试公司Rapid7的团队称,其他僵尸网络运营商很可能会采用这种方法。

可以使用僵尸网络称为天网,发动DDoS(分布式拒绝服务)攻击,生成比特币——一种虚拟货币——使用显卡安装在被感染的计算机的处理能力,下载并执行任意文件或窃取网站登录凭证,包括网上银行的。

背景:僵尸网络主人隐藏命令和控制服务器内部的Tor网络

然而,真正让这个僵尸网络脱颖而出的是,它的命令和控制(C&C)服务器只能通过Tor匿名网络使用Tor隐藏服务协议访问。

Tor的隐匿服务是最常用的Web服务器,但也可以是互联网中继聊天(IRC),安全外壳(SSH)和其它类型的服务器。这些服务只能从Tor网络中通过随机前瞻性的主机名来访问,在.onion伪顶级域名结束。

隐藏服务协议被设计用来对服务隐藏客户端的IP地址,对客户端的IP地址隐藏服务的IP地址,使得涉及的各方几乎不可能确定彼此的物理位置或真实身份。像所有通过Tor网络的通信一样,Tor客户端和Tor隐藏服务之间的通信是加密的,并通过一系列充当Tor继电器的其他计算机随机路由。

Rapid7的安全研究员、恶意软件“布谷鸟沙盒”(Cuckoo Sandbox)分析系统的创建者克劳迪奥瓜涅里(Claudio Guarnieri)上周五在一封电子邮件中表示,Tor Hidden Services非常适合僵尸网络操作。“据我所知,在技术上没有办法追踪,也绝对没有办法摧毁C&C使用的隐藏服务。”

Guarnieri发表了一博客关于周四的天网僵尸网络他相信僵尸网络就是那个由自认僵尸网络运营商所描述在“IAMA”(我是)在Reddit上的线程七个月前。reddit的“IAMA”或“AMA”(问我什么)线程允许谁执行不同的工作或有不同的职业,从其他用户的书签交易问题答案的人。

尽管大约七个月前由它的创作者在Reddit上提供的僵尸网络的丰富信息,僵尸网络仍然活着强。事实上,Rapid7研究人员估计,该僵尸网络的当前大小为12,000至15,000受感染的计算机,高达50%以上的是什么运营商估计7个月前。

这个僵尸网络背后的恶意软件是通过新闻组,本来在20世纪80年代作为一个分布式讨论平台初建制度分配,但现在常用来分发盗版软件和内容,俗称“名单中。”

“我们偶然发现它在Usenet上,开始挖掘有,实现了运营商自动重新包装并上传为每一个新流行的盗版软件版本的恶意软件,”瓜尔涅说。“它可以在其他文件共享平台上有可能被发现过,但我们在这一点上没有任何证据。”

用户通常从Usenet下载内容,然后通过BitTorrent等其他文件共享技术重新分发。

天网恶意软件有几个组成部分:一种IRC控制的机器人,可以发射多种类型的DDoS攻击和执行其他几个动作,一个Tor客户端的Windows,所谓的Bitcoin开采应用和宙斯特洛伊木马程序的版本,这是能够挂接到浏览器进程并窃取登录各种网站的凭据。

虽然Tor有利于匿名,但它对僵尸网络操作也有缺点,比如延时增加,有时不稳定。

“显然,他们[僵尸网络运营商]可以通过Tor的不只是地道的一切,”瓜尔涅说。“如果僵尸网络正在执行一些沉重,频繁和嘈杂的沟通,那么它可能是有问题的。”

然而,如果目标仅仅是被感染的机器能够检索在合理的时间服务器的命令不暴露其位置,然后Tor的作品不够好,他说。“我敢肯定,更botherders肯定会复制这样的设计。”

“这是一个值得关注的重要原因之一,”在反病毒厂商BitDefender的高级电子威胁分析师波格丹Botezatu说,通过电子邮件。“如果一个botherder可以通过TOR布线C&C的流量保持匿名七个月,那么它肯定会与其他botmasters坚持下去。”

这就是说,Botezatu认为,托尔可能不适合大型僵尸网络,因为Tor网络,这已经是比较慢的,可能不能够处理大量的并发连接。

瓜涅里说,僵尸网络对Tor网络本身的影响实际上取决于滥用的规模。他说,天网僵尸网络的一个特点是,每一台受感染的机器都会变成一个Tor中继,讽刺的是,这让网络变得更大,能够承受负载。

僵尸网络创建者最近实施的指挥和控制的目的,而不是基于托尔 - 那些对等网络的解决方案,因为它们提供匿名的同一水平,不引入延迟问题增加弹性,Botezatu说。此外,对等网络的实现已经很好地证明了测试,他说。

基于托尔的做法并不新鲜,说马可·普罗伊斯,德国的全球研究和分析团队在反病毒厂商卡巴斯基实验室的负责人,通过电子邮件。“在过去几年的一些演讲和研究论文中提到了僵尸网络的这种方法。”

“其中最重要的缺点是复杂的实现 - 错误导致容易检测 - 也速度是一个缺点,”普罗伊斯说。根据Tor的是如何在僵尸网络基础设施的使用,有可能是解决方案,以检测并阻断交通,以及禁用僵尸网络,他说。

Botezatu说:“一个大约一万台机器的僵尸网络对全球互联网来说不是一个严重的问题,但是,如果事情升级,我们确信节点管理员将与isp和执法部门合作,以打击恶意通信。”“毕竟,Tor是为匿名和保护隐私而设计的,不是为网络犯罪而设计的。”

“有对策,企业或ISP可以在他们的防火墙最终执行是下降,从已知的TOR节点所有的包,以尽量减少他们收到的潜在的恶意通信量,” Botezatu说。“当然,他们也可能最终黑名单一些合法的Tor用户寻找一位不愿透露姓名的。”

加入网络世界社区有个足球雷竞技app脸谱网LinkedIn对最重要的话题发表评论。
有关:

Lucian Constantin是CSO的高级作家,内容涉及信息安全、隐私和数据保护。

版权所有©2012Raybet2

工资调查:结果是