据安全公司ESET的研究人员称,恶意软件编写者越来越多地将Tor匿名网络作为隐藏其命令和控制(C&C)服务器真实位置的一种选择。
ESET的研究人员最近遇到了两个僵尸网络类型的恶意软件程序,它们使用(C&C)服务器作为Tor“隐藏服务”运行。
[也:跟踪僵尸网络]
Tor隐藏服务协议允许用户设置服务——通常是Web服务器——只能从Tor网络中通过一个以.onion伪域扩展结尾的随机主机名访问。
该协议被设计用来对其客户端隐藏“隐藏服务”的真实互联网协议(IP)地址,以及对服务隐藏客户端IP地址,使得任何一方几乎不可能确定另一方的位置或身份。
Tor客户端和Tor隐藏服务之间的通信是加密的,并通过参与网络并充当中继的一系列计算机随机路由。
使用Tor托管僵尸网络命令与控制(C&C)服务器并不是一个新想法。这种方法的优缺点在2010年的DefCon 18安全会议上讨论过。
这个概念的实际实施还看得过去。去年十二月,研究人员从安全公司Rapid7确认了天网僵尸网络出,从运行的Tor隐匿服务的互联网中继聊天(IRC)服务器接收命令12000至15000受感染的计算机。研究人员在其他恶意软件编写者很可能采用的设计时警告。
ESET最近发现的两个新的恶意软件程序表明他们的预测是正确的。
7月,ESET的研究人员检测到两种不同类型的基于托尔的僵尸网络,它们基于恶意软件家族Win32/Atrax和Win32/Agent。ESET恶意软件研究人员Anton Cherepanov和Aleksandr Matrosov周三说博客文章。“这两个僵尸网络都有获取表单的功能,可以进行进一步的欺诈操作。”
不像天网,Atrax和特工。PTA僵尸网络使用Web,而不是IRC,隐藏在Tor网络上的服务器来进行命令和控制。
Atrax可以下载、执行和注入恶意文件到浏览器进程中。它的功能可以通过插件扩展,插件在本地使用由每台受感染计算机的硬件参数生成的AES密钥加密。
Atrax带有一个Tor客户端组件,该组件被注入到本地浏览器中,以便通过Tor网络路由恶意软件的C&C通信。
在ESET研究人员能够欺骗Atrax C&C服务器发送到两个额外的插件感染了恶意软件的测试系统。其中之一是专门用来盗取进入Web表单的信息,另一个是能够窃取密码的。
另一个威胁在7月被确认,名为特工。ESET的研究人员说,PTA是一个自2012年就被知道的恶意软件家族的一部分。然而,Tor功能是一个新的附加功能,他们说。
像Atrax,代理。PTA具有抓取表单的能力,而且它的功能也可以通过插件进行扩展。该恶意软件连接到作为Tor隐藏服务运行的网络控制服务器。
ESET的研究人员说:“今年我们已经发现了基于托尔协议的僵尸网络,但在今年夏天,我们观察到使用基于托尔协议通信的恶意软件家族的数量在增长。”“基于torts的僵尸网络让调查和C&C位置跟踪变得非常困难。”
然而,研究人员说,即使定位C&C服务器的真实IP地址是困难的,因为它们只能从Tor网络内部访问,分析恶意软件的通信协议和命令和控制流量仍然是可行的。