Botnet-Meister ausblenden Führungs- und Server innerhalb des Tor-Netzwerks

2013-12-28  |  Comebuy News

Sicherheitsexperten von deutschen Antivirenhersteller G Data Software haben ein Botnetz identifiziert, die von Angreifern von einem Server des Internet Relay Chat (IRC) als versteckten Dienst innerhalb des Tor-Netzwerks Anonymität gesteuert wird.

Comebuy Verwandte Artikel: Hacker verwenden um BotnetHow zu verwalten, die BotnetsMalware zunehmend kämpfen verwendet DNS als Führungs- und Kanal eine um Erkennung zu vermeiden, Experten SayExtinguishing Flamme MalwareBotnets machen 2007 Stoßstange jährlich für spam

Diese Strategie bietet mehrere Vorteile für die Botnet-Betreiber, aber auch einige Nachteile, die G Data-Forscher sagte Montag in einem Blog-Post.

Zum einen der Botnet-Kommando und Kontrolle-Server kann nicht leicht heruntergefahren werden von Forschern oder Strafverfolgung weil seine sehr schwer zu bestimmen, die reale Lage

Das Tor-System wurde speziell entwickelt, um Anonymität für die Nutzer bereitzustellen. Bei der Verwendung von Tor Zugriff auf Ressourcen im Internet werden die Anfragen aus dem Computer eines Benutzers nach dem Zufallsprinzip durch eine Reihe von Knoten, die von anderen Tor-Nutzer freiwillig betrieben weitergeleitet.

Die Verbindungen zwischen Benutzern und den Tor-Knoten wird verschlüsselt auf vielschichtige Weise macht es sehr schwer für Überwachungssysteme, die Arbeiten auf Netzebene Ebene oder der ISP auf das beabsichtigte Ziel eines Benutzers zu ermitteln.

Ein weiterer Vorteil der Verwendung von Tor für die Steuerung von Malware infizierten Computern ist, dass der Verkehr von Intrusion Detection Systemen leicht geblockt werden kann nicht, sagte die G Data-Forscher.

Intrusion Detection Systeme verwenden häufig Signaturen, um Verkehr zu identifizieren, die von infizierten Computern im Netzwerk vorhanden generiert wird. Oft betrachten diese Signaturen der Verkehr Reiseziel oder den tatsächlichen Inhalt. Da Tor-Verkehr nicht direkt an bekannten bösartigen Ziele zeigen und seinen Inhalt verschlüsselt ist, ist es schwer, die Fahne es als bösartige.

Das Botnet entdeckt von G Data Forscher verwendet einen IRC (Internet Relay Chat)-Server, der als eine so genannte "versteckten Dienst" innerhalb des Tor-Netzwerks betreibt.

Tors Hidden Service Protocol ermöglicht Menschen, führen Sie verschiedene Arten von Dienstleistungen, z. B. Webseiten oder instant messaging-Server, die nur über das Tor-Netzwerk zugegriffen werden können. Diese Tor-Dienste sind durch eine .onion-Adresse und keine echte IP-Adresse, wodurch sie anonym zugänglich.

Während das Tor-Netzwerk für rechtmäßige Zwecke wie Schutz der Privatsphäre der Nutzer durch verhindern auf Netzwerkebene Überwachung errichtet wurde, bietet sie eine Möglichkeit für Missbrauch. Beispielsweise wurde die Funktionalität der versteckten Dienste des Tor-Netzwerks in der Vergangenheit verwendet, um einen online-Marktplatz für illegale Drogen zu hosten.

Die Möglichkeit der Verwendung des Tor-Netzwerks zu Host belastbare Botnet Befehl und Steuerung von Servern wurde vor diskutiert. Dennis Brown, Security Engineer bei Tenable Network Security, erörtert die Stärken und Schwächen dieses Ansatzes in einem Vortrag auf der Sicherheitskonferenz DefCon 18 2010.

"Es ist zu beachten, dass Malware so leidet die Wartezeiten, die mit dem Tor-Netzwerk kommen" sagte der G Data-Forscher. "Mit anderen Worten: Tor eher langsam und unzuverlässig und erbt diese Mängel an zugrunde liegenden Botnets."

« Back