Bots versteckt Verkehr mit Tornetzwerk, finden Forscher

2013-12-30  |  Comebuy News

Sicherheit Firma ESET hat zwei weitere Bot-Familien mit Tornetzwerk Anonymität versteckten Dienst-Protokoll, um Befehl entdeckt und Kontrolle (C & C) Verkehr Weg von neugierigen Augen.

Comebuy Verwandte Artikel: Cyber-Kriminelle verwenden zunehmend das Tor-Netzwerk steuern ihre Botnets, Forscher SayTor Netzwerk verwendet, um Skynet BotnetBotnet Meister Befehl ausblenden und Server in das Tor NetworkAdd auf, die HTTPS für beliebte Websites für Internet ExplorerTor Netzwerk Umhänge Your Browsing von neugierigen Augen veröffentlicht zwingt zu steuern

Die Verwendung von Tor von Cyberkriminellen ist weit von neu aber es bisher eher die Ausnahme als die Regel. Die Erkennung von Win32/Atrax und Win32/Agent.PTA benutze es Anfang dieses Monats schlägt ein wachsendes Interesse.

Die Firma Analyse zufolge Atrax sehr neu ist, zeigt eine Zusammenstellung-Daten von diesem Monat. Die Nutzung von Tor wird umständlich, was unterstreicht die kriminellen Begeisterung im Netzwerk, dass sie alle Daten von abziehen PCs durch einen dort gehosteten Server zwischengespeichert.

"Versteckte" es könnte sein, aber die Forscher konnten noch ein Login-Fenster, komplett mit seiner finsteren Logo für eine tödliche australische Funnel Web Spinne, Zugriff auf Atrax Robustus.

Der zweite Bot entdeckt die Nutzung von Tor, Agent.PTA, ist weniger anspruchsvoll aber ist in der Tat ein älterer Bot Form, die vor kurzem Tor als Experiment angenommen hat zu sehen, ob die Vorteile die Nachteile überwiegen.

Die Nutzung von Tor könnte als eine natürliche Entwicklung für C & C gesehen werden; die wichtigste Alternative ist die Verwendung einen herkömmlichen zentralen Server kontaktiert über ein standard oder auf proprietären Protokoll. Dies ist relativ leicht zu stören, wie zahlreiche 'Bot Braten"gezeigt haben, damit die wachsende Tendenz, Alternativen wie P2P, zu versuchen, die kommt mit dem Nachteil dieser Bot, die Gastgeber durch Firewall gefiltert werden können.

Tor stellt eine dritte Möglichkeit, die Tücken des P2P vermeidet, indem es herkömmliche Servern erlauben, sich über Tor zu werben, ohne ihre echten IP-Adressen preiszugeben. Tor-Verkehr ist auch verschlüsselt und kann potenziell schlagen Intrusion Detection.

Also eilte noch nicht warum die Verbrecher Tor zu verwenden, wenn es so einfach ist? Die Antwort ist, die, wie es mit P2P Unzuverlässigkeit und Latenz führt; Tor ist sicherer aber wesentlich langsamer.

Die Tatsache, die Verbrecher auf Kanal C & C durch Tor überhaupt die Mühe schlägt vor, empfinden sie etwas Druck von Anti-Bot-Aktivitäten.

"Im Sommer haben wir eine Zunahme der Zahl der Malware-Familien beginnen, TOR-basierte Kommunikation, beobachtet", sagte ESETs Alexsandr Matrosov.

"Die TOR-basierte Botnets machen es wirklich schwer zu verfolgen, Untersuchung und C & C Standortnachverfolgung. "Aber wir haben mit Win32/Atrax.A Botnet bewiesen, dass Möglichkeiten zur Analyse von Kommunikationsprotokollen sich nicht geändert haben und alle alten Tricks mit Adressen in einem Tornetzwerk funktionieren."

Kurz gesagt, dann Tor versteckt, C & C aber es ist nicht unverwundbar, Erkennung und Analyse von Sicherheitsexperten, die reverse engineer es nach der Feststellung der Malware, die es fällt. Die vom Kampf zwischen Sicherheitsfirmen und kriminelle und zeigt keine Anzeichen eines Abklingens.

Tor war auch ein Merkmal des Skynet-Botnet im Dezember letzten Jahres führte die Firma, die es, Rapid7, ein Wachstum bei der Nutzung des Netzes Vorhersagen veröffentlicht. Im vergangenen September Sicherheit Firma G Data gebloggt auf einen IRC-Chat-Server Tor versteckt.

Obwohl jetzt routinemäßig missbraucht, Tor ursprünglich als Anonymität Service für Whistleblower und Aktivisten, die in totalitären Ländern leben sollte. Trotz seiner letzten Annahme durch kriminelle ist es ein wichtiger Kanal für legitime Anti-Überwachung.

« Back