Nowe zagrożenie - botnet sterowany z sieci Tor
- Antoni Steliński,
- 13.09.2012, godz. 10:17
Specjaliści z niemieckiej firmy G Data Software wykryli nowy botnet, który choć pod wieloma względami przypomina inne sieci zombie-PC, to jednak ma pewną unikalną cechę - jest kontrolowany za pomocą serwera IRC uruchomionego w anonimizującej sieci Tor. Zdaniem ekspertów, zlikwidowanie takiego botnetu może być wyjątkowo trudnym zadaniem.
Polecamy:
Z pewnością na to właśnie liczyli twórcy nowego botnetu - ponieważ do wysyłania komend do komputerów wchodzących w skład sieci wykorzystują serwer IRC działający jako ukryta usługa w sieci Tor. Specjaliści z G Data Software przyznają, że dla przestępców takie rozwiązanie ma wiele sensu, bo w tej sytuacji zlikwidowanie systemu sterowania bonetem może być znacznie trudniejsze niż w przypadku tradycyjnych serwerów command & control (zwykle ich namierzenie nie jest skomplikowane).
Co więcej, wykorzystanie sieci Tor utrudni blokowanie ruchu z zarażonych komputerów (oprogramowanie zabezpieczające nie zawsze jest w stanie poprawnie monitorować szyfrowany ruch). Tor umożliwia użytkownikom tworzenie usług - np. stron WWW czy serwerów IM - które będą dostępne wyłącznie z tej sieci (identyfikują się one po adresach .onion, a nie klasycznych adresach IP).
Specjaliści zwracają uwagę, że choć Tor stworzono w jak najbardziej szczytnym celu (zapewniania użytkownikom prywatności oraz ochrony przed inwigilacją), to ostatnio jest ona coraz częściej wykorzystywana do niecnych celów - niedawno wykryto tam np. serwis wyspecjalizowany w dystrybucji narkotyków i nielegalnych medykamentów. Warto dodać, że o możliwości wykorzystania sieci Tor do kontrolowania bonetu mówiło się już od dawna - w 2010 r. obszerną prezentację na ten temat przedstawił na konferencji DefCon Dennis Brown, specjalista ds. bezpieczeństwa z firmy Tenable Network Security.
Warto jednak odnotować, że zastosowanie Tora do kontrolowania złośliwego oprogramowania ma również pewne wady - sieć znana jest bowiem z powolnego i niestabilnego działania (te cechy zaobserwowano również w analizowanym botnecie).