Nowe zagrożenie - botnet sterowany z sieci Tor

Specjaliści z niemieckiej firmy G Data Software wykryli nowy botnet, który choć pod wieloma względami przypomina inne sieci zombie-PC, to jednak ma pewną unikalną cechę - jest kontrolowany za pomocą serwera IRC uruchomionego w anonimizującej sieci Tor. Zdaniem ekspertów, zlikwidowanie takiego botnetu może być wyjątkowo trudnym zadaniem.

Sieć Tor stworzono z myślą o zapewnieniu użytkownikom maksymalnej anonimowości - system funkcjonuje w oparciu o sieć routerów cebulowych, za pośrednictwem których przesyłane są zapytania i dane od użytkownika do serwera (np. strony WWW czy serwera IRC). Taka budowa sieci sprawia, że bardzo trudne jest prześledzenie ścieżki, jaką przesyłane są informacje, a także określenie fizycznej lokalizacji użytkownika czy serwera.

Z pewnością na to właśnie liczyli twórcy nowego botnetu - ponieważ do wysyłania komend do komputerów wchodzących w skład sieci wykorzystują serwer IRC działający jako ukryta usługa w sieci Tor. Specjaliści z G Data Software przyznają, że dla przestępców takie rozwiązanie ma wiele sensu, bo w tej sytuacji zlikwidowanie systemu sterowania bonetem może być znacznie trudniejsze niż w przypadku tradycyjnych serwerów command & control (zwykle ich namierzenie nie jest skomplikowane).

Zobacz również:

Co więcej, wykorzystanie sieci Tor utrudni blokowanie ruchu z zarażonych komputerów (oprogramowanie zabezpieczające nie zawsze jest w stanie poprawnie monitorować szyfrowany ruch). Tor umożliwia użytkownikom tworzenie usług - np. stron WWW czy serwerów IM - które będą dostępne wyłącznie z tej sieci (identyfikują się one po adresach .onion, a nie klasycznych adresach IP).

Specjaliści zwracają uwagę, że choć Tor stworzono w jak najbardziej szczytnym celu (zapewniania użytkownikom prywatności oraz ochrony przed inwigilacją), to ostatnio jest ona coraz częściej wykorzystywana do niecnych celów - niedawno wykryto tam np. serwis wyspecjalizowany w dystrybucji narkotyków i nielegalnych medykamentów. Warto dodać, że o możliwości wykorzystania sieci Tor do kontrolowania bonetu mówiło się już od dawna - w 2010 r. obszerną prezentację na ten temat przedstawił na konferencji DefCon Dennis Brown, specjalista ds. bezpieczeństwa z firmy Tenable Network Security.

Warto jednak odnotować, że zastosowanie Tora do kontrolowania złośliwego oprogramowania ma również pewne wady - sieć znana jest bowiem z powolnego i niestabilnego działania (te cechy zaobserwowano również w analizowanym botnecie).


TOP 200