Мінуси використання tor мереж.

Як заявляв кілька разів Deep Web, завдяки анонімності його сполуки, надає для кібер-злочинців ідеальні умови, щоб вирости в прибутковий бізнес.В основному обговорюється deep web, як використовувана частина кібер-простору, в основному, щоб продати все, від шкідливих програм і інших кримінальних послуг, але в прихованому світі, також можуть бути використані, щоб дати хост для компонента шкідливої архітектури, використовуваної кібер-злочинцями.

У вересні 2012 року німецьким охоронною фірмою G Data Software виявлений ботнет зокрема, функція, яка управляється за допомогою Internet Relay Chat (IRC) сервера, що працює в якості прихованих сервісів Tor.

Я розповідав в минулій статті перевага цієї конструкції вибору, давайте подумаємо, приміром, наскільки важким може бути локалізація командування і управління сервером, засоби шифрування сполук внутрішніх систем в мережі і непередбачуваність маршрутизації інформації.

Інженер безпеки Денніс Браун під час Конференції Defcon в 2010 році обговорював можливості за допомогою мережі Tor, щоб господар ботнету командував і керував серверамі.Інженер пояснив перевагу прийняття прихованого сервісу в ботнет архітектурі, що приводиться в наступних пунктах:

  • Наявність перевірених прихованих сервісів.
  • Наявність приватної мережі Tor
  • Можливість виходу вузла повені

Механізм, який використовується по ID заснований на виявленні відомих підписів, доступних для основної бот-мережі агентів, це передбачає аналіз даних, що передаються зараженими машінамі.В конкретному випадку трафік буде маршрутизироваться і шифрується, що робить процес аналізу жорстким, нагадаю, що в прихованих сервісах всередині мережі Tor, які можуть бути доступні тільки всередині мережі Tor, знаючи, призначений .onion адрес.Модель бот-мережі можна використовувати для різних областей, у військовій - як кібер-зброї, в промисловості, для кібер-шпигунства, в кіберпрест пності закрадається, щоб красти осмислену інформацію, наприклад, банківські облікові дані.

Дослідники використовують аналіз трафіку для виявлення ботнет діяльності і локалізувати управління серверами, як правило, системивиявлення вторгнень і мережевих аналізаторів, прийнятих з цією метою.



Після виявлення бот-мережі, щоб обезголовити її використовуються різні методи, такі як:

  • Затемнення сервера IP CC
  • Очищення сервера, хостинг ботнету і скомпрометовані хости
  • Скасування доменного імені
  • Зупинка послуг хостінг-провайдера
Дослідник Денніс Браун запропонував два рішення, щоб використовувати мережу Tor для ботнет інфраструктури:
  1. "Проксі-модель, заснована на Tor2Web"
  2. "Проксі-aware шкідливих програм через мережу Tor"

"Проксі-модель, заснована на Tor2Web"

Використання прихованих сервісів для ботнет настройки - цікавий вибір, HTTP прихований сервіс та може працювати за мережевими пристроями, такими як NAT і брандмауери, без необхідності піддавати послуги в сеті.На етапі підготовки бот-мережі створити доволі легко через наявність web-сервера простого в установці, як прихований сервіс в DeepWeb і можливість отримання ботнет компонентів практично везде.В ботнет інфраструктурі зростає складність, і навіть вони обладнані дружнім адмініструванням, пультом управління, які полегшують їх конфиг урацил.

У запропонованій моделі трафік йде в мережі Tor за допомогою Tor2Web проксі для перенаправлення .onion веб-трафіку, дозвольте нагадати, що tor2web-проект, щоб дозволити користувачам Інтернету доступ до анонімних серверів.

Ось як це працює: Уявіть собі, що у вас є те, що ви хочете публікувати анонімно, як в "записках Федераліста» orleaked документи від інформаторів. Ви публікуєте їх через HTTP з використанням прихованого сервісу Tor-таким чином ваша анонімність буде захищена. Люди можуть отримати доступ до цими документами через tor2web, так що з Web-браузера вони їх можуть не бачити.

Скрипти для запуску Команд і Управління відбуваються через Tor2Web так, що бот повинен підключатись до прихованого сервісу, що проходить через проксі-сервер, вказавши на адресу

Таким чином, перенаправляти трафік на проксі-сервер для прихованого Сервісу, визначеної .onion адреса, Командування І Контроль серверів, так і залишиться прихованою в мережі Tor, і їх неможливо розшукати. Слабкими аспектами подібного підходу є те, що зазвичай легко фільтрувати рух в Tor2Web, подібні проксі повинні управлятися botmaster для того, щоб уникнути провалу або реєстрації з третьої частини і вся інфраструктура може понести значну латентність мережі Tor, які роблять несприйнятливою ботнет з таким підходом.

"Проксі-aware - шкідливі програми через мережу Tor"

Другий сценарій не передбачає Tor2Web, замість того, щоб це зробити на проксі updates, через відсутність Tor2Web повинні запускати Tor на заражених хостах.Главное відміну відносно першого рішення полягає у вимогах до агентам і їх конфігурації, ботам, необхідно мати підтримку SOCKS5 , щоб мати можливість підключитися через Tor, щоб .onion адреса завантаження ТЗ на жертви.

Цей другий підхід є більш безпечним, тому що трафік не маршрутизируются через проксі-сервер і повністю знаходиться всередині мережі Tor, завдяки прямого зв`язку між ботом і CC, уникаючи можливість перехоплювати дані з виходу вузлів, які не використовуються для цього сценарія.Понятно, що подібний підхід є більш складним, від боа боку, бот потреб підтримки SOCKS5 і, звичайно ж, це необхідно, що б Tor функціонувала належним чином, щоб підтримувати синхронізацію в машині бот-мережі. У присутності Tor трафік в мережі може вказувати на наявність аналогічних ботнет архітектур, які можуть так виявлені за допомогою мережі аномалій і методів виявлення.

висновки

G Data експерти декларували

"Іншими словами: ТЗ, як правило, буде повільним і ненадійним, і успадковує ці недоліки, до основних бот-мереж."

Моя особиста думка полягає в тому, що сьогодні не так складно побудувати bot net на базі Tor мереж і, як заявили дослідники мінуси такого вибору, в основному пов`язані з повільністю сеті.Как зазвичай, краще рішення є компромісом, схожим рішенням є правильний вибір для підтримки прихованої команди і контролю серверів, прийняття жорстких досліджень експертами з питань безпеки та правопорядку.
Наведені рішення, повинні представляти собою проникнення в тему, для того, щоб розробити відповідні контрзаходи, якби ми мали знайти нас в таких ботнетах.

P.P.S. Якщо у Вас є питання, бажання прокоментувати або поділитися досвідом, напишіть, будь ласка, в коментарях нижче.

Поділися в соц мережах:
Cхоже
Windows update помилка 0x80072ee2.Windows update помилка 0x80072ee2.
Налаштування системного проксі сервера в windows 7Налаштування системного проксі сервера в windows 7
Як налаштувати проксі сервер в windows 8.1.Як налаштувати проксі сервер в windows 8.1.
Кому потрібен приватний проксі серверКому потрібен приватний проксі сервер
Який сервер вибратиЯкий сервер вибрати
Google і firefox спільне використання проксі-сервера.Google і firefox спільне використання проксі-сервера.
Що таке проксі сервер?Що таке проксі сервер?
Як налаштувати проксі-сервер в браузері opera?Як налаштувати проксі-сервер в браузері opera?
Проксі-сервер - відмінний спосіб зберегти свою анонімністьПроксі-сервер - відмінний спосіб зберегти свою анонімність
Що таке proxy-сервер, і що він даєЩо таке proxy-сервер, і що він дає
Tor project. Як приховати свій реальний ip-адреса?Tor project. Як приховати свій реальний ip-адреса?
Як приховати або підмінити свій ip адресу?Як приховати або підмінити свій ip адресу?
Що відбувається в кіберпросторі.Що відбувається в кіберпросторі.
1-Click web proxy розширення для google chrome.1-Click web proxy розширення для google chrome.
Управління бізнес-сервісами manageengine it360.Управління бізнес-сервісами manageengine it360.
Супутниковий інтернет.Супутниковий інтернет.
Управління продуктивністю мережі з manageengine opmanager.Управління продуктивністю мережі з manageengine opmanager.
Sidestep автоматичне перенаправлення трафіку в mac.Sidestep автоматичне перенаправлення трафіку в mac.
Плюси vpnПлюси vpn
Телефони будуть приєднані хакерами в інфіковані мережіТелефони будуть приєднані хакерами в інфіковані мережі

Увага, тільки СЬОГОДНІ!