Как заявлял несколько раз Deep Web, благодаря анонимности его соединения,предоставляет для кибер-преступников идеальные условия,чтобы вырасти в прибыльный бизнес.В основном обсуждается deep web,как используемая часть кибер-пространства,в основном,чтобы продать всё,от вредоносных программ и других криминальных услуг,но в скрытом мире,также могут быть использованы,чтобы дать хост для компонента вредоносной архитектуры, используемой кибер-преступниками.

В сентябре 2012 года немецкой охранной фирмой  G Data Software обнаружен ботнет в частности,функция,которая управляется с помощью Internet Relay Chat (IRC) сервера,работающая в качестве скрытых сервисов Tor.

Я рассказывал в прошлой статье преимущество этой конструкции выбора,давайте подумаем,например,насколько трудным может быть локализация командования и управления сервером,средства шифрования соединений внутренних систем в сети и непредсказуемость маршрутизации информации.

Инженер безопасности Деннис Браун в ходе Конференции Defcon в 2010 году обсуждал возможности с помощью сети  Tor,чтобы хозяин ботнета командовал и управлял серверами.Инженер объяснил преимущество принятия скрытого сервиса в ботнет архитектуре,что приводится в следующих пунктах:

  • Наличие проверенных скрытых сервисов.
  • Наличие частной сети Tor
  • Возможность выхода узла наводнения

Механизм,используемый по ID основан на обнаружении известных подписей, доступных для основной бот-сети агентов,это предполагает анализ данных,передаваемых зараженными машинами.В конкретном случае трафик будет маршрутизироваться и шифруется,что делает процесс анализа жёстким,напомню,что в скрытых сервисах внутри сети Tor,которые могут быть доступны только внутри сети Tor,зная, назначенный .onion адрес.Модель бот-сети может быть использована для различных областей,в военной — как кибер-оружия, в промышленности, для кибер-шпионажа,в киберпреступности, чтобы украсть осмысленную информацию, например, банковские учетные данные.

Исследователи используют анализ трафика для обнаружения ботнет деятельности и локализовать управление серверами,как правило, системы обнаружения вторжений и сетевых анализаторов,принятыми для этой цели.

После обнаружения бот-сети,чтобы обезглавить её используются различные методы, такие как:

  • Затемнения сервера IP C&C
  • Очистка сервера,хостинг ботнета и скомпрометированные хосты
  • Отмена доменного имени
  • Остановка услуг хостинг-провайдера
Исследователь Деннис Браун предложил два решения, чтобы использовать сеть Tor для ботнет инфраструктуры:
  1. “Прокси-модель,основанная на Tor2Web”
  2. “Прокси-aware вредоносных программ через сеть Tor”

“Прокси-модель,основанная на Tor2Web

Использование скрытых сервисов для ботнет настройки — интересный выбор,HTTP скрытый сервис и может работать за сетевыми устройствами,такими как NAT и межсетевые экраны,без необходимости подвергать услуги в сети.На этапе подготовки бот-сети создать довольно легко из-за наличия web-сервера простого в установке, как скрытый сервис в DeepWeb и возможность получения ботнет компонентов практически везде.В ботнет инфраструктуре растет сложность, а также они оборудованы дружественным администрированием,пультом управления,которые облегчают их конфигурацию.

В предложенной модели трафик уходит в сети Tor с помощью Tor2Web прокси для перенаправления .onion веб-трафика, позвольте напомнить, что tor2web-проект, чтобы позволить пользователям Интернета доступ к анонимным серверам.

Вот как это работает: Представьте себе, что у вас есть то, что вы хотите публиковать анонимно, как в » записках Федералиста » orleaked документы от осведомителей. Вы публикуете их через HTTP с использованием скрытого сервиса Tor;таким образом ваша анонимность будет защищена. Люди могут получить доступ к этим документам через tor2web, так что с Web-браузера они их могут не видеть.

Скрипты для запуска Команд и Управления происходят через Tor2Web так, что бот должен подключаться к скрытому сервису,проходящего через прокси-сервер, указав на адрес

Таким образом, перенаправлять трафик на прокси-сервер для скрытого Сервиса, определенной .onion адрес, Командование И Контроль серверов, так и останется скрытой в сети Tor, и их невозможно разыскать. Слабыми аспектами подобного подхода является то,что обычно легко фильтровать движение в Tor2Web,подобные прокси должны управляться botmaster для того, чтобы избежать провала или регистрации из третьей части и вся инфраструктура может понести значительную латентность сети Tor, которые делают невосприимчивой ботнет с таким подходом.

 “Прокси-aware — вредоносные программы через сеть Tor”

Второй сценарий не предусматривает Tor2Web, вместо того, чтобы это сделать на прокси- updates,из-за отсутствия Tor2Web должны запускать Tor на зараженных хостах.Главное отличие в отношении первого решения состоит в требованиях к агентам и их конфигурации,ботам, необходимо иметь поддержку SOCKS5,чтобы иметь возможность подключиться через Tor, чтобы .onion адрес загрузки ТЗ на жертвы.

Этот второй подход является более безопасным,потому что трафик не маршрутизируются через прокси-сервер и полностью находится внутри сети Tor,благодаря прямой связи между ботом и C&C, избегая возможность перехватывать данные с выхода узлов,которые не используются для этого сценария.Понятно, что подобный подход является более сложным,от боа стороны,бот потребностей поддержки SOCKS5 и,конечно же,это необходимо, что бы Tor функционировала должным образом,чтобы поддерживать синхронизацию в машине бот-сети. В присутствии Tor трафик в сети может указывать на наличие аналогичных ботнет архитектур,которые могут быть так обнаружены с помощью сети аномалий и методов обнаружения.

Выводы

G Data эксперты декларировали

“Другими словами: ТЗ, как правило, будет медленным и ненадежным, и наследует эти недостатки, к основным бот-сетям.”

Мое личное мнение заключается в том, что сегодня не так сложно построить bot net на базе Tor сетей и, как заявили исследователи минусы такого выбора,в основном связанные с медлительностью сети.Как обычно, лучшее решение представляет собой компромисс,похожим решением является правильный выбор для поддержания скрытой команды и контроля серверов,принятие жёстких исследований экспертами по вопросам безопасности и правопорядка.
Приведённые решения,должны представлять собой проникновение в тему,для того,чтобы разработать соответствующие контрмеры, если бы мы должны были найти нас в таких ботнетах.

P.P.S. Если у Вас есть вопросы, желание прокомментировать или поделиться опытом, напишите, пожалуйста, в комментариях ниже.

Читайте ранее:
Идентичность в Mozilla.

В течение прошлого года Mozilla работала над экспериментальным входом в систему,которая полностью исключает пароли на сайтах в то же время...

Закрыть