В последнее время компании по безопасности и законодательные органы стран мира объединяют усилия для борьбы с ботнетами, поэтому киберпреступники ищут новые методы создания ботсетей. Одним из популярных способов является децентрализация коммуникационной инфраструктуры и превращение ее в пиринговую сеть. Другой метод заключается в сокрытии C&C-серверов в TOR-сетях.
Киберпреступники успешно используют TOR для того, чтобы скрыть C&C-серверы ботнетов от обнаружения. Удачный пример недавно обнаружили исследователи компании ESET. Эксперты провели анализ двух TOR-ботнетов. Для создания первого из них злоумышленники воспользовались старой разновидностью трояна, которая только недавно получила возможность использовать протокол TOR для соединения с C&C-серверами внутри TOR-сети.
Второй ботнет немного интереснее и новее (он был создан в начале июля нынешнего года). Троянское ПО Atrax, используемое в качестве бэкдора, похищает информацию, загружает прикрепленные файлы, плагины и вредоносные программы, а также устанавливает клиент TOR на целевые системы.
По словам экспертов, при первом соединении с C&C-сервером Atrax отправляет собранную информацию об инфицированном компьютере на адрес внутри TOR-сети. При этом невозможно определить настоящий IP-адрес C&C-сервера или домен. Тем не менее, исследователям удалось проанализировать адреса, генерируемые внутри TOR-сети, и обнаружить панель для авторизации на C&C-серверах.
«Win32/Atrax.A является интересным примером TOR-ботнета с шифрованием AES для прикрепленных плагинов и уникальным ключом шифрования, в зависимости от аппаратного обеспечения зараженного компьютера», - сообщили эксперты, добавив, что продолжают мониторинг активности ботсети. По словам исследователей, в будущем следует ожидать появления еще большего количества TOR-ботнетов.
Источник: SecurityLab
|