Tor используется для просмотра порно и управления ботнетами

Tor используется для просмотра порно и управления ботнетами

Ученые из университета в Люксембурге Алекс Бирюков (Alex Biryukov), Иван Пустогаров (Ivan Pustogarov) и Ральф Филлип Вайнман (Ralf-Philipp Weinmann) использовали брешь в протоколе Tor для сбора статистики посещаемых ресурсов.

Согласно докладу, в двадцатку самых посещаемых в сети Tor сайтов вошли сразу одиннадцать порталов, представляющих собой контрольные центры ботнетов.

Вторым по популярности направлением поиска в Tor стали порнографические ресурсы (в топ-20 вошли пять подобных интернет-сайтов). Кроме того, чаще остальных пользователи Tor заходили на сайты, позволяющие заработать биткоины (электронную валюту, обеспечивающую анонимность покупателя при оплате товаров через интернет).

На смену ботнетам пришли атаки, осуществляемые при помощи кластеров

На смену ботнетам пришли атаки, осуществляемые при помощи кластеров

В течение нескольких лет для генерации валюты Bitcoin или осуществления DDoS-атак использовались ботнеты, являющие собой сеть зараженных компьютеров. По словам эксперта безопасности Алехандро Касереса (Alejandro Caceres), сейчас для того, чтобы одновременно атаковать тысячи и даже миллионы целей (к примеру, IP-адреса), злоумышленникам достаточно воспользоваться недорогим аппаратным обеспечением, стандартным интернет-соединением, а также инструментами из открытых источников.

Касерес, являющийся владельцем компании Hyperion Gray и основателем PunkSPIDER, сообщил, что хакеры могут потенциально осуществить атаку при помощи распределенных кластеров Hadoop, используя либо стандартные аппаратные средства, либо облачные сервисы (например Elastic MapReduce от Amazon). При этом, платформой для осуществления атаки будет именно кластер из машин или систем на базе облака, а не ботнет, как это было в последние десять лет.

«Это не так, как использовать ботнет. Ботсети, как правило, представляют собой «безмозглые» системы, используемые для осуществления DDoS-атак. То, о чем я говорю, — это создание собственных распределенных кластеров, состоящих из домашних ПК или машин на базе облака, и использование этих кластеров для точно скоординированных комплексных атак», — заявил Касерес.

Эксперт рассказал, как при помощи кластера Apache Hadoop могут осуществляться атаки с использованием SQL-инъекций. По словам эксперта, ему удалось осуществить SQL-инъекцию на 61 целевой системе всего за 45 секунд, хотя обычно подобная атака на один компьютер занимает одну минуту. Благодаря такой большой скорости, злоумышленники могут атаковать гораздо больше целевых систем, чем раньше, поскольку у жертв попросту недостаточно времени для принятия контрмер.

ESET: популярность TOR-ботнетов стремительно растет

ESET: популярность TOR-ботнетов стремительно растет

В последнее время компании по безопасности и законодательные органы стран мира объединяют усилия для борьбы с ботнетами, поэтому киберпреступники ищут новые методы создания ботсетей. Одним из популярных способов является децентрализация коммуникационной инфраструктуры и превращение ее в пиринговую сеть. Другой метод заключается в сокрытии C&C-серверов в TOR-сетях.

Киберпреступники успешно используют TOR для того, чтобы скрыть C&C-серверы ботнетов от обнаружения. Удачный пример недавно обнаружили исследователи компании ESET. Эксперты провели анализ двух TOR-ботнетов. Для создания первого из них злоумышленники воспользовались старой разновидностью трояна, которая только недавно получила возможность использовать протокол TOR для соединения с C&C-серверами внутри TOR-сети.

Второй ботнет немного интереснее и новее (он был создан в начале июля нынешнего года). Троянское ПО Atrax, используемое в качестве бэкдора, похищает информацию, загружает прикрепленные файлы, плагины и вредоносные программы, а также устанавливает клиент TOR на целевые системы.

По словам экспертов, при первом соединении с C&C-сервером Atrax отправляет собранную информацию об инфицированном компьютере на адрес внутри TOR-сети. При этом невозможно определить настоящий IP-адрес C&C-сервера или домен. Тем не менее, исследователям удалось проанализировать адреса, генерируемые внутри TOR-сети, и обнаружить панель для авторизации на C&C-серверах.

«Win32/Atrax.A является интересным примером TOR-ботнета с шифрованием AES для прикрепленных плагинов и уникальным ключом шифрования, в зависимости от аппаратного обеспечения зараженного компьютера», — сообщили эксперты, добавив, что продолжают мониторинг активности ботсети. По словам исследователей, в будущем следует ожидать появления еще большего количества TOR-ботнетов.