e-works数字化企业网  »  文章频道  »  基础信息化  »  网络与安全

Tor的恶意应用

2017/5/20    来源:FreeBuf    作者:ArkTeam      
关键字:Tor  Botnet  
Tor本来是为用户提供匿名上网保护用户隐私的工具,但是对于一些用户来说,他们可以利用Tor的隐蔽性进行黑客攻击或非法交易活动。总结Tor的恶意应用主要表现在以下几方面。
    Tor本来是为用户提供匿名上网保护用户隐私的工具,但是对于一些用户来说,他们可以利用Tor的隐蔽性进行黑客攻击或非法交易活动。总结Tor的恶意应用主要表现在以下几方面。
 
    1.Botnet利用Tor
 
    僵尸网络作为最有效的网络攻击平台,给互联网安全带来了巨大的威胁。随着攻防技术的不断研究,僵尸网络的形态和控制命令机制也在不断变化[1]:
 
    (1)首先是IRC机制,中心化结构但是有单点故障问题;
 
    (2)P2P结构,解决了单点故障问题,但是无法监视命令状态,实现又很复杂;
 
    (3)HTTP协议的botnet,又不断改进为动态访问机制的Fast-Flux和Domain-Flux。
 
    僵尸网络利用Tor进行匿名通信首次被提出是在2010 DefCon大会上,以“ZeuS”为例将C&C服务器部署于Tor暗网中,但是它不支持代理,不能直接使用Tor,但是可以通过设置URL使用tor2web代理服务进行访问暗网(图1,图2)。这样以最小的代价提高了botnet的存活性,Tor网络配置简单,只需提供一个.onion地址就可以实现隐藏C&C。
 
ZeuS不支持配置dialing
 
    图1 ZeuS不支持配置dialing
 
通过Tor2Web格式化请求脚本
 
    图2 通过Tor2Web格式化请求脚本
 
    直到2012年12月“Skynet”的出现验证了“Botnet over Tor”的思想。Botnet主要利用Tor的隐藏服务功能隐藏C&C服务器,并在恶意程序中包含Tor程序,通过下达指令使bot自动安装Tor组件,进而通过Tor网络进行通信(如图3)。控制者将所有命令与控制信道都在Tor网络中进行,这样的好处有:
 
    (1)不存在出口节点泄露信息的威胁;
 
    (2)控制者身份不易被追踪和暴露;
 
    (3)C&C服务器几乎可以免除被关闭或删除。
 
    随后2013年随着Tor用户量的异常增加,“Sefnit”[2]僵尸网络出现了,也是通过Tor隐藏C&C服务器,之后Tor项目对该版本的Tor(恶意代码随意执行无验证漏洞)进行升级,微软更新安全组件、扫描工具等进行清理恶意程序。2014年又出现了首个基于Tor的Android僵尸网络隐藏C&C进行通信(图4)。
 
botnet利用Tor隐藏C&C
 
    图3 botnet利用Tor隐藏C&C
 
Android botnet
 
    图4 Android botnet
 
    但是利用Tor的botnet也存在一些弊端[3]:
 
    (1)Botnet大量使用Tor,导致Tor的下载速度下降、Tor的用户量剧增,必然会引起Tor用户的关注和安全专家的研究;
 
    (2)使用Tor访问需要安装、配置和运行Tor,导致botnet的网络异常;
 
    (3)Tor本身的流量特征模式也比较明显,增加botnet的异常性;
 
    (4)使用Tor可能需要增加额外的大量功能代码;
 
    (5)使用Tor后botnet仍然面临着Crawling攻击和Sinkholing攻击。
 
    可见botnet和Tor的强强联合没有并带来更好的效果。
 
    2.勒索软件利用Tor
 
    勒索软件是一种可控制用户系统或资产,并以此为条件向用户勒索钱财的恶意软件。主要分为两类:
 
    加密型勒索:感染目标设备后通过强大的加密算法(AES、RSA等)将用户文件、磁盘、数据库进行加密。
 
    锁定型勒索:感染目标设备后通过篡改设备密码将设备锁定,使得用户无法正常使用。
 
    近几年,勒索攻击事件愈演愈烈,勒索软件在全球范围内猖獗。CyberEdge公司发布2017年度网络威胁防御报告,报告中指出有61%的组织受到过勒索软件的侵害,其中1/3的用户选择了支付赎金。勒索软件不断呈现新的态势,在目标感觉阶段、本地攻击阶段、勒索支付阶段的复杂性和多样性一直在增加。其中,在本地攻击阶段和勒索支付阶段分别使用了Tor。
 
    在本地攻击阶段勒索软件使用Tor隐藏C&C服务器,如CTB-Locker[5]。用户被感染后CTB-Locker利用不可破解的EllipticCurve Diffie-Hellman算法对文件进行加密,所有通信和数据传递都通过Tor网络来进行,C&C服务器使用Hidden Service,使其更加难以追踪和关停。用户不需要安装有Tor浏览器,Tor的可执行程序被硬编码到恶意软件中(图5)。
 
    在勒索支付阶段使用了Tor网络提供支付比特币赎金地址,如CryptoWall3.0和PETYA ransomware,勒索信息里会包含一条以“.onion”结尾的链接地址(图6),告知用户交易地址,这样很难被追踪,即使没有解密也难以追回赎金,但是勒索者在这方面都具有惊人的良好信用。
 
勒索软件利用Tor隐藏C&C
 
 
    图5 勒索软件利用Tor隐 藏C&C
 
通过Tor支付赎金
 
    图6 通过Tor支付赎金
 
    3.比特币利用Tor
 
    比特币是一种在P2P网络里进行交易的基于密码学的分散式虚拟货币。比特币交易系统里的付款人和收款人的交易地址都是公钥编码后的哈希值,所以一般不可识别。但是可以通过IP地址与你的交易联系起来,如通过ISP、NSA、恶意节点攻击等方法。所以Tor被用到比特币中防止交易方的IP地址泄露(图7)。
 
比特币利用Tor隐藏地址       
 
    图7 比特币利用Tor隐藏地址
 
攻击者部署恶意节点
 
    图8 攻击者部署恶意节点  

责任编辑:李欢
本文为授权转载文章,任何人未经原授权方同意,不得复制、转载、摘编等任何方式进行使用,e-works不承担由此而产生的任何法律责任! 如有异议请及时告之,以便进行及时处理。联系方式:editor@e-works.net.cn tel:027-87592219/20/21。
e-works
官方微信
掌上
信息化
编辑推荐
新闻推荐
博客推荐
视频推荐