Na Security Street blogu je objavljeno da je otkriven botnet klijent, čiji se upravitelj skriva iza Tor mreže. Riječ je o trojanskom konju, naziva "Skynet", pronađenom na Usenet komunikacijskoj mreži. Malver veličine 15MB, pored bezvrijednih (junk) datoteka namijenjenih prikrivanju njegove stvarne namjene, sadrži četiri različite komponente:
konvencionalan Zeus bot, Tor klijent za Windows, CGMiner bitcoin alat i kopiju OpenCL.dll datoteke, koju CGMiner treba za razbijanje CPU i GPU kriptografskih sažetaka. Analiza botnet klijenta pokazala je da koristi Torov "hidden services" protokol kojim se omogućava prikrivanje stvarne IP adrese ponuđenih web ili SSH poslužitelja unutar Tor mreže. Ova značajka može zaštiti dojavljivače, a botnet operatorima također poslužiti za utočište u mreži. Iz tog razloga, sigurnosni eksperti i javni tužitelji nailaze na poneke prepreke prije negoli lociraju i ugase C&C poslužitelj. Obično je dovoljno analizirati klijentsku komunikaciju za određivanje IP adrese s kojom komunicira botnet. Međutim, zombie računala ne komuniciraju direktno sa svojim C&C poslužiteljem kada se primjenjuje "hidden services" značajka. Ona ustvari koriste Tor mrežu za kontaktiranje servisa sa pseudo-adresom poput x3wyzqg6cfbqrwht.onion, koja se pretvara (resolve) na poslužitelju u Tor mreži. Kako ne postoji direktna veza između klijenta i poslužitelja, jer su višestruki Tor čvorovi uvijek međusobno povezani kao komunikacijske točke, botnet operator usprkos tome, uvijek može koristiti tipični IRC protokol za komunikaciju bez potrebe za implementacijom novog protokola.
Nema komentara:
Objavi komentar
Poruka će biti vidljiva nakon provjere.