0 |
Авторы вредоносного ПО все чаще применяют анонимную сеть Tor для скрытия реального расположения их командно-контрольных серверов, сообщают в Eset. Эксперты компании все чаще обнаруживают C&C-серверы, работающие как скрытые Tor-сервисы.
The Tor Hidden Service — протокол, позволяющий устанавливать собственные сервисы, обратиться к которым можно только через саму сеть Tor и через хосты, заканчивающиеся на псевдо-доменное разрешение .onion. Данный протокол был создан с целью сокрытия реального IP-адреса посредством скрытого сервиса. Сам трафик между Tor-клиентом и сервисом Tor маршрутизируется случайным образом через сеть шлюзов, которые выбираются в различных вариантах, причем шлюзами могут быть и обычные компьютеры в сети. Таким образом, установить местоположение защищенного сервера на практике практически невозможно.
В Eset говорят, что использование Tor для C&C-серверов не является чем-то революционно новым. Впервые о подобной возможности заговорили еще на конференции Defcon 18 в 2010 г. Однако, до сих пор практическое использование данной концепции было в новинку. Так, ранее Rapid 7 обнаружила бот-сеть Skynet, в которой работали от 12 до 15 тыс. компьютеров, а командный сервер работал в качестве скрытого сервиса Tor.
Сейчас в Eset обнаружили новые образцы подобного Tor-ориентированного софта. В июле исследователи Eset выявили два разных типа Tor-ботнетов, которые базируются на семействе вредоносных кодов Win32/Atrax and Win32/Agent.PTA. Оба варианта ориентированы на перехват данных из пользовательских веб-форм. В отличие от Skynet, новинки применяют веб, а не IRC для работы серверов, которые прячутся в Tor-сетях.
Atrax может быть скачан и исполнен, после чего он встраивает вредоносный код в процессы браузера, а сам трафик вредоноса шифруется при помощи алгоритма AES. Этот код позволяет воровать банковские реквизиты и данные веб-форм. Agent.PTA, в свою очередь, является новым представителем семейства PTA, известного с начала 2012 г. Он также способен перехватывать данные веб-форм.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
0 |