2013年7月28日 星期日

Tor洋蔥網路天生匿名 遭駭客利用控管殭屍網路

Tor洋蔥網路天生匿名 遭駭客利用控管殭屍網路

根據安全方案商ESET安全研究人員指出,當前有愈來愈多的惡意程式作者,開始考慮將Tor匿名網路當做隱藏其C&C主控伺服器實際位置的做法與選項。

botnet-100034898-gallery

ESET安全研究人員最近偶然發現兩隻殭屍網路型態的惡意程式 ── Win32/Atrax與Win32/Agent.PTA,這兩隻惡意程式所採用的C&C主控伺服器會以Tor「隱藏服務」的樣貌運行。

Tor隱藏服務協定允許使用者設定服務(多半是Web伺服器),而且該服務只能從Tor網路之內,透過以.onion假頂層網域做為結尾的隨機主機名稱來存取。

該協定被設計用來專門隱藏用戶端「隱藏服務」的真實IP位址,同時也會隱藏該服務的用戶端IP位址,這使得任何一方幾乎都不可能確認出彼此的真實位置及身分。

Tor用戶端與Tor隱藏服務之間的流量會被加密,同時會透過一系列參與網路並扮演中繼角色的電腦來隨機路由。

透過Tor來控管殭屍C&C主控伺服器並非什麼新的想法。該攻擊手法的優勢與弱點,早在2010年DefCon 18安全大會上便已展示討論過。

該概念的實際攻擊展現也曾在過去出現過。

去年12月,安全方案商Rapid7 的安全研究人員辨識發現,擁有12,000到15,000台遭劫持電腦所組成的Skynet殭屍網路,這些殭屍電腦會接收來自以Tor隱藏服務樣貌運行之IRC伺服器的命令。安全研究人員在當時便警示,也有其他惡意程式作者採用同樣的攻擊手法。

資料來源:PCWorld
轉載自《網路資訊雜誌》