防禦使用Tor(The Onion Router)匿名服務的惡意軟體(一)

在過去的幾個月裡,Tor(The Onion Router)匿名服務因為各種原因出現在新聞上。最為人所知的可能是它被用在現已關閉的Silk Road地下市場。在趨勢科技標題為「深層網路和網路犯罪」的白皮書裡深入探討了深層網路的話題。在2014年預測裡,提到網路犯罪份子會進入更深層的地下世界,其中一部份會更多的使用Tor。

網路犯罪分子顯然沒有對Tor的潛力視而不見,網路管理者也必須考慮到使用Tor的惡意軟體可能會出現在自己的網路內。他們該如何應對這方面的發展?

 

到底什麼是Tor?

Tor被設計來解決一個相當具體的問題:阻止中間人(如網路管理者、網路服務供應商、甚至是國家)來確認或封鎖使用者所連上的網站。它如何做到這一點?

之前被稱為「洋蔥路由器」,Tor是洋蔥路由概念的實作,會有許多網路上的節點提供網路流量的中繼服務。想要使用Tor網路的使用者會安裝一個客戶端程式在自己的電腦上。

這個客戶端程式會連上一個Tor目錄伺服器來得到節點列表。使用者的Tor客戶端會選出一條網路流量路徑,透過各個Tor節點來到達目的地伺服器。這路徑就是為了不容易被追蹤。此外,節點間的所有通訊都被加密過。(關於Tor的更多詳情可以在Tor專案官方網站上找到。)

實際上,這會對你所連上的網站,以及任何在你行經路徑上可能會監聽你網路流量的攻擊者隱藏住你的身份(或至少IP地址)。對一個想要隱藏自己行蹤,或因某種原因被試圖連上的伺服器拒絕IP地址的訪客來說很有用。

這可以用來做合法和非法的用途。不幸的是,這意味著它可以,並且已經用在惡意目的上。

 

它如何被用在惡意用途?

就跟其他人一樣,惡意軟體可以很容易地使用Tor。在2013年下半年,我們看到更多惡意軟體利用它來隱藏自己的網路流量。在九月,我們有篇部落格文章提到Mevade惡意軟體下載Tor元件以作為命令與控制(C&C)通訊的備援。2013年10月,荷蘭警方逮捕了四名TorRAT惡意軟體的幕後黑手,這是一個利用Tor進行C&C通訊的惡意軟體家族。這惡意軟體家族針對荷蘭使用者的銀行帳戶。調查工作很困難,因為它使用了地下加密服務來逃避偵測,並且使用加密電子貨幣(如比特幣)。

在2013年的最後幾個禮拜,我們看到一些勒索軟體Ransomware變種稱自己為Cryptorbit,明確地要求受害者使用Tor瀏覽器(帶有預先Tor設定的瀏覽器)來支付贖金。(該名稱的靈感可能來自於惡名昭彰的CryptoLocker惡意軟體,它也有著類似的行為。)

使用 Tor之勒索軟體的警告

圖一、使用 Tor之勒索軟體的警告

趨勢科技曾論了幾個ZBOT樣本,除了使用Tor來進行C&C連線的樣本,還有樣本會將自己的64位元版本嵌入正常的32位元版本內。

執行中的64位元ZBOT惡意軟體

圖二、執行中的64位元ZBOT惡意軟體

這特殊的惡意軟體可以完美地運作在64位元環境裡,並且注入到執行中的Svchost.exe程序,就跟一般的惡意軟體注入一樣。

使用Tor的惡意軟體增加代表了網路管理者可能需要考慮額外的作法來注意到Tor,如何發現它被使用,以及(若有必要)如何阻止其使用。Tor的非法使用可能會導致各種問題,從繞過IT策略到洩漏出機密資料都有可能。

我們會在後續的文章裡討論這些可能的作法。

 

@原文出處:Defending Against Tor-Using Malware, Part 1作者:Jay Yaneza(技術支援)