Tor - 資安趨勢部落格

黑吃黑：黑暗網路(Dark Web,簡稱暗網)內的駭客攻擊活動

2017 年 07 月 24 日2021 年 06 月 29 日趨勢科技 TrendMicro

黑暗網路(Dark Web,簡稱暗網)上那些鮮為人知的網站，經常成為網路犯罪地下集團的溫床。這些架設在 Tor 洋蔥路由器網路上需要透過 Tor 瀏覽器存取的網站，充斥著各式各樣的地下市集販賣著琳瑯滿目的商品，包括：網路貨幣洗錢服務、惡意程式代管平台、盜用或偽造的身分資料。趨勢科技已撰寫過多篇相關的報告，比如「 表面之下：探索深層網路 (Deep Web)」。

然而關於「黑暗網路」(Dark Web,簡稱暗網) 內部的駭客攻擊活動，卻少有人著墨。這些網站是否也會遭到駭客入侵或是分散式阻斷服務攻擊 (DDoS) 攻擊？黑暗網路(Dark Web,簡稱暗網)內部的攻擊規模和性質又是如何？出乎我們意料，我們發現這些攻擊在黑暗網路當中還算相當頻繁，而且駭客經常是手動進行這類攻擊，其主要目的是要暗中破壞或監視其他網路駭客所經營的服務。

趨勢科技與法國通訊系統研究所 EURECOM 研究員 Onur Catakoglu 以及 Davide Balzarotti 教授合作，發表了一篇名為「黑暗網路(Dark Web,簡稱暗網)對 Tor 犯罪生態體系隱藏式服務的衝擊」(Dark Web Impact on Hidden Services in the Tor-based Criminal Ecosystem)，並且在第 32 屆 ACM 應用運算研討會 (Symposium on Applied Computing) 上提出這些議題。最近，我們又在APWG eCrime 2017 電子犯罪研究研討會 (Symposium on Electronic Crime Research) 上發表我們的研究結果。

架設誘捕陷阱來吸引網路犯罪分子

趨勢科技的研究目的是希望深入了解黑暗網路(Dark Web,簡稱暗網)內部的駭客犯罪手法，並且看看網路犯罪集團會不會入侵那些架設在 Tor 網路 (如 .onion 網域) 上的網站與隱藏式服務。尤其，我們很想知道歹徒會不會刻意攻擊和入侵其他犯罪集團或犯罪份子所經營的服務。

為了達成研究目的，趨勢科技架設了多個誘捕陷阱( honeypot)在 Tor 網路上成立一個假的網路犯罪集團。每個陷阱都刻意暴露一個或多個漏洞讓駭客可以入侵。在遭到感染之後，我們會自動蒐集所有記錄檔，並且將環境復原至乾淨的狀態。

我們的誘捕陷阱包含以下幾種：

一個僅供受邀會員交易的封閉黑市。
一個專門為黑暗網路(Dark Web,簡稱暗網)提供客製化服務和解決方案的部落格。
一個僅供註冊會員登入的地下論壇，此外，要成為會員還需要保證人。
一個存放敏感文件的私人檔案伺服器，提供 FTP 和 SSH 連線。

圖 1：我們架設的假地下論壇 (誘捕陷阱 #3)。 繼續閱讀

偽裝履歷表壓縮檔,CryptoWall 3.0 加密勒贖程式與 FAREIT 間諜程式聯合出擊

2015 年 04 月 08 日2015 年 06 月 08 日趨勢科技 TrendMicro

加密勒索軟體 Ransomware又再一次進化。最近我們發現了一個首次結合間諜程式的加密勒索軟體 Ransomware變種。而且，不久前趨勢科技才發現有內含檔案感染能力的勒索程式。

CryptoWall 3.0

我們首次發現 CryptoWall 是在去年，當時它是挾帶在垃圾郵件訊息當中。趨勢科技當時發現，其他的加密勒贖程式都提供了一個圖形使用者畫面來勒索贖金，但 CryptoWall 卻是透過其他管道，包括透過一個 Tor 洋蔥路由器網站直接要求贖金，或是用記事本程式開啟一個勒索通知文件，詳細說明如何利用 Tor 瀏覽器連上支付贖金的網頁。

不過，自從 CryptoWall 首次被發現以來，該程式已發生很多變化。早期的 CryptoWall 版本會偽裝為 CryptoLocker 變種，甚至模仿其勒贖畫面。但後來，CryptoWall 慢慢開始有自己的名稱以及勒贖畫面。

此外，其幕後操縱伺服器通訊也開始改用 Tor 洋蔥路由器網路。最新的版本，也就是一般稱呼的 CryptoWall 3.0，則開始將網址寫死在程式內。不諱言地，使用 Tor 確實能夠提供匿名的優勢，但缺點是，企業系統管理員可以輕易封鎖 Tor 的網路流量，可以的話甚至直接封鎖 Tor 應用程式。繼續閱讀

防禦使用Tor（The Onion Router）匿名服務的惡意軟體(一)

2014 年 03 月 07 日2014 年 03 月 03 日趨勢科技 TrendMicro

在過去的幾個月裡，Tor（The Onion Router）匿名服務因為各種原因出現在新聞上。最為人所知的可能是它被用在現已關閉的Silk Road地下市場。在趨勢科技標題為「深層網路和網路犯罪」的白皮書裡深入探討了深層網路的話題。在2014年預測裡，提到網路犯罪份子會進入更深層的地下世界，其中一部份會更多的使用Tor。

網路犯罪分子顯然沒有對Tor的潛力視而不見，網路管理者也必須考慮到使用Tor的惡意軟體可能會出現在自己的網路內。他們該如何應對這方面的發展？

到底什麼是Tor？

Tor被設計來解決一個相當具體的問題：阻止中間人（如網路管理者、網路服務供應商、甚至是國家）來確認或封鎖使用者所連上的網站。它如何做到這一點？

之前被稱為「洋蔥路由器」，Tor是洋蔥路由概念的實作，會有許多網路上的節點提供網路流量的中繼服務。想要使用Tor網路的使用者會安裝一個客戶端程式在自己的電腦上。

這個客戶端程式會連上一個Tor目錄伺服器來得到節點列表。使用者的Tor客戶端會選出一條網路流量路徑，透過各個Tor節點來到達目的地伺服器。這路徑就是為了不容易被追蹤。此外，節點間的所有通訊都被加密過。（關於Tor的更多詳情可以在Tor專案官方網站上找到。）

實際上，這會對你所連上的網站，以及任何在你行經路徑上可能會監聽你網路流量的攻擊者隱藏住你的身份（或至少IP地址）。對一個想要隱藏自己行蹤，或因某種原因被試圖連上的伺服器拒絕IP地址的訪客來說很有用。

這可以用來做合法和非法的用途。不幸的是，這意味著它可以，並且已經用在惡意目的上。

它如何被用在惡意用途？

就跟其他人一樣，惡意軟體可以很容易地使用Tor。在2013年下半年，我們看到更多惡意軟體利用它來隱藏自己的網路流量。在九月，我們有篇部落格文章提到Mevade惡意軟體下載Tor元件以作為命令與控制（C＆C）通訊的備援。2013年10月，荷蘭警方逮捕了四名TorRAT惡意軟體的幕後黑手，這是一個利用Tor進行C&C通訊的惡意軟體家族。這惡意軟體家族針對荷蘭使用者的銀行帳戶。調查工作很困難，因為它使用了地下加密服務來逃避偵測，並且使用加密電子貨幣（如比特幣）。

在2013年的最後幾個禮拜，我們看到一些勒索軟體Ransomware變種稱自己為Cryptorbit，明確地要求受害者使用Tor瀏覽器（帶有預先Tor設定的瀏覽器）來支付贖金。（該名稱的靈感可能來自於惡名昭彰的CryptoLocker惡意軟體，它也有著類似的行為。）

圖一、使用 Tor之勒索軟體的警告

趨勢科技曾論了幾個ZBOT樣本，除了使用Tor來進行C＆C連線的樣本，還有樣本會將自己的64位元版本嵌入正常的32位元版本內。

圖二、執行中的64位元ZBOT惡意軟體

繼續閱讀

64位元的網路銀行間諜木馬 ZBOT 利用 Tor 強化閃躲能力

2014 年 01 月 16 日2014 年 01 月 15 日趨勢科技 TrendMicro

部分報導已經顯示ZeuS/ZBOT這隻惡名遠播的網路銀行惡意軟體現在開始將目標放在64位元的系統。根據趨勢科技的調查，已經證實了一些32位元的 ZBOT 樣本（偵測為TSPY_ZBOT.AAMV）確實有嵌入一個64位元版本（偵測為TSPY64_ZBOT.AANP）。然而，我們的調查也確認該惡意軟體其他一些值得注意的行為，包括它對安全軟體的閃躲技術。

下面是 TSPY_ZBOT.AAMV 擷取出程式碼的截圖，它會和64位元的 ZBOT 一起注入：

圖一、32位元的ZBOT截圖

檢查了這些程式碼，64位元版本可以被看作是惡意軟體文字區塊（可執行碼）的一部分。

圖二、被注入64位元ZBOT的截圖

就跟其他ZBOT變種一樣，TSPY_ZBOT.AAMV會將自己的程式碼注入到正常的程序explorer.exe裡。如果正在運行的程序是64位元的，惡意軟體會載入64位元版本的惡意軟體。如果不是，它會繼續執行32位元版本。

這 ZBOT 變種另一個值得注意的特點是它的 Tor 元件，可以用來隱藏惡意軟體和指揮與控制（C＆C）伺服器間的通訊。該元件被嵌入在注入程式碼的底層，也有著32位元和64位元的版本。要啟動這個元件，惡意軟體先中斷svchost.exe程序，將Tor元件程式碼注入後再將程序恢復。經過這樣的動作，就可以隱藏Tor的執行。它用下列參數加以啟動：

“%System%\svchost.exe” –HiddenServiceDir “%APPDATA%\tor\hidden_service” –HiddenServicePort “1080 127.0.0.1:{random port 1}” –HiddenServicePort “5900 127.0.0.1: {random port 2}” 繼續閱讀