Задать вопрос

    Поставщик решений в области сетевой безопасности и корпоративной связи

Все больше авторов вредоносного ПО используют Tor как средство скрытия инфраструктуры

Исследователи Kaspersky Lab распознали больше вредоносного ПО, использующего возможности анонимности Tor для защиты своей командной инфраструктуры и системы управления

Известное как ChewBacca – по имени персонажа из «Звездных войн» – вредоносное программное обеспечение сбрасывает функцию «P$CHEWBACCA$_$TMYAPPLICATION_$__$$_INSTALL» как «spoolsv.exe» в папку Startup и запрашивает публичный IP адрес жертвы через публично доступный сервис.

Tor сбрасывается как «tor.exe» в пользовательскую папку Temp и запускается со списком по умолчанию на «localhost:9050.»

Марко Прейс, исследователь Kaspersky Lab, замечает в своем блоге: «В последнее время Tor стал более привлекательным в качестве сервиса по обеспечению анонимности пользователя.» Он продолжает: «Также преступники используют его для своей деятельности, но они только начинают осваивать этот метод для разворачивания своей вредоносной инфраструктуры.»

Недавно можно было наблюдать вариант Zeus, который включает также функциональность, нацеленную на 64-битные системы. Другое вредоносное ПО, такое как CrimewareKit Atrax и ботнеты, построенные при использовании вредоносного ПО Mevade были также оснащены поддержкой Tor.

Использование Tor повышает уровень защиты ботнета и позволяет маскировать месторасположение контрольного сервера. Тем не менее, у Tor есть и недостатки для атакующих. Преус объясняет, что, например, из-за наложения и структуры, Tor работает медленнее. В дополнение к этому, как было замечено с Mevade, значительное увеличение активности ботнета может повлиять на сеть и сделать такую активность легкозаметной для исследователей.

Ричард Хендерсон, специалист FortiGuard Threat Research и Response Labs в Fortinet, отмечает: «Tor является только одним из многих трюков в инструментарии автора или группы авторов.» Он добавляет: «Отслеживание команд и управление [C&C] может быть сложным; другие методы, такие как… смена C&C proxy, используя алгоритмы генерации доменов и несколько C&C proxy, или использование P2P (peer-to-peer) C&C модели… могут усложнить исследователям отслеживание головы зверя для отсечения.»

Однажды запустившись, логи ChewBacca регистрируют все нажатия клавиш в «system.log», создаваемым вредоносным ПО в локальной папке Temp. Троян также перечисляет все запускаемые процессы, считывает их процессорную память и использует 2 различных шаблона регулярных выражений для кражи информации.

По утверждению Преуса, в отличие от Zeus, ChewBacca на данный момент не распространяется на публичных андеграунд-форумах.