Авторами ПО, являющегося вредоносным, все чаще начинают применять сеть Tor, которая является анонимной, и при помощи которой проводится скрытие реального расположения их командных серверов. Экспертами компании все чаще начинают обслуживаться серверы С*С, которые работают как скрытые сервисы.
The Tor Hidden Service представляет собой протокол, который поздравляет устанавливать собственные сервисы, а обратиться к ним можно только через саму сеть и хосты, которые заканчиваются на псевдо разрешение. Данный протокол создавался для того, чтобы было возможно скрыть настоящий адрес, для того чтобы скрыть сервис. Сам трафик между клиентом и сервисом ищет случайный маршрут, при этом в качестве шлюзов могут выступать простые компьютерные сети. Так что найти расположение защищенного сервера практически невозможно.
Предположительно использование Tor для C&C-серверов не представляет собой революционную идею. Впервые об этом речь зашла еще в 2010 году, однако практическое использование новинки, до настоящего времени было в новинку. Установлено что ранее Rapid 7 смогла обнаружить бот-сеть Skynet, в которой одновременно работали до пятнадцати тысяч компьютеров, а их командный сервер представлял собой скрытый сервис Tor.
В настоящее время компания Eset изыскала возможность и обнаружила совершенно другие образцы Tor-ориентированного софта. В июле текущего года исследователями было выявлено два Тор-ботнера, база которых основана на семействе вредоносных кодов, к которым, в первую очередь, отнесены Win32/Atrax and Win32/Agent.PTA. Эти новинки применяют веб, а не IRC для работы с серверов, которые прячутся в тор-сетях.
Исследования показали, что после того как Atrax скачан и исполнен, он в обязательном порядке пытается встроить во вредоносный код процессы браузера, в тоже время трафик вредоносного вируса, шифрование которого происходят при помощи алгоритма AES. При помощи этого кода можно просто воровать банковские реквизиты и данные с веб-форм. Agent.PTA представляет собой новое семейство РТА, начало которому положено в 2012 году, которое также может перехвачивать данные с веб-форм.
Ваше мнение