Na blogu Security Street objavljeno je da je otkriven botnet klijent, čiji se upravitelj skriva iza Tor mreže.
Reč je o trojanskom konju, naziva "Skynet", pronađenom na Usenet komunikacionoj mreži. Malver veličine 15MB, pored bezvrednih (junk) datoteka namenjenih prikrivanju njegove stvarne namene, sadrži četiri različite komponente: konvencionalan Zeus bot, Tor klijent za Windows, CGMiner bitcoin alat i kopiju OpenCL.dll datoteke, koju CGMiner treba za razbijanje CPU i GPU kriptografskih sažetaka.
Analiza botnet klijenta pokazala je da koristi Tor-ov "hidden services" protokol kojim se omogućava prikrivanje stvarne IP adrese ponuđenih web ili SSH servera unutar Tor mreže.
Ova funkcija može da zaštiti dojavljivače, a botnet operatorima takođe poslužiti za utočište u mreži. Iz tog razloga, bezbednosni eksperti i javni tužioci nailaze na poneke prepreke pre nego što lociraju i ugase C&C server.
Obično je dovoljno analizirati klijentsku komunikaciju za određivanje IP adrese sa kojom komunicira botnet. Međutim, zombie računara ne komuniciraju direktno sa svojim C&C serverom kada se primenjuje "hidden services" funkcija.
Ona ustvari koriste Tor mrežu za kontaktiranje servisa sa pseudo-adresom poput x3wyzqg6cfbqrwht.onion, koja se pretvara (resolve) na serveru u Tor mreži. Kako ne postoji direktna veza između klijenta i servera, jer su višestruki Tor čvorovi uvek međusobno povezani kao komunikacione tačke, botnet operator usprkos tome, uvek može da koristi tipični IRC protokol za komunikaciju bez potrebe za implementacijom novog protokola.
Botnet klijent u Tor mreži
05:06
2 komentara
Uvek ista slika kada se radi o nekim virusima i hakovanju!
Dobro, i? Šta je tu problem?