Recorded Future(美国一家通过大数据找到现在和未来联系的公司)发现,Tor的人气不断上升(Tor是恶意Web活动的基础软件)。这篇博客将解释我们如何创建可操作警报以及如何导出数据来防御Tor节点攻击。 2014年10月23日,Leviathan Security提出了如何让二进制文件通过俄罗斯的Tor出口节点。F-Secure公司认为这是一个名为OnionDuke的恶意软件所为,利用了俄罗斯的Tor出口节点。我们还将探讨恶意软件和恶意Web活动中使用的Tor,重点是分析Tor出口节点。 简介 Tor为匿名通信提供网络,并指挥着全球志愿网络的互联网流量。维基百科是这样解释Tor的使用目的的:保护用户的个人隐私、上网自由,并通过监视用户的网络活动保障其网络能够秘密通信。 Tor是由美国海军研究实验室开发的,现在用途广泛,如:为担心被监视的弱势用户提供隐私和匿名服务,或者为Web用户寻求规避审查。 Tor网络的一个重要组成部分是流量最终已经离开匿名并加密的Tor协议,并且进入正常上网范围,所以用户可以连接互联网并接受大量数据。这种行为发生在出口节点上,出口节点:加密的Tor流量到达互联网时的网关。 当然,Tor也可以用于一些宏大的目标。举个例子,隐匿非法活动,如买卖违法物品、毒品或者经营儿童色情网站都可以实现完全匿名。我们特别感兴趣的是,Tor可以用作网络的攻击向量:为DDoS攻击提供原点,用OnionDuke实现分布滴管文件,像LucyPOS这样指挥控制恶意软件,还有利用Sefnit分布窃取的数据等。 Tor Network Status(Tor网络属性)网站允许我们监控Tor的出口节点。同时也提供了导出出口节点的列表。让我们和Recorded Future一起研究一下Tor。 Recorded Future 分析 首先,我们通过导入Tor的出口节点列表到Rocorded Future。我们可以将列表和Recorded Future记录的网络攻击和恶意代码等进行交叉对比。 导入后,我们可以看到下面这个列表,进行编辑、分析、与同事讨论等活动。这个列表有非常强大的功能,我们能够迅速的交叉引用它的列表,找到恶意软件的本体,威胁者或者IT的基础软件等。 起源于出口节点的恶意活动 现在,我们可以查询到Recorded Future上的Tor出口节点和网络攻击的交集,并快速识别正在进行的攻击活动。当,我们可以验证这种活动,或许这种活动会越来越多,即使我们没有足够的数据来证实。通过这种方式,我们可以锁定一些非常令我们担心的入站流量的节点。 恶意软件利用Tor协议 现在,让我们来探索恶意软件如何利用Tor。首先,我们可以看看按时间排列的恶意软件家族成员(Recorded Future捕获了超过20000个恶意软件实体,并对恶意软件库进行实时更新)和Tor的交叉对比。图中显示了这样一个趋势,越来越多的恶意软件机制使用了Tor,证实了我们的推论。 由于我们感兴趣的是Tor的出口节点,所以通过查询恶意软件和Tor出口节点继续深入研究,寻找恶意软件的样本。在下面的例子中,我们识别出了OnionDuke,并对识别了OnionDuke相关的信息。 从这张图中,我们发现了具有代表性的恶意软件和Tor出口节点,并找到了很多跟Tor出口节点有关的DDoS攻击。 我们可以容易的使用下面的导出功能来发现这些带有防火墙的IP地址。 检测Tor出口节点的恶意活动 Recorded Future核心功能之一就是在开放的网络上检测新的或者增加的产品、企业、漏洞等。在这里,我们需要检测一定IP范围内的出口节点、公司名称等。我们为发展比特币的ACME公司提供安全资讯。如果Tor节点出现在ACME公司的IP范围内就会立马发出警报。 结论 使用公开可用的Tor出口节点信息,我们可以很快的使用Recorded Future发现不安全信息的能力,找到和这些节点相关的恶意软件。我们还可以观察到这些活动的其实、模式和导出列表。然后分析师就可以使用记录来评估风险等级以决定是否需要积极措施。 方法和数据 Recorded Future掌握了所有的开源智能数据(OSINT)。 Tor出口节点都来自torstatus.blutmagie.de. 你可以把节点下载到CSV文件中。 分析都是用Recorded Future实现的。
|