セキュリティ企業ESETの研究者によると、マルウェア作成者は、コマンドアンドコントロール(C&C)サーバーの実際の場所を隠すための選択肢として、Tor匿名ネットワークを検討するケースが増えているという。
ESET の研究者は最近、Tor の「隠しサービス」として動作する (C&C) サーバーを使用する 2 つのボットネット型マルウェア プログラムを発見しました。
Tor 隠しサービス プロトコルを使用すると、ユーザーは、.onion 疑似ドメイン拡張子で終わるランダムなホスト名を通じて Tor ネットワーク内からのみアクセスできるサービス (通常は Web サーバー) を設定できます。
このプロトコルは、「隠しサービス」の実際のインターネット プロトコル (IP) アドレスをクライアントから隠し、クライアントの IP アドレスをサービスから隠すように設計されており、どちらの側も相手方の場所や ID を特定することがほぼ不可能になります。
Tor クライアントと Tor 隠しサービス間のトラフィックは暗号化され、ネットワークに参加してリレーとして機能する一連のコンピューターを介してランダムにルーティングされます。
予測は現実になりつつある
Torをボットネットのコマンド&コントロール(C&C)サーバーとしてホストするという考えは、新しいものではありません。このアプローチの長所と短所は、2010年のセキュリティカンファレンス「DefCon 18」でのプレゼンテーションで議論されました。
このコンセプトの実用化は過去にも確認されています。12月には、セキュリティ企業Rapid7の研究者が、Torの隠しサービスとして動作するインターネットリレーチャット(IRC)サーバーからコマンドを受信する、1万2000台から1万5000台の侵入コンピュータからなるSkynetボットネットを特定しました。研究者たちは当時、他のマルウェア作成者もこの設計を採用する可能性が高いと警告していました。
ESET が最近発見した 2 つの新しいマルウェア プログラムは、彼らの予測が正しかったことを示唆しています。
「7月にESETの研究者は、Win32/AtraxとWin32/Agent.PTAというマルウェアファミリーに基づく、2種類のTORベースのボットネットを検出しました」と、ESETのマルウェア研究者であるアントン・チェレパノフ氏とアレクサンドル・マトロソフ氏は水曜日のブログ投稿で述べています。「どちらのボットネットも、さらなる詐欺活動に利用できる可能性のあるフォームグラビング機能を備えています。」
Skynet とは異なり、Atrax および Agent.PTA ボットネットは、コマンド アンド コントロールの目的で、IRC ではなく、Tor ネットワーク上に隠された Web サーバーを使用します。
Atraxは、悪意のあるファイルをダウンロード、実行し、ブラウザプロセスに挿入することができます。その機能は、感染した各コンピュータのハードウェアパラメータから生成されたAESキーでローカルに暗号化されたプラグインを通じて拡張されます。
Atrax には、マルウェアの C&C トラフィックを Tor ネットワーク経由でルーティングするためにローカル ブラウザーに挿入される Tor クライアント コンポーネントが付属しています。
ESETの研究者たちは、AtraxのC&Cサーバーを騙して、マルウェアに感染したテストシステムに2つの追加プラグインを送信することに成功しました。1つはWebフォームに入力された情報を盗むように設計されており、もう1つはパスワードを盗む機能を備えていました。
ESETの研究者によると、7月に特定されたもう一つの脅威「Agent.PTA」は、2012年から知られているマルウェアファミリーの一部である。しかし、Tor機能は新たに追加されたものだという。
Atraxと同様に、Agent.PTAはフォームグラビング機能を備えており、プラグインによって機能を拡張することも可能です。このマルウェアは、Torの隠しサービスとして運営されているWeb制御サーバーに接続します。
「今年既にTORベースのボットネットを検出していましたが、夏の間にTORベースの通信を利用するマルウェアファミリーの数が増加しているのを確認しました」とESETの研究者は述べています。「TORベースのボットネットは、調査やC&Cサーバの位置追跡を非常に困難にしています。」
しかし、C&CサーバはTorネットワーク内からしかアクセスできないため、実際のIPアドレスを特定するのは難しいが、マルウェアの通信プロトコルやコマンドアンドコントロールトラフィックを分析することは依然として可能だと研究者らは述べている。
