Операторы ботнета сохраняли анонимность при помощи анонимайзера Tor

Максим Пушкарь 14 Сентября 2012 - 23:48

...

Операторы ботнета сохраняли анонимность при помощи анонимайзера Tor

Специалисты компании G-Data обнаружили ботнет, командные узлы которого скрывались при помощи анонимайзера Tor. Владельцы ботнета, состоящего из компьютеров под управлением операционной системы Windows, замаскировали свой C&C сервер под скрытую службу внутри сети Tor. C&C сервер использовал для связи с ботами обычный IRC протокол.

Как отмечают специалисты, владельцы ботнетов перешли на использование P2P архитектуры в течение нескольких последних лет, постепенно отказываясь от использования централизованных C&C серверов. Использование технологий P2P позволяет отдельным компьютерам бот-сети передавать команды другим компьютерам, входящим в данную сеть. Однако, подобная архитектура также имеет существенные недостатки, так как позволяет конкурентам либо специалистам, работающим на госструктуры, перехватывать управление ботнетом. Конечно, это можно сделать только в том случае, если ботнет не защищен сложным механизмом аутентификации.

Как отмечают сотрудники G-Data, использование Tor было единственным, что выделяет данный ботнет из ряда себе подобных.

Использование Tor позволяет владельцам ботнетов сохранять анонимность, так как использование IRC сервера в качестве скрытой службы усложняет задачу по его обнаружению.

Управляющий траффик ботнета шифруется средствами Tor. Это позволяет злоумышленникам обходить системы обнаружения вторжений, которые на сегодняшний день являются стандартным компонентом систем защиты современных предприятий. К тому же, заблокировать Tor крайне сложно с юридической точки зрения, так как в целом использование данного анонимайзера вполне законно, и его блокирование может рассматриваться как нарушение прав легитимных пользователей.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 11 Сентября 2025 - 09:31

Вирусы-вымогатели Вирусы-шифровальщики Целевые атаки Таргетированные атаки Корпорации Государство

Шифровальщик CyberVolk использует сбойный Nonce и губит данные навсегда

Исследователи AhnLab опубликовали подробный разбор нового семейства вымогателей CyberVolk, которое с мая 2024 года активно атакует госучреждения и критическую инфраструктуру. Главная особенность зловреда — невосстановимое шифрование, из-за которого вернуть данные практически невозможно.

По данным специалистов, группировка придерживается пророссийской позиции и выбирает в качестве целей страны, считающиеся «недружественными» к России.

В числе недавних атак — инфраструктурные и научные организации в Японии, Франции и Великобритании. Для связи злоумышленники используют Telegram.

Как работает CyberVolk:

запускается с повышением привилегий до администратора;
пропускает системные каталоги вроде Program Files и ProgramData, чтобы не «положить» Windows;
файлы получают расширение .CyberVolk;
применяется двухуровневое шифрование — сначала AES-256 GCM, затем ChaCha20-Poly1305.

Но тут скрыт главный «сюрприз». Разработчики допустили фатальную ошибку: при расшифровке программа использует неверное значение Nonce. Поскольку правильное значение нигде не сохраняется, даже наличие ключа не помогает. Восстановить файлы математически невозможно.

В конце атаки вымогатель оставляет записку READMENOW.txt и предлагает ввести ключ — всего три попытки. Но даже правильный ключ не сработает: алгоритм изначально «сломанный».

По сути, CyberVolk — это шифровальщик без обратного пути, который превращает данные в мусор.