image

Skynet maakt computers onderdeel van Tor-netwerk

maandag 10 december 2012, 17:44 door Redactie, 6 reacties

Onderzoekers hebben weer een botnet ontdekt dat via anonimiseringssoftware Tor wordt bestuurd. De besmette machines worden gebruikt voor het berekenen van Bitcoins en het uitvoeren van DDoS-aanvallen tegen websites. Daarnaast worden ook online bankrekeningen bestolen. De botnetbeheerder noemt zijn malware Skynet en haalde in mei al het nieuws toen hij met Reddit-lezers in discussie ging.

De malware verspreidt zich via nieuwsgroepen. "Mensen downloaden software van Usenet en installeren het vaak op kantoor en bij vrienden", aldus botnetbeheerder 'throwaway236236'. Voor het aansturen van de besmette machines wordt anonimiseringssoftware Tor gebruikt. Tor laat het verkeer via verschillende 'tor-nodes' lopen. Daardoor is bijna onmogelijk om de fysieke locatie of de echte identiteit van de gebruiker te achterhalen.

"Tor is behoorlijk veilig, zolang je geen exit-nodes gebruikt, wat ik nooit doe, omdat alles zich in verborgen services bevindt. Een Hidden Service garandeert dat het verkeer alleen op de server leesbaar is", aldus de botnetbeheerder.

Tor hidden services zijn meestal webservers, maar zijn ook voor Internet Relay Chat (IRC), Secure Shell (SSH) en andere servers te gebruiken. De services zijn alleen toegankelijk van binnen het Tor-netwerk door een willekeurig lijkende hostnaam die op .onion eindigt. Het gebruik hiervan door botnets werd vorig jaar al gedemonstreerd.

Verborgen
Alle Skynet Command & Control-servers, waarmee het besmette computers aanstuurt, draaien als Hidden Service. Tevens zijn alle besmette computers zo ingesteld dat ze onderdeel van het Tor-netwerk zijn. Volgens Claudio Guarnieri beveiligingsonderzoeker bij Rapid7 en ontwikkelaar van het Cuckoo Sandbox malware-analysesysteem, heeft dit verschillende voordelen.

Zo is het botnetverkeer versleuteld, wat monitoring bemoeilijkt. Door het gebruik van Hidden Services zijn de locatie en aard van de Command & Control-server verborgen en daardoor niet gevoelig voor opsporingsdiensten die de servers uit de lucht willen halen.

Daarnaast bieden Hidden Services een Tor-specifiek .onion pseudo top-level domein, wat onderzoekers niet kunnen sinkholen. Hierbij zetten onderzoekers een domein op waarmee het botnet verbinding maakt, wat allerlei informatie over het botnet oplevert. Dit is echter niet mogelijk met .onion domeinen.

Nederland
Volgens Guarnieri zou het botnet uit zo'n 12.000 tot 15.000 besmette computers bestaan, waarvan de meesten zich in Nederland en Duitsland bevinden. De onderzoeker stelt dat het botnet bijzonder is door het gebruik van Tor als communicatiekanaal en het gebruik van Hidden Services voor het beschermen van de 'backend' infrastructuur.

"Het is verrassend dat niet meer botnets hetzelfde ontwerp gebruiken, maar waarschijnlijk zullen er meer in de toekomst dit voorbeeld volgen", zo concludeert Guarnieri.

Reacties (6)
10-12-2012, 19:37 door Anoniem
FUD attack on Tor detected...
11-12-2012, 08:15 door rsterenb
De naam-keuze kan ik dan weer wel grappig vinden: https://en.wikipedia.org/wiki/Skynet_%28Terminator%29
11-12-2012, 09:56 door Anoniem
of dit is toevallig de eerste die is ontdekt
11-12-2012, 10:14 door Rasalom
Jammer dat diensten als TOR door dit soort ratten gebruikt kan worden. Het is natuurlijk onvermijdelijk, maar leuk is anders.
11-12-2012, 16:10 door sabofx
Door Rasalom: Jammer dat diensten als TOR door dit soort ratten gebruikt kan worden. Het is natuurlijk onvermijdelijk, maar leuk is anders.

Als ik het goed begrijp draagt dit botnet (wellicht onbedoeld) bij aan een uitbreiding van het aantal TOR nodes. En het lijkt mij gunstig voor het TOR netwerk als er meer TOR nodes bij komen ;-)
18-12-2013, 12:17 door Anoniem
@sabofx Helaas is het zo dat als een groot deel van de nodes in handen van één persoon komt, het voor die persoon mogelijk wordt om een deel van het Tor-verkeer terug te herleiden.

Bovendien, als die computers gehackt zijn zijn ze niet te vertrouwen als Tor-node.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.