The Onion Router (или TOR) бот мрежите са сред новите тенденции в областта на информационната сигурност. И както гласи поговорката – новото е добре забравено старо – и този случай не е изключение. TOR мрежите се споменават за пръв преди няколко години по време на конференцията Defcon 18. През последните месеци обаче станахме свидетели на няколко интересни факта, касаещи използването на тази идея в реалния свят, по-специално при бот мрежите. Следим ръста на TOR-базираните бот мрежи от началото на лятото. През юли засекохме, че две различни фамилии вируси използват TOR протокол за скрита комуникация с командните сървъри. Скритият TOR протокол пасва много добре при създаването на канал за скрита комуникация с команден сървър, но за наша (а може би и ваша) радост е бавен що се касае до кражбата на големи масиви информация от заразен компютър. Най-приложимият вариант за използване на TOR протокола за киберпрестъпниците е скриването на комуникационен протокол, чрез който да се осъществява комуникация с команден сървър, получаване на различни ъпдейти или конфигурационна информация или сваляне на допълнителни модули на определена заплаха. Какво всъщност е TOR? The Onion Router е технология, чиято цел е създаването на инфраструктура за гарантиране на (псевдо)анонимност в интернет. Де факто, всеки участник в подобна мрежа е отделно звено, а комуникацията между звената на TOR мрежата се осъществява чрез насочване на през произволни участници в мрежата. Комуникацията между самите звена е криптирана. Да се върнем обаче към разследването ни. През юли засякохме два различни вида TOR-базирани бот мрежи, които залагат на семействата вируси Win32/Atrax и Win32/Agent.PTA. И двете бот мрежи са оборудвани с функционалност за прихващане на форми за идентификация, което е знак за вероятно изпълнявани измамни дейности. Atrax мрежата изгелжда по-интересна, и затова, решихме да ви запознаем по-подробно с нея.
Win32/Atrax.A
Win32/Atrax.A е интересно TOR-базирана семейство, което се инсталира на атакуваната машина посредством семпла програма за сваляне, която продуктите на ESET засичат под името Win32/TrojanDownloader.Tiny.NIR. Декомпилирания код на тази програма за сваляне изглежда така:![1](https://cdn1.esetstatic.com/ESET/BG/articles_import/BG_artiucels_importtx_esetarticle_store_241117-1637.csv/uploads/RTEmagicC_3fb4f6b5ee.png.png)
![2](https://cdn1.esetstatic.com/ESET/BG/articles_import/BG_artiucels_importtx_esetarticle_store_241117-1637.csv/uploads/RTEmagicC_3ea8f6d6bf.png.png)
![3](https://cdn1.esetstatic.com/ESET/BG/articles_import/BG_artiucels_importtx_esetarticle_store_241117-1637.csv/uploads/RTEmagicC_f6e79dfa92.png.png)
![5](https://cdn1.esetstatic.com/ESET/BG/articles_import/BG_artiucels_importtx_esetarticle_store_241117-1637.csv/uploads/RTEmagicC_205031d9ad.png.png)
![6](https://cdn1.esetstatic.com/ESET/BG/articles_import/BG_artiucels_importtx_esetarticle_store_241117-1637.csv/uploads/RTEmagicC_ec8499815b.png.png)
- AUTHENTICATE – парола за автентификация
- SIGNAL NEWNYM – списък с проксита
Когато бъде псъществена връзка за комадния сървър за първи път, Atrax.A изпраща събраната информация за инфектираната система на адрес в TOR мрежата: А след като се заиграхме с кода, успяхме да намерим и следния панел за администрация на командния сървър:
Името Atrax дойде от екрана за въвеждане на парола. Заради това, вирусът е засичан с такова име от продуктите на ESET. Win32/Atrax.A поддържа изпълнението на дистанционни команди за настройка на „поведението“ на бота в заразената машина. Основният начин за разпознаване и изпълнение на бот команди изглежда така:
Ето и списък с поддържаните дистанционни команди:
- dlexec – сваляне и стартиране на файл
- dlrunmem – сваляне на файл и инжектирането му в браузъра
- dltorexec – сваляне на TOR exe и изпълнението му
- dltorrunmem – сваляне на TOR exe и инжектирането му в бразуъра
- update – самоъпдейт
- install – сваляне на файл, криптиране с AES и запазване в %APPDATA%
- installexec – сваляне на файл, криптиране с AES, запазване в %APPDATA% изпълнение
- kill – терминиране на собствените следи
След реконструкция на структурата на отдалечените команди и изпълнението на алгоритъма, се опитахме да се заиграем и с командния протокол. Опитахме се да изпратим статус, потвърждаващ успешен инсталационен процес на плъгин и имахме късмет: получихме пътека за сваляне на следващия: Свалиха се два различни плъгина. Първият е инструмент за кражба на информация от форми, а вторият – крадец на пароли. Всички свалени модули са компилирани през юли. Win32/Atrax.A е интересен пример за TOR-базирана ботмрежа с AES криптиране за допълнителни плъгини в зависимост от хардуерните параметри на засегнатата машина и поколението ѝ. Очаквайте още новини от нас около този вирус.