技術支援

防禦使用洋蔥路由器匿名服務的惡意軟體


在過去的幾個月,洋蔥路由器 Tor(The Onion Router)匿名服務因為各種原因出現在新聞上,最為人所知的可能是它被用在現已關閉的Silk Road地下市場。趨勢科技在「深層網路和網路犯罪」白皮書 2014年預測裡,提到網路罪犯會進入更深層的地下世界,其中使用 Tor 的數量會更多。網路犯罪分子顯然很清楚 Tor 的潛力;網路管理者也必須意識到利用 Tor 的惡意軟體可能會出現在自己的網路內,屆時該如何應對?

 

什麼是 Tor

Tor 的設計之初是為了解決一個相當特別的問題:阻止中間人(如網路管理者、網路服務供應商、甚至是國家)確認或封鎖使用者所連上的網站。

 

Tor 是怎麼辦到的?

之所以稱為「洋蔥路由器」,起因為洋蔥路由概念。在洋蔥路由網路中,有許多節點提供網路流量的中繼服務,使用 Tor 網路的使用者需要安裝一個客戶端程式,這個客戶端程式會連上一個 Tor 目錄伺服器以取得節點列表。接著這個程式會選出一條路徑,透過各個 Tor 節點到達目的地伺服器。這條網路路徑不容易被追蹤以外,各節點間的所有通訊也都被加密過。(關於Tor的更多詳情可以在 Tor 專案官方網站上找到。)如此一來,你所連上的網站,或是任何網路上可能會監聽你網路流量的攻擊者,即無法得知你的身份(至少無法得知你的來源 IP)。

 

Tor 如何被用在惡意用途?

在 2013 年下半年,我們看到很多惡意軟體利用它來隱藏自己的網路流量。在 9 月,Mevade 惡意軟體下載 Tor 元件以作為命令與控制(C&C)通訊的備援。10 月,荷蘭警方逮捕了四名 TorRAT 惡意軟體的幕後黑手,這個利用 Tor 進行 C&C 通訊的惡意軟體家族鎖定目標,專門攻擊荷蘭使用者的銀行帳戶。它使用了地下加密服務來逃避偵測,並且使用加密電子貨幣(如比特幣),使得調查工作異常艱難。


在 2013 年的最後幾週,有一些變種勒贖軟體自稱為 Cryptorbit,要求受害者使用 Tor 瀏覽器(帶有預先 Tor 設定的瀏覽器)支付贖金。該名稱可能來自於惡名昭彰的 CryptoLocker 惡意軟體。(如下圖)

 

 

不久前,我們也曾偵測到幾個 ZBOT 樣本,這些樣本除了利用 Tor 來進行 C&C 連線以外,有些樣本也會將自己的 64 位元版本嵌入正常的 32 位元版本內,如下圖。如此一來,可以完美地運作在 64 位元環境裡,並且跟一般的惡意軟體注入一樣,注入到執行中的 Svchost.exe 程序 。
 


防禦 Tor 的方法

要封鎖 Tor,就要先封鎖 Tor 客戶端到伺服器的連線,這些伺服器通常會監聽幾個特定的通訊埠:80、443、9001、9030。客戶端軟體會嘗試透過這幾個通訊埠對外聯線,直到連上 Tor 節點。(如下圖)
 

 

簡單說,有兩種方法從網路層封鎖 Tor 連線。第一、控制對外連線的通訊埠。第二、使用應用程式或是網路監控程式,過濾網路流量。但是 80、443 這是一般常用的通訊埠,通常無法封鎖,否則會影響正常的網路連線。 

 

防禦 Tor 網路連線的措施

一般企業都需要掃描或管理網路應用程式,實施應用程式控管(Application Control)比單純的允許、封鎖選項更便於管理,但通常需要搭配一些設備使用:
1. 設置具有應用程式控管功能(Application Control)的網路代理伺服器,通常位於 DMZ 區;
2. 將網際網路的流量導至此代理伺服器。

此外,須在防火牆監控通過 9001 與 9003 通訊埠對外的連線,此為到 Tor 網路的連線。(如下圖)
 


如此一來, 網路管理員透過監控 80、443 通訊埠的網路流量,在降低 Tor 相關惡意程式的影響之外,也能增進整體網路安全。此即為積極的預防,而非坐以待斃(等待被攻擊後再來處理)。

趨勢科技 InterScan Web Security(IWS)系列產品,提供應用程式控管功能,也能讓網路管理員清楚看到網路流量的風險 。如下圖,IWS產品可過濾網路流量並辨別Tor流量,讓管理員輕鬆封鎖。
 

 

此外,趨勢科技 Deep Discovery Inspector(DDI)更可提供跟Tor相關的網路流量 log。(如下圖)
 

 

IWS 系列產品與 DDI,加上防火牆和其他資安管理軟體都可以與 security information and event management 軟體(SIEM)整合(如下圖),成為網路管理員有效的工具,不僅可以防禦 Tor 相關惡意程式,也可以防範更新的資安威脅並有效控管疫情感染。
 



 

透過以下社群網站聯絡我們