Злоумышленники используют анонимные сети для сокрытия своих северов

Стало известно, что большинство авторов вредоносного ПО используют анонимную сеть Tor для скрытия реального местоположения своих серверов.
 

 

Об этом рассказали сотрудники компании Eset, которые всё чаще стали обнаруживать C&C сервера, работающие по протоколу The Tor Hidden Service. Благодаря этому протоколу, авторы всяческих вирусов устанавливают на свои сервера специальное ПО, после чего обращаться к ним можно только из псевдо-доменного пространства .onion.

Определить местоположение сервера, расположенного в этой сети, практически нереально. Трафик между клиентом и сервером маршрутизируется случайным образом через целую сеть шлюзов. При этом, в роли шлюза может выступать не только специальный узел, но и обычный ПК.

Сервера в сети Tor невозможно вычислить благодаря случайной маршрутизации

Использование сети Tor для размещения C&C серверов не является чем-то новым, но до недавнего времени на практике такая возможность практически не использовалась. За последние три года было известно только об одном подобном сервере – один из управляющих серверов бот-нет сети Skynet.

На сегодняшний же день, активность по протоколу Tor значительно возросла. Эксперты говорят уже о двух вредоносах, обнаруженных за последний месяц, которые были основаны на коде Win32/Atrax и Win32/Agent.PTA.

Такое вредоносное ПО ориентировано на перехват пользовательских данных, которые вносятся в веб-формы.