Владелец одного из ботнетов в недавнем интервью на сайте Reddit говорил, что его боты работают как релеи Tor, помогая другим пользователям, и трафик с командного сервера тоже идёт через сеть анонимайзеров. Возможно, это именно его ботнет только что обнаружила компания G Data SecurityLabs. Специалисты G Data SecurityLabs сообщили, что обнаруженный ботнет использует классическую P2P-схему, в которой каждый бот имеет возможность установить прямое соединение с другим ботом. Эти коммуникации тоже осуществляются внутри сети Tor, то есть боты работают как релеи — в точном соответствии с описанием анонимного студента на Reddit. Владельцам C&C-сервера достаточно отправить команду одному боту в сети — и тот передаст её остальным. Собственно, подобная P2P-схема работы ботнетов используется уже давно, что даёт возможность властям перехватить управление ботнетом. Использование Tor — следующий шаг в эволюции ботнетов. В данном случае, говорят исследователи G Data SecurityLabs, владельцы спрятали за анонимайзером IRC-сервер, с которого идут команды. Таким образом, они решают сразу несколько проблем: прячут сервер, усложняют перехват управления ботнетом, усложняют блокировку трафика, упрощают задачу по разработке протокола: то есть им вообще не нужно разрабатывать новый зишифрованный протокол, достаточно обычного IRC, который идёт через Tor. 11.09.2012 http://www.xakep.ru/post/59299/
Операторы ботнета сохраняли анонимность при помощи анонимайзера Tor Специалисты компании G-Data обнаружили ботнет, командные узлы которого скрывались при помощи анонимайзера Tor. Владельцы ботнета, состоящего из компьютеров под управлением операционной системы Windows, замаскировали свой C&C сервер под скрытую службу внутри сети Tor. C&C сервер использовал для связи с ботами обычный IRC протокол. Как отмечают специалисты, владельцы ботнетов перешли на использование P2P архитектуры в течение нескольких последних лет, постепенно отказываясь от использования централизованных C&C серверов. Использование технологий P2P позволяет отдельным компьютерам бот-сети передавать команды другим компьютерам, входящим в данную сеть. Однако, подобная архитектура также имеет существенные недостатки, так как позволяет конкурентам либо специалистам, работающим на госструктуры, перехватывать управление ботнетом. Конечно, это можно сделать только в том случае, если ботнет не защищен сложным механизмом аутентификации. Как отмечают сотрудники G-Data, использование Tor было единственным, что выделяет данный ботнет из ряда себе подобных. Использование Tor позволяет владельцам ботнетов сохранять анонимность, так как использование IRC сервера в качестве скрытой службы усложняет задачу по его обнаружению. Управляющий траффик ботнета шифруется средствами Tor. Это позволяет злоумышленникам обходить системы обнаружения вторжений, которые на сегодняшний день являются стандартным компонентом систем защиты современных предприятий. К тому же, заблокировать Tor крайне сложно с юридической точки зрения, так как в целом использование данного анонимайзера вполне законно, и его блокирование может рассматриваться как нарушение прав легитимных пользователей. 14/09/2012 http://www.anti-malware.ru/news/2012-09-14/10020
Tor только выиграет от такого ботнета, сеть разрастется за счет зомби-нодов. Так что новость то позитивная.