Botnets TOR: una tendencia en crecimiento
La siguiente publicación es una traducción y adaptación realizada por el equipo de ESET Latinoamérica del post "The rise of TOR-based botnets", escrito por Anton Cherepanov y Aleksandr Matrosov y publicado en We Live Security.
Las botnets basadas en Tor}no son un concepto totalmente nuevo, ya que se viene hablando de ellas desde el evento Defcon 18 ("Resilient Botnet Command and Control with Tor"). Sin embargo, durante el último año hemos podido confirmar algunos hechos interesantes respecto al uso de estas ideas en botnets reales. Así, a principios del 2013 este tema fue discutido en un post en el blog de Rapid7 ("Skynet, a Tor-powered botnet straight from Reddit"). Además, los primeros días de julio Dancho Danchev publicó información acerca de un Centro de Comando y Control (C&C) basado en Tor, para un rootkit en ring-3.
Hemos estado siguiendo de cerca el crecimiento de las botnets basadas en Tor estos últimos meses. En julio se detectaron dos familias de malware distintas que utilizan el protocolo de servicios ocultos que brinda Tor, para lograr una comunicación más sigilosa con el C&C. Este protocolo, si bien es especialmente bueno para organizar un canal de comunicaciones silencioso con el C&C, es muy lento para transportar grandes volúmenes de datos robados en las máquinas infectadas. Luego, la utilización de esta técnica resulta útil para los cibercriminales cuando se necesita comunicación simple con el C&C, para obtener actualizaciones en la configuración, o para descargar módulos maliciosos adicionales desde el C&C.
En julio, desde ESET detectaron dos tipos distintos de botnets basadas en Tor, variantes de Win32/Atrax y Win32/Agent.PTA respectivamente. Ambas botnets tienen funcionalidades para capturar datos de formularios web, posibilitando la realización de fraudes. En particular, la botnet Atrax es más compleja e interesante, por lo que será analizada en mayor detalle en este post.
Contenido completo en fuente original ESET España
Las botnets basadas en Tor}no son un concepto totalmente nuevo, ya que se viene hablando de ellas desde el evento Defcon 18 ("Resilient Botnet Command and Control with Tor"). Sin embargo, durante el último año hemos podido confirmar algunos hechos interesantes respecto al uso de estas ideas en botnets reales. Así, a principios del 2013 este tema fue discutido en un post en el blog de Rapid7 ("Skynet, a Tor-powered botnet straight from Reddit"). Además, los primeros días de julio Dancho Danchev publicó información acerca de un Centro de Comando y Control (C&C) basado en Tor, para un rootkit en ring-3.
Hemos estado siguiendo de cerca el crecimiento de las botnets basadas en Tor estos últimos meses. En julio se detectaron dos familias de malware distintas que utilizan el protocolo de servicios ocultos que brinda Tor, para lograr una comunicación más sigilosa con el C&C. Este protocolo, si bien es especialmente bueno para organizar un canal de comunicaciones silencioso con el C&C, es muy lento para transportar grandes volúmenes de datos robados en las máquinas infectadas. Luego, la utilización de esta técnica resulta útil para los cibercriminales cuando se necesita comunicación simple con el C&C, para obtener actualizaciones en la configuración, o para descargar módulos maliciosos adicionales desde el C&C.
En julio, desde ESET detectaron dos tipos distintos de botnets basadas en Tor, variantes de Win32/Atrax y Win32/Agent.PTA respectivamente. Ambas botnets tienen funcionalidades para capturar datos de formularios web, posibilitando la realización de fraudes. En particular, la botnet Atrax es más compleja e interesante, por lo que será analizada en mayor detalle en este post.
Contenido completo en fuente original ESET España
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!