Некоторые мысли по поводу вредоносных программ под Tor

Бизнес

Еще в июле «Лаборатория Касперского» сообщила о новом штамме программ-вымогателей, использовавших анонимную сеть Tor (The Onion Router), для того чтобы скрыть свою вредоносную суть и затруднить отслеживание авторов запущенной вредоносной кампании.

На самом деле это не первый раз, когда наши специалисты засекли вредоносные программы, использующие Tor, и, конечно, не последний.

До недавнего времени такая практика была не слишком распространена. Лишь несколько семейств банковских вредоносных программ, таких как 64-битные троянцы ZeuS, использовали Tor-соединения.

Зачем? Делает ли использование Tor вредоносные программы опаснее?

А ответ получится несколько неоднозначным. Оба 64-разрядных троянца ZeuS и новая программа-вымогатель, которую «Лаборатория Касперского» окрестила Onion, кстати, используют Tor для прикрытия серверов C&C, чтобы усложнить поиск самих операторов вредоносного ПО. Вкратце, это работает. Архитектура Tor делает почти невозможной деанонимизацию своих пользователей, даже если используются незаконные инструменты. И неудивительно, что, несмотря на то, что Tor был разработан для борьбы с цензурой, киберпреступники его оприходовали.

В то же время, «Лук» не станет опаснее только потому, что его инфраструктура С&C теперь хорошо спрятана. Это является проблемой для специалистов по ИТ-безопасности, а не для предприятий, которые являются основными мишенями самой вредоносной программы.

Даже без всякой поддержки Tor Onion чрезвычайно опасен. Прямой «наследник» в страшных CryptoLocker, CryptoDefence/CryptoWall, ACCDFISA и Gpcode, Onion — еще один вымогатель, который шифрует все файлы, до которых доберется, а затем требует выкуп.

Злоумышленники объявляют крайний срок оплаты в 72 часа, иначе все файлы будут потеряны навсегда, что, вероятно, правда. Onion использует асимметричный криптографический протокол, известный как ECDH, — протокол Диффи — Хеллмана (технические подробности см. по этой ссылке на Securelist).

Короче говоря, зашифрованный файл нельзя раскодировать без мастер-ключа, принадлежащего преступникам. И если он хранится лишь в течение 72 часов, как утверждают нападавшие, то нет абсолютно никакого способа восстановить зашифрованные файлы.

Создатели Onion предпочитают действовать наверняка. Почти не существует способа выследить серверы C&C, а расшифровки файлов без мастер-ключа не добиться. Кроме того, метод распространения также очень необычный. Исследователи «Лаборатории Касперского» установили, что бот Andromeda (определяется продуктами «Лаборатории Касперского» как Backdoor.Win32.Androm) получает команду для загрузки и запуска на компьютере жертвы другой вредоносной программы из семейства E-mail-Worm.Win32.Joleee. Последняя используется, прежде всего, для рассылки спама, но и может выполнять ряд команд злоумышленников, в том числе команды на загрузку и пуск исполняемого файла. Так что это на самом деле Joleee загружает шифратор на зараженный компьютер и запускает его.

К чему такие сложности? Это повод задуматься.

wide

Не вызывает сомнений то, что с этой угрозой можно справиться на местном уровне. Если критические данные архивировать и хранить в безопасности, шифратор является лишь мелкой неприятностью, которая может стоить бизнесу всего нескольких часов восстановления информации в самом худшем случае.

Но резервное копирование должно выполняться регулярно, и, кроме того, копии должны создаваться на устройстве хранения данных, которое доступно только в ходе этого процесса (например, на съемном накопителе, который отключается сразу после резервного копирования). Несоблюдение этих рекомендаций приведет к тому, что резервные копии файлов подвернутся нападению и будут зашифрованы вымогателем тем же образом, что и оригинальные версии файлов.

Используемое защитное решение должно работать постоянно, и все его компоненты должны быть активными. Базы данных решения также должны быть обновленными.

Продукты «Лаборатории Касперского» обнаруживают Onion по его подписи и определяют как Trojan-Ransom.Win32.Onion. Все возможные неизвестные модификации выявляются эвристически и помечаются HEUR:Trojan.Win32.Generic, или – проактивно, как PDM:Trojan.Win32.Generic.

Кроме того, решение «Лаборатории Касперского» включает в себя технологию Cryptomalware Countermeasures, которая способна защитить пользовательские данные даже от еще неизвестных шифраторов, для которых до сих пор нет подписей или доступных облачных данных. Эта технология основана на принципе создания защищенных резервных копий персональных файлов в момент, когда подозрительная программа пытается получить к ним доступ.

Технология автоматически восстановит файл, даже если он зашифрован вредоносными программами. Для задействования этой технологии в настройках продукта «Лаборатории Касперского» должен быть включен компонент System Watcher.

Использование Tor может стать обычным делом для преступников, особенно тех, кто управляют ботнетами или шифраторами, то есть тех, которым нужны серверы C&C.

Если ваш дом облюбовали муравьи, то единственный способ их вывести — убить королеву, которая обитает глубоко в спрятанном гнезде; иногда до него практически нельзя добраться непосредственно, поэтому для уничтожения колонии надо использовать яды.

Единственно верный способ ликвидировать ботнет — «уничтожить гнездо», подавив серверы C&C (и — желательно — задержать «муравьиных маток», то есть владельцев ботнета).

Но если (или когда) преступники переносят инфраструктуру C&C своего ботнета в Tor, то выкорчевывать такую вредоносную сеть «одним махом», как в операции Tovar и прочих кампаниях по устранению ботнетов, становится бесконечно трудно. А это, в свою очередь, означает, что единственный способ бороться с таким ботнетом — иметь незыблемую локальную защиту, которая не пропустит никаких вредоносных программ.

Другими словами, если/когда контроль зловредов через Tor утвердится в качестве господствующей тенденции, обеспечения кибербезопасности станет «личным делом каждого» более, чем когда-либо прежде.