防御来自Tor的恶意网络活动

admin 2022年7月6日08:31:57评论62 views字数 1473阅读4分54秒阅读模式

发布日期:2020年7月1日


本文由网络安全和基础设施安全局(CISA)撰写,联邦调查局(FBI)贡献的咨询报告重点介绍了与Tor相关的风险以及技术细节和缓解建议。网络威胁参与者可以使用Tor软件和网络基础设施进行匿名和混淆,秘密进行恶意网络操作。


Tor(又称“洋葱路由器”)是一种软件,它允许用户通过多个中继层或节点对请求进行加密和路由,从而匿名浏览Web。该软件由Tor项目维护,这是一个提供互联网匿名和反审查工具的非营利组织。尽管Tor可用于促进民主和自由,匿名使用互联网,但它也为恶意行为者隐瞒其活动提供了一种途径,因为无法确定Tor软件用户的身份和来源。使用洋葱路由协议,Tor软件混淆了用户的身份,不让任何人监视在线活动(如国家、监视组织、信息安全工具)。这是可能的,因为使用Tor软件的的在线活动似乎源自Tor出口节点的Internet协议(IP)地址,而不是用户计算机的IP地址。


恶意网络活动参与者在从事影响组织信息系统和数据的机密性完整性和可用性的恶意网络活动时,会使用Tor掩盖其身份。该活动的示例包括执行侦察渗透系统、渗漏和操纵数据,以及通过拒绝服务攻击使服务脱机和分发勒索软件有效载荷。威胁参与者已通过Tor中继了其命令和控制(C2)服务器通信,该通信用于控制感染了恶意软件的系统,从而掩盖了这些服务器的身份(位置和所有权)。

在这种情况下使用Tor可以使威胁参与者保持匿名,从而使网络防御者和授权机构难以恢复系统和响应网络攻击。不采取措施阻止或监控Tor流量的组织将面临更高的风险,即被威胁参与者利用Tor隐藏其身份和意图。

每个组织成为Tor路由的恶意活动目标的风险都是不同的。组织应通过评估威胁参与者将其系统或数据作为目标的可能性,以及在当前缓解和控制的情况下,威胁参与者成功的可能性,来确定其个人风险。此评估应考虑非恶意用户可能喜欢或需要使用Tor访问网络的合法原因。组织应该评估其针对高级持续威胁、中等老练的攻击者和低技能的个人黑客的缓解决策,这些人在过去都利用Tor进行侦察和攻击。


Tor混淆了Web请求的源和目的地。这使用户可以从该流量的接收者以及可能进行网络监视或流量分析的第三方隐藏有关其在网络上的活动的信息,例如其位置和网络使用情况。Tor对用户的流量进行加密,并通过至少三个Tor节点或中继路由流量,以便在传输过程中网络和流量观察者可以屏蔽用户的起始IP地址和请求。请求到达其预期的目的地后,它将通过公共Tor出口节点退出Tor。进行监视或分析的任何人都只会看到来自Tor出口节点的流量,并且无法确定请求的原始IP地址。

防御来自Tor的恶意网络活动

威胁参与者使用Tor来创建匿名层,以隐藏不同网络入侵阶段的恶意活动。他们的战术技术(如上图1所示)包括:

Pre-ATT&CK

目标选择

技术信息收集(主动扫描;被动扫描;确定域名和IP地址;识别安全防御能力;)

技术弱点识别

ATT&CK

初始接入(利用公众应用)

命令和控制(常用端口;连接代理;定制的命令和控制协议;定制的加密协议;多跳代理;多层加密;标准应用层协议;)

信息渗漏

影响(以制造影响为目的的数据加密;终端拒绝服务;网络拒绝服务;)


尽管Tor使用户无法通过标准安全工具进行识别,但网络防御者可以通过基于指标或基于行为的分析来利用各种网络、端点和安全设备日志来检测Tor的使用,包括涉及Tor的潜在恶意活动。


来源:https://www.us-cert.gov/ncas/alerts/aa20-183a

原文始发于微信公众号(白泽安全实验室):防御来自Tor的恶意网络活动

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月6日08:31:57
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   防御来自Tor的恶意网络活动http://cn-sec.com/archives/1056842.html

发表评论

匿名网友 填写信息