Nieuwe malware die computers een botnet intrekt, verhult de server waarvan de opdrachten komen via Tor, dat anoniem websurfen mogelijk maakt door verkeer via een netwerk te pompen.

Onderzoekers van beveiligingsbedrijf G Data zeggen malware te hebben gevonden die als zombie fungeert voor een botnet en de volgende evolutie is in de ontwikkeling van botnetsoftware. De malware ontvangt zijn instructies van een server die zijn identiteit verhult door opdrachten via Tor te laten lopen.

Beste van beide werelden
De opdrachten die van een command-and-control-server afkomen, zijn door systeembeheerders te blokkeren door het IP-adres van deze server op de blacklist te zetten. Deze truc wordt bijvoorbeeld ingezet om nieuwe C&C's die Citadel beheren te blokkeren. Een andere instructiemethode gebruikt p2p-netwerken om clients van opdrachten te voorzien. Ook dit is niet waterdicht, omdat p2p-verkeer geblokkeerd kan worden.

Het botnet dat Tor gebruikt combineert het beste van beide werelden. Commando's die via de C&C-server worden verzonden, zijn niet te herleiden naar een server. Omdat de dienst verstopt zit in de IRC van Tor, komen de opdrachten uiteindelijk van uiteenlopende IP-adressen binnen. Zo is een centrale C&C niet langer door een netwerkbeheerder te frustreren door een centraal adres te blokkeren.

Gevaarlijk botnet
De onderzoekers stellen dat dit specifieke botnet de gebruikelijke snode technieken inzet om internetverkeer te frustreren, zoals het verspreiden van malware en uitvoeren van DDoS-aanvallen. De manier waarop hij ervoor zorgt dat hij nauwelijks te blokkeren is, is volgens G Data een nieuwe en gevaarlijke toepassing.

De single-point-of-failure voor een botnet is immers het ip-adres van de C&C. Maar bij een uitbraak van malware die via een botnet dat Tor gebruikt wordt verspreid, is de ingang niet eenvoudig dicht te gooien. Tor is bijvoorbeeld dicht te gooien door de exit nodes te blokkeren. Maar deze punten veranderen constant omdat steeds nieuwe clients zich aanmelden. Dus is dat een praktisch onhaalbare klus.

Botnet nauwelijks te blokkeren
Dit is precies de reden waarom Tor gebruikt wordt door bijvoorbeeld politieke dissidenten in China. Het netwerk is nauwelijks te blokkeren en de mensen die boodschappen versturen, blijven buiten schot. China probeert Tor te frustreren met wat schertsend The Great Firewall of China wordt genoemd. Deze software blokkeert dynamisch de nodes van Tor om het anonieme netwerk onklaar te maken.

Bedrijven die slachtoffer zijn van een malware-aanval via een botnet, zouden nog DPI kunnen toepassen om niet herkend versleuteld verkeer te blokkeren. Zo wordt al het niet herkende verkeer geblokkeerd. Deze methode kan dan weer ondervangen worden door Tor-gebruikers met een tool als obsfproxy.