Tor wird bei Kriminellen immer beliebter

Originalartikel von Jay Yaneza, Technical Support

Der Anonymisierungsdienst Tor geriet in der letzten Zeit einige Male in die Schlagzeilen, nicht zuletzt weil der Service vom berüchtigten Silk Road Untergrundmarktplatz (mittlerweile vom Netz genommen) genutzt wurde. Das zeigt auch, dass Cyberkriminelle das Potenzial von Tor erkannt haben und nutzen. Wie sollten Netzwerkadministratoren darauf reagieren?

Das Thema Deep Web hat Trend Micro ausführlich in dem Forschungsbericht Deepweb and Cybercrime behandelt, und auch in den Voraussagen zur Sicherheit 2014 stellen die Autoren fest, dass Cyberkriminelle künftig häufiger auf Tor zurückgreifen werden.

Was ist Tor?

Tor soll ein ganz bestimmtes Problem lösen, nämlich einen Man-in-the-Middle (wie etwa Netzwerkadministratoren, ISPs oder sogar Staaten) daran hindern, festzustellen, welche Websites ein Nutzer besuchen will, und diese unter Umständen zu blockieren.

Ursprünglich als „The Onion Router” bekannt, ist Tor eine Implementierung des Konzepts des Onion-Routings. Dabei gibt es eine Reihe von Knoten im Internet, die als Relais für den Internetverkehr dienen. Will jemand das Tor-Netzwerk nutzen, so muss er einen Client auf der Tor-Maschine installieren. Dieser Client nimmt Verbindung mit einem Tor Directory Server auf, wo er eine Liste der Knoten findet und einen Pfad für den Netzwerkverkehr über verschiedene Tor-Knoten zum Zielserver auswählt. Einzelheiten dazu gibt es auf der Website des Tor-Projekts.

Das Ergebnis dieser Vorgehensweise: Die Identität des Nutzers (oder zumindest die IP-Adresse) wird verschleiert, sowohl vor der besuchten Website als auch vor jedem potenziellen Angreifer, der den Netzwerkverkehr mitverfolgt. Dies ist für User sehr nützlich, wenn sie ihre Spuren verwischen wollen, oder wenn der Server, mit dem sie Verbindung aufnehmen wollen, aus irgendwelchen Gründen die Verbindung von der bestimmten IP-Adresse verweigert. Diese Fähigkeit kann jedoch leider auch für verwerfliche Zwecke genutzt werden.

Wie kann Tor für schädliche Zwecke eingesetzt werden?

Schadsoftware kann Tor genauso einfach nutzen wie alle anderen auch. In der zweiten Hälfte 2013 nutzte immer mehr Malware diese Möglichkeit, ihren Netzwerkverkehr zu verstecken. Im September etwa lud die Mevade-Schadsoftware eine Tor-Komponente herunter als Backup für die C&C-Kommunikation. Im Oktober verhaftete die niederländische Polizei vier Hintermänner der TorRAT-Schadsoftware, die ebenfalls Tor für die C&C-Kommunikation einsetzt. Die Malware-Familie nahm Bankkonten niederländischer Nutzer ins Visier. Die Ermittlungen gestalteten sich schwierig, weil die Schadsoftware den Untergrund-Verschlüsselungsservice nutzte, um Erkennung zu entgehen. In den letzten Wochen des Jahres 2013 tauchten einige Ransomware-Varianten auf, die sich selbst Cryptobit nannten und die Opfer aufforderten, den Tor-Browser (ein Browser-Bundle, das von Tor vorkonfiguriert ist) für die Zahlung des Lösegelds einzusetzen


Bild 1. Warnung von Ransomware, die Tor nutzt

Auch analysierte Trend Micro einige ZBOT-Muster, die ihre 64-Bit-Version in die 32-Bit-Variante einbettet, neben dem Einsatz von Tor für die C&C-Kommunikation.


Bild 2. Ausführen der 64-Bit ZBOT-Malware

Für Netzwerkadministratoren bedeutet der vermehrte Einsatz von Tor für verbrecherische Zwecke, dass sie zusätzliche Schritte in Betracht ziehen müssen, um mit Tor umzugehen, dessen Nutzung zu erkennen und, falls nötig, zu unterbinden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*