Новый метод обнаружения вредоносного трафика в сети Tor

НОВОСТИ
2018-12-20 11:26:56
0
5.3K

TOR - уникальная сеть, разработанная для обеспечения анонимной онлайн-связи для приложений на основе TCP. Сеть TOR в настоящее время обслуживает сотни тысяч пользователей, помогая им скрывать свою личность во время серфинга в Интернете. Несмотря на то, что TOR в настоящее время в основном используется для обхода интернет-цензуры в странах, управляемых репрессивными режимами. Aнонимность, предствляемая данной сетью, также обеспечивает доступ к скрытым услугам, таким как торговые площадки в Даркнете, на которых вы можете приобрести, наркотики, оружие, поддельные документамы и многое другое. Более того, сеть, которая продвигает конфиденциальность пользователей, несет в себе совершенно новую онлайн-угрозу, позволяя различным формам бот-сетей скрываться и распространять спам, а так же подвергаться распределенным атакам типа «отказ в обслуживании» (DDoS), среди других форм киберпреступной деятельности.

Недавно опубликованная статья предложила новый метод обнаружения и классификации вредоносного трафика, чтобы защитить пользователей от потенциальных угроз и разработать методы для отслеживания различных форм вредоносного кода, передаваемого по сети TOR. Целью исследования было разработать и внедрить решение быстро растущей проблемы вредоносного трафика через TOR, исходя из методов судебной экспертизы, способных защитить сеть от вредоносного трафика, а также сохранить анонимность и конфиденциальность не вредоносного трафика.

Предлагаемый способ обнаружения вредоносного TOR-трафика

Метод, использованный в этом исследовании, опирался на группу серверов TOR. Исследователи обрабатывали сетевой трафик и сопоставляли источник и назначение каждого соединения со списком серверов TOR. Метод обнаружения был реализован поверх Bro, который является пассивным анализатором, проверяющим весь трафик, в целях обнаружения любых признаков вредоносной активности.

Чтобы определить, предназначено ли соединение к сети TOR, исследователи проверили, было ли соединение установлено через хост из их предопределенного списка сетевых серверов, поэтому они проверили IP-адрес источника через функцию is_local_addr, которая возвращала бы true, если адрес соответствует одна из определенных локальных сетей, или false, если нет. После этого они проверили, присутствует ли IP-адрес назначения в таблице t_TOR_server, которая включает в себя все опубликованные IP-адреса серверов TOR. Когда совпадение найдено, соединение устанавливается с сетью TOR, но, прежде чем может быть выдано предупреждение, исследователи должны проверить, не существует ли IP-адрес источника в таблице t_suppress_TOR_alert, основной целью которого является подавление предупреждений для одно оповещение об одном и том же IP-адресе (том же клиенте TOR) в день.

Затем отправляется оповещение по электронной почте об обнаружении соединения TOR в RT (Request Tracker), где группа сетевой безопасности может пройти дополнительную экспертизу и отреагировать на нее. Этот метод обнаружения является одним из других методов, используемых в жизненном цикле усовершенствованной постоянной угрозы (APT). Выходные данные этого метода обнаружения будут сопоставляться с выходными данными других методов, в целях предупреждение об обнаружении атаки APT и идентифицировать вредоносные формы трафика.

Результаты предложенного способа:

Исследователи использовали предложенный метод для мониторинга трафика кампуса в режиме реального времени для соединений TOR. Был создан файл журнала для обнаруженных соединений TOR. Кроме того, исследователи установили сервер для размещения своего метода обнаружения и пассивно анализировали живой трафик кампуса. Анализ был использован для мониторинга трафика TOR в течение одного месяца. Список хостов, обменивающихся данными через TOR, был сопоставлен с результатами, полученными с помощью метода определения потока доменов. Эта установка обнаружила 24 хоста с использованием TOR и 31 хост с использованием потока домена. Из них 13 хостов были определены как для использования TOR, так и потока домена, что означает, что они были заражены вредоносным ПО. Исследователи также применили предложенную методологию к файлам захвата пакетов (pcap), которые включают в себя реальные и долгоживущие формы вредоносного трафика, и им удалось доказать, что данная методика эффективна при выявлении вредоносных действий в сети TOR.

Итоги:

В исследовании была представлена методика выявления вредоносного трафика, передаваемого по сети TOR. Предложенная методика, основанная на списке серверов TOR, доказала свою эффективность в выявлении вредоносного трафика в условиях сети живого трафика на территории кампуса. Исследователи предложили соотнести выходные данные их предлагаемого метода обнаружения с результатами других методов обнаружения в будущих исследованиях, чтобы повысить уровень оповещения при обнаружении атаки APT.

Чтобы быть вкурсе всех свежих новостей нашего сайта, подписывайтесь на наш телеграм канал https://t.me/joinchat/AAAAAEN6RYDtq2uLaMOeLQ

0
5.3K
Написать комментарий

Добавить комментарий