TorBot Stalker - Um novo mecanismo para detecção de botnets baseados em Tor através de análise inteligente de dados de circuitos
DARKNET BRASIL
O TorBot Stalker faz uso do aprendizado de máquina para analisar e tirar impressões digitais dos horários e frequências exatos dos dados do circuito da rede Tor durante o processo de roteamento do tráfego da rede de botnets para construir um mecanismo de detecção capaz de identificar hosts de botnet infectados no Tor limite de rede. O TorBot Stalker foi projetado para identificar máquinas infectadas em tempo real, sem comprometer a privacidade e o anonimato dos usuários honestos do Tor.
O TorBot Stalker pode ser implantado em qualquer nó de retransmissão na rede Tor e pode delinear a diferença entre botnets Tor e aplicativos honestos como o IRC (Internet Relay Chat) originário do mesmo host. Dados derivados de experimentos envolvendo o TorBot Stalker demonstraram uma precisão de cerca de 99%, com poucos resultados falso-positivos. O mecanismo é então aplicado nos nós de entrada da rede Tor, a fim de estimar quantitativamente a fração do tráfego de rede associado às atividades de botnets. Estudos experimentais provaram que o TorBot Stalker é capaz de efetivamente desnonymizar botnets reais em toda a rede Tor e detectar ainda mais hosts de botnet infectados, bem como seus servidores de comando e controle.
O TorBot Stalker também foi capaz de identificar botnets que utilizam rotação de proteção de entrada em associação com o protocolo Tor. O mecanismo expõe um grupo diversificado de vulnerabilidades associadas ao protocolo Tor, incluindo a negação do serviço oculto, a identificação de guardas de entrada, a coleta de descritores de serviços ocultos e outros problemas sérios associados à implementação do servidor de comando e controle da botnet. Por outro lado, formas centralizadas de botnets baseados em Tor podem ser mais facilmente identificadas pelo TorBot Stalker.
Pensamentos finais:
Os Botmasters estão continuamente lutando contra as agências de aplicação da lei e os pesquisadores para prolongar a longevidade de suas botnets e tentar alcançar isso através do projeto de botnets que podem resistir à detecção através dos meios atualmente disponíveis. É por isso que eles estão usando recentemente a rede Tor para promover o anonimato dos servidores de comando e controle de seus botnets. TorBot Stalker provou ser uma ferramenta eficaz para detectar botnets baseados em Tor . Essa nova ferramenta mostrou que os servidores de comando e controle hospedados na rede Tor podem ser vulneráveis a formas de ataque, como rastreamento e sinkholing. Estudos futuros são necessários para identificar se o TorBot Stalker ainda pode ser efetivo caso o mestre da botnet seja capaz de infectar nós de retransmissão peculiar ou uma proporção significativa de nós de retransmissão através da rede Tor.