Поисковики Даркнета, ссылки на поисковые системы Темной сети!

Анонимность

ФБР, CISA предупреждают сайтов защититься от кибератак через Тор сеть

Хакеры используют Tor (The Onion Router) для анонимного проведения злонамеренных кибератак против организаций, которые скрывают свою личность при проведении разведки, предупреждают ФБР и CISA.

ФБР и Министерство внутренней безопасности и безопасности Кибербезопасности опубликовали совместное предупреждение организаций об угрозе кибератак, исходящих от Tor (The Onion Router), что позволяет хакерам анонимно выполнять кибератаки и другие вредоносные действия.

Программное обеспечение, поддерживаемое проектом Tor, позволяет пользователям анонимно просматривать Интернет, поскольку оно шифрует и направляет запросы через несколько ретрансляционных узлов или уровней.  Tor предназначен для «продвижения демократии и свободного анонимного использования Интернета».

Тем не менее, участники угроз используют Тор сеть для сокрытия своей личности и места происхождения при участии в «злонамеренной кибер-деятельности, влияющей на конфиденциальность, целостность и доступность информационных систем и данных организации».

Агентства предупреждают, что Тор сеть используется для проведения рекогносцировки, получения доступа к системам потерпевших, фильтрации и манипулирования данными, и даже переводит службы в автономный режим с помощью вымогателей и атак типа «отказ в обслуживании».

Кроме того, агентства обнаружили участников угроз, передающих данные своих командно-контрольных (C2) серверов, используемые для контроля зараженных вредоносными системами систем, через Tor, чтобы скрыть идентификационные данные серверов хакеров.

«Используя протокол Onion Routing Protocol, программное обеспечение Тор сеть скрывает личность пользователя от любого, кто хочет отслеживать онлайн-активность (например, национальные государства, организации по надзору, инструменты информационной безопасности)», — предупреждают агентства.

«Использование Tor в этом контексте позволяет субъектам угроз оставаться анонимными, что затрудняет сетевым защитникам и властям восстановление системы и реагирование на кибератаки», — добавили они.  «Организации, которые не предпринимают шагов по блокировке или мониторингу трафика Tor, подвергаются повышенному риску быть объектом преследования и эксплуатации со стороны действующих лиц, скрывающих свою личность и намерения с помощью Tor».

В ответ агентства призывают организации оценить потенциальный риск компрометации через Tor и рассмотреть их рекомендуемые меры по снижению либо блокирования, либо тщательного мониторинга входящего и исходящего трафика от известных узлов Tor.

Риск злонамеренной активности Tor варьируется в зависимости от организации, что означает, что лидеры безопасности могут определять риск, оценивая вероятность того, что субъект угрозы будет нацелен на его системы и данные, а также вероятность успешной атаки с учетом текущих мер и средств защиты предприятия.

Поскольку в последние годы здравоохранение оставалось главной целью деятельности киберпреступников, лидерам безопасности следует работать над устранением риска, создаваемого Tor.  Оценка должна учитывать законные причины, по которым не злонамеренные пользователи могут нуждаться или предпочитать использовать Tor для доступа к сети, а также оценку мер по снижению корпоративных угроз от продвинутых постоянных угроз (APT).

Лидеры безопасности также должны учитывать потенциальный риск атак со стороны умеренно изощренных злоумышленников и даже низкоквалифицированных хакеров, поскольку все виды киберпреступников использовали Tor для проведения разведывательных и кибератак в предыдущих атаках.

В этих атаках хакеры сначала выбирают цель, собирают техническую информацию с помощью активного и пассивного сканирования и других средств и выявляют слабые места, прежде чем использовать общедоступные приложения и дополнительные методы атаки.

Стандартных инструментов безопасности недостаточно для обнаружения атак через Tor.  Лидеры безопасности должны использовать различные журналы сетевых, конечных точек и устройств безопасности для обнаружения использования Tor и возможной злонамеренной активности с использованием анализа на основе показателей и поведения.

«Используя подход, основанный на индикаторах, сетевые защитники могут использовать инструменты защиты информации и управления событиями (SIEM) и другие платформы анализа журналов, чтобы отмечать подозрительные действия, связанные с IP-адресами выходных узлов Tor», — пояснили агентства.

«Список IP-адресов выходного узла Tor активно поддерживается Службой списка выходов Tor», — добавили они.  «Организации, предпочитающие массовую загрузку, могут рассмотреть возможность использования автоматизированных решений по загрузке данных, учитывая высокую динамичность

Список выхода Tor, который обновляется ежечасно ».

Кроме того, лидеры безопасности должны тщательно проверять любые доказательства существенных транзакций с выходными узлами Tor, которые можно найти в журналах netflow, перехвата пакетов (PCAP) и веб-сервера для обнаружения вредоносного поведения.

Используя подход, основанный на поведении, лидеры безопасности могут искать шаблоны работы клиентского программного обеспечения Tor

Оставить комментарий

avatar
  Подписаться  
Уведомление о