Carding 4 Carders
Professional
- Messages
- 2,730
- Reaction score
- 1,467
- Points
- 113
Блокирование трафика из сети Tor не позволит злоумышленникам использовать сеть Tor для легкого проведения анонимной разведки и эксплуатации систем и обычно оказывает минимальное влияние на законных пользователей, если оно вообще есть. Эта публикация предоставляет руководство по предотвращению и обнаружению трафика из сети Tor.
Блокирование трафика из сети Tor не позволит злоумышленникам использовать сеть Tor для легкого проведения анонимной разведки и эксплуатации систем и обычно оказывает минимальное влияние на законных пользователей, если оно вообще есть. Эта публикация предоставляет руководство по предотвращению и обнаружению трафика из сети Tor.
Сеть Tor работает с использованием программного обеспечения с открытым исходным кодом, которое использует технику луковой маршрутизации для анонимной связи по компьютерным сетям. Луковая маршрутизация включает использование нескольких уровней шифрования сообщения. Каждый уровень расшифровывается луковичным маршрутизатором, который раскрывает следующий пункт назначения сообщения. Каждый луковый маршрутизатор на пути может знать только предыдущий луковый маршрутизатор и следующий луковый маршрутизатор. Используя этот процесс, один луковичный маршрутизатор не может видеть и исходный адрес источника, и адрес назначения.
Сеть Tor состоит из тысяч луковых маршрутизаторов (известных как узлы Tor), которые используются для сокрытия местоположения пользователя от места назначения, обычно веб-сайта или веб-сервера. Анонимность, которую обеспечивает это сокрытие, может помочь пользователям оставаться скрытыми от трекеров и фильтров цензуры, хотя следует отметить, что некоторые технологии отслеживания, такие как файлы cookie веб-сайтов, продолжают оставаться эффективными.
Сеть Tor предоставляет злоумышленникам множество источников, из которых они могут выполнять вредоносные действия против своих целей. Обеспечивая использование разных выходных узлов Tor, злоумышленники могут затруднить для защитников сопоставление действий (поскольку противник может использовать тысячи разных выходных узлов Tor для выполнения своих операций), блокировать активность (блокирование отдельных IP-адресов неэффективно. когда злоумышленники могут легко противодействовать этому ходу), избегайте удаления и других законных механизмов, направленных на нарушение злонамеренной деятельности, а также создавайте препятствия для установления авторства.
Австралийский центр кибербезопасности (ACSC) рекомендует организациям блокировать трафик от выходных узлов Tor к своим доступным в Интернет службам, при условии, что это не окажет существенного влияния на доступность для значительного числа законных пользователей.
Использование сети Tor злоумышленниками может быть согласовано со структурами MITRE PRE-ATT & CK https://attack.mitre.org/resources/pre-introduction/ и ATT & CK for Enterprise https://attack.mitre.org/resources/enterprise-introduction/. Например:
Хотя ACSC рекомендует блокировать трафик из сети Tor, можно принять политическое решение, чтобы разрешить трафику из сети Tor получить доступ к определенным доступным в Интернет сервисам, если предполагается, что использование сети Tor является особым бизнес-требованием. Предлагается, чтобы в этих случаях системы, разрешающие трафик из сети Tor, регистрировались и контролировались.
Для законных пользователей, на которых может повлиять стратегия блокировки, возможно, стоит сообщить им, что, если их намерение состоит в том, чтобы избежать идентификации и внимания, то:
Узлы Tor, участвующие в сети Tor, в любое время постоянно меняются. Следовательно, задача блокировки трафика из сети Tor сводится к трем ключевым требованиям:
Служба поиска DNS предоставляет преимущество в том, что она самообновляется, так что, если PEP настроен для запроса списка, он всегда будет получать самую свежую информацию о том, является ли IP-адрес выходным узлом Tor в данном случае. время. Этот подход может быть полезен для реализации уровня 7 в таких системах, как веб-серверы и почтовые серверы, но с меньшей вероятностью будет полезен в сетевых устройствах с высокой пропускной способностью, таких как межсетевые экраны и маршрутизаторы. Организации должны знать, что добавленная в сеть задержка времени запроса DNS может также повлиять на время ответа для интерактивных служб, таких как веб-сайты.
Чтобы получить доступ к службе DNS, которая может определить, исходит ли соединение от выходного узла Tor, используйте инструкции, расположенные на веб-сайте Tor Project https://2019.www.torproject.org/projects/tordnsel.html.en.
Другие источники и службы аналитики угроз, которые используют организации, также могут содержать дополнительную информацию об идентификации выходных узлов Tor.
Введение
Сеть Tor - это система, которая облегчает анонимное общение, скрывая IP-адрес пользователя с помощью шифрования и серии самоописанных анонимных и частных подключений. Сеть Tor получила свое название от исходного программного проекта, на котором она основана, «Луковый маршрутизатор» и поддерживается Tor Project https://www.torproject.org/. Сеть Tor может иметь законное использование, однако на практике трафик из сети Tor в подавляющем большинстве случаев вредоносен https://blog.cloudflare.com/the-trouble-with-tor/.Блокирование трафика из сети Tor не позволит злоумышленникам использовать сеть Tor для легкого проведения анонимной разведки и эксплуатации систем и обычно оказывает минимальное влияние на законных пользователей, если оно вообще есть. Эта публикация предоставляет руководство по предотвращению и обнаружению трафика из сети Tor.
История сети Tor
Основные принципы луковой маршрутизации были разработаны ВМС США в середине 1990-х годов с целью защиты сообщений разведки США. Однако проект Tor теперь является некоммерческой инициативой, и доступ к программному обеспечению и услугам Tor не требует затрат.Сеть Tor работает с использованием программного обеспечения с открытым исходным кодом, которое использует технику луковой маршрутизации для анонимной связи по компьютерным сетям. Луковая маршрутизация включает использование нескольких уровней шифрования сообщения. Каждый уровень расшифровывается луковичным маршрутизатором, который раскрывает следующий пункт назначения сообщения. Каждый луковый маршрутизатор на пути может знать только предыдущий луковый маршрутизатор и следующий луковый маршрутизатор. Используя этот процесс, один луковичный маршрутизатор не может видеть и исходный адрес источника, и адрес назначения.
Сеть Tor состоит из тысяч луковых маршрутизаторов (известных как узлы Tor), которые используются для сокрытия местоположения пользователя от места назначения, обычно веб-сайта или веб-сервера. Анонимность, которую обеспечивает это сокрытие, может помочь пользователям оставаться скрытыми от трекеров и фильтров цензуры, хотя следует отметить, что некоторые технологии отслеживания, такие как файлы cookie веб-сайтов, продолжают оставаться эффективными.
Узлы выхода Tor, реле и мосты
Узлы Tor делятся на четыре категории:- Выходные узлы Tor: выходной узел Tor - это последний узел Tor, через который проходит трафик в сети Tor перед выходом в Интернет.
- Узлы защиты Tor: узел защиты Tor - это точка входа в сеть Tor.
- Средние узлы Tor: средний узел Tor - это узел Tor, который находится в середине сети Tor между узлом защиты Tor и узлом выхода Tor. Сообщение может взаимодействовать с несколькими средними узлами Tor, прежде чем достигнет выходного узла Tor.
- Узлы моста Tor: Узел моста Tor - это особый тип узла защиты Tor, который не указан в общедоступном каталоге узлов Tor.
Вовлечение сети Tor в кибератаки
При проведении злонамеренных действий злоумышленники часто заботятся о планировании инфраструктуры, которая будет использоваться для проведения их кампаний. Тщательно выбирая инфраструктуру для проведения разведки и атак, злоумышленники снижают риск обнаружения и установления авторства. Сеть Tor предоставляет злоумышленникам эти возможности бесплатно и с минимальной настройкой. Кроме того, действия других пользователей помогают скрыть действия злоумышленников.Сеть Tor предоставляет злоумышленникам множество источников, из которых они могут выполнять вредоносные действия против своих целей. Обеспечивая использование разных выходных узлов Tor, злоумышленники могут затруднить для защитников сопоставление действий (поскольку противник может использовать тысячи разных выходных узлов Tor для выполнения своих операций), блокировать активность (блокирование отдельных IP-адресов неэффективно. когда злоумышленники могут легко противодействовать этому ходу), избегайте удаления и других законных механизмов, направленных на нарушение злонамеренной деятельности, а также создавайте препятствия для установления авторства.
Австралийский центр кибербезопасности (ACSC) рекомендует организациям блокировать трафик от выходных узлов Tor к своим доступным в Интернет службам, при условии, что это не окажет существенного влияния на доступность для значительного числа законных пользователей.
Использование сети Tor злоумышленниками может быть согласовано со структурами MITRE PRE-ATT & CK https://attack.mitre.org/resources/pre-introduction/ и ATT & CK for Enterprise https://attack.mitre.org/resources/enterprise-introduction/. Например:
- ПРЕДВАРИТЕЛЬНАЯ ИНФОРМАЦИЯ и СК:
- TA0014 - Выбор цели: сеть Tor может использоваться злоумышленниками для выбора целей для дальнейших действий. Это включает использование сети Tor для сканирования большого количества потенциальных целей, чтобы предотвратить приписывание к определенному противнику.
- TA0015 - Сбор технической информации: злоумышленник, который управляет выходным узлом Tor, может наблюдать плохо зашифрованный трафик к общедоступным серверам и приложениям для личных данных и другой организационной информации.
- TA0018 - Определение технических слабых мест: сеть Tor может использоваться для проведения активного сканирования среды, в которой использование атрибутивного источника может позволить защитнику блокировать сетевой трафик.
- ATT & CK для предприятий:
- TA0001 - Начальный доступ: сеть Tor можно использовать для получения первоначальной точки опоры в сети. Обычно это достигается за счет использования сети Tor для отправки вредоносного трафика для использования доступных в Интернете сервисов.
- TA0011 - Command and Control: сеть Tor может использоваться для исходящей связи с серверами управления и контроля.
- TA0010 - Exfiltration: Сеть Tor может использоваться для эксфильтрации информации из среды.
- TA0040 - Воздействие. Сеть Tor можно использовать для распределенных атак типа «отказ в обслуживании».
Стратегии управления рисками
ACSC рекомендует блокировать трафик из сети Tor, однако это может оказаться нецелесообразным при любых обстоятельствах. В некоторых случаях организации могут принять решение разрешить трафику из сети Tor получить доступ к определенным интернет-сервисам. В порядке убывания предпочтения ACSC рекомендует:- блокировка трафика из сети Tor
- мониторинг трафика из сети Tor
- регистрация трафика из сети Tor.
Блокировка трафика из сети Tor
Блокировка - это рекомендованная ACSC стратегия, позволяющая избежать разведки и эксплуатации со стороны злоумышленников, использующих сеть Tor. По оценке ACSC, это имеет самые низкие текущие затраты (не считая бездействия) и наибольшее влияние на действия противника.Хотя ACSC рекомендует блокировать трафик из сети Tor, можно принять политическое решение, чтобы разрешить трафику из сети Tor получить доступ к определенным доступным в Интернет сервисам, если предполагается, что использование сети Tor является особым бизнес-требованием. Предлагается, чтобы в этих случаях системы, разрешающие трафик из сети Tor, регистрировались и контролировались.
Мониторинг трафика из сети Tor
Трафик от выходных узлов Tor к австралийской инфраструктуре непропорционально вредоносен по сравнению с другим интернет-трафиком. Если организация имеет возможности и не может блокировать трафик из сети Tor из соображений политики или доступности, то дополнительная проверка трафика может быть эффективным использованием ресурсов безопасности.Регистрация трафика из сети Tor
Как отмечалось выше, трафик от выходных узлов Tor к австралийской инфраструктуре является непропорционально вредоносным. Хотя изолированное ведение журнала не создает барьеров безопасности, оно может помочь организациям отреагировать на взлом. Чтобы обогатить ведение журнала, учитывая, что трафик из сети Tor имеет временной аспект, это следует делать, когда или вскоре после этого обнаруживается трафик из сети Tor, обращающийся к доступным в Интернет службам.Выявление любого законного использования
Организации могут захотеть установить степень законного использования сети Tor, прежде чем блокировать ее. Если легитимный доступ к доступным в Интернет сервисам из сети Tor низкий, организации могут перейти к стратегии блокировки с минимальным воздействием. Однако, если законный доступ к доступным в Интернет сервисам из сети Tor является значительным, организациям может потребоваться принятие политического решения. В любом случае организации могут захотеть подготовить стратегию изменений и план коммуникаций для управления любыми затронутыми пользователями.Для законных пользователей, на которых может повлиять стратегия блокировки, возможно, стоит сообщить им, что, если их намерение состоит в том, чтобы избежать идентификации и внимания, то:
- использование ими сети Tor, вероятно, подвергнет их коммуникации более пристальному вниманию, а не
- если они используют аутентифицированный доступ, они уже идентифицированы.
- Внедрение тестов «запрос-ответ» для пользователей . Один из методов блокирования доступа автоматических сканирований к доступным в Интернет службам - это применение теста «запрос-ответ», такого как полностью автоматизированный общедоступный тест Тьюринга, позволяющий отличить компьютеры и людей друг от друга (CAPTCHA).
- Используйте безопасные соединения Transport Layer Security (TLS) : без надежных и безопасных конфигураций TLS возможно, что к информации и данным пользователя может получить доступ скомпрометированный или злонамеренный выходной узел Tor. Обеспечение защищенного TLS сервисов, доступных в Интернете, ограничит информацию, которую злоумышленники могут получить из клиентского трафика организации. Хотя это не снижает риск злонамеренного трафика с выходных узлов Tor, но защищает пользовательскую информацию.
Планирование блокировки трафика из сети Tor
ACSC предлагает блокировать сети анонимности, такие как сеть Tor, в рамках стратегии фильтрации веб-контента в публикации « Стратегии смягчения инцидентов кибербезопасности - сведения о смягчении последствий» .Узлы Tor, участвующие в сети Tor, в любое время постоянно меняются. Следовательно, задача блокировки трафика из сети Tor сводится к трем ключевым требованиям:
- надежное средство идентификации узлов выхода Tor
- Точки применения политик (PEP), где трафик можно фильтровать по IP-адресам.
- возможность автоматизировать настройку PEP с использованием информации от идентифицированных узлов выхода Tor.
Определение выходных узлов Tor
Проект Tor предоставляет списки текущих выходных узлов Tor в виде файла, который можно загрузить с их веб-сайта, и в качестве службы поиска в системе доменных имен (DNS). Обратите внимание, что загружаемый файл содержит список всех известных выходных узлов Tor на определенный момент времени и может предоставить подходящий источник, если план организации заключается в реализации списка фильтрации IP-адресов в сетевом устройстве уровня 3 или 4, таком как маршрутизатор. или межсетевой экран.Служба поиска DNS предоставляет преимущество в том, что она самообновляется, так что, если PEP настроен для запроса списка, он всегда будет получать самую свежую информацию о том, является ли IP-адрес выходным узлом Tor в данном случае. время. Этот подход может быть полезен для реализации уровня 7 в таких системах, как веб-серверы и почтовые серверы, но с меньшей вероятностью будет полезен в сетевых устройствах с высокой пропускной способностью, таких как межсетевые экраны и маршрутизаторы. Организации должны знать, что добавленная в сеть задержка времени запроса DNS может также повлиять на время ответа для интерактивных служб, таких как веб-сайты.
Чтобы получить доступ к службе DNS, которая может определить, исходит ли соединение от выходного узла Tor, используйте инструкции, расположенные на веб-сайте Tor Project https://2019.www.torproject.org/projects/tordnsel.html.en.
Другие источники и службы аналитики угроз, которые используют организации, также могут содержать дополнительную информацию об идентификации выходных узлов Tor.
Блокировка трафика из сети Tor
Как отмечалось выше, организациям необходимо будет определить наиболее подходящий PEP в своей среде для блокировки трафика из сети Tor. Ниже приводится неисчерпывающий список возможных подходов с указанием преимуществ и недостатков. Каждый подход более подробно обсуждается ниже:- Блокирование трафика из сети Tor с помощью межсетевых экранов и маршрутизаторов.
- Преимущество: в зависимости от топологии сети может потребоваться настройка и обслуживание меньшего количества устройств.
- Недостаток: эти устройства с высокой пропускной способностью обычно должны работать с IP-адресами и не смогут реализовать метод поиска на основе DNS. Для регулярного обновления черных списков потребуется автоматизация.
- Блокировка трафика из сети Tor с помощью брандмауэров веб-приложений и прокси.
- Преимущество: потенциально можно использовать методы поиска на основе DNS, снимая бремя автоматизации обновлений.
- Недостаток: вероятно, потребуется внедрить более широкий набор доступных в Интернете сервисов, что создаст различные проблемы управления, такие как обеспечение включения фильтрации при вводе в эксплуатацию новых сервисов.
Блокирование трафика из сети Tor с помощью межсетевых экранов и маршрутизаторов
Блокирование трафика из сети Tor уместно в большинстве сценариев. Блокирование трафика из сети Tor обычно может быть достигнуто путем реализации правильного контроля на границах сети. Примером этого является черный список в брандмауэрах и маршрутизаторах.
Брандмауэры, а также некоторые устройства безопасности и доступные в Интернете службы можно настроить на блокировку подключений из списков IP-адресов. Эти списки обычно вводятся статически и должны быть настроены или запрограммированы для регулярного обновления.
Блокировка трафика из сети Tor с помощью брандмауэров веб-приложений и прокси-серверов
Если среда не имеет доступа к настраиваемому шлюзу или брандмауэру, большинство брандмауэров и прокси-серверов веб-приложений можно настроить на блокировку трафика из сети Tor.
Этот подход также подходит для организаций, которые решили, что только определенные интернет-сервисы должны быть доступны из сети Tor. Это может произойти, если установлено, что существует законное бизнес-требование, разрешающее трафику из сети Tor получать доступ к определенным доступным в Интернете службам.
Планирование мониторинга или регистрации трафика из сети Tor
Некоторым организациям может потребоваться определить, используется ли сеть Tor для доступа к их среде. Это может быть сделано для определения того, подходит ли стратегия блокировки, или для обеспечения большей осведомленности персонала службы безопасности о трафике, связанном с сетью Tor. Трафик с выходных узлов Tor можно обнаружить с помощью тех же списков блокировки, которые упоминались ранее.
Обнаружение трафика из сети Tor с помощью межсетевых экранов и шлюзов
Трафик из сети Tor можно обнаружить, настроив брандмауэр или шлюз для аудита и регистрации соединений от выходных узлов Tor. Этого можно добиться, используя актуальный список выходных узлов Tor в списке блокировки, который был настроен в режиме аудита, а не в режиме принудительного применения. При этом важно обеспечить хранение журналов в централизованном хранилище журналов, защиту от несанкционированного доступа и возможность их просмотра квалифицированным аналитиком.
Обнаружение трафика из сети Tor в журналах веб-приложений
Узлы выхода Tor могут быть обнаружены в журнале подключений веб-приложения к серверу, если они включают общедоступный исходный IP-адрес инициатора транзакции.
Поскольку выходные узлы Tor могут быть временными, возможно, что трафик из сети Tor, указанный в журнале, мог исходить от выходного узла Tor, который был удален до создания списка, используемого для сравнения. Этого можно избежать, убедившись, что журналы опрашиваются или обогащаются как можно ближе к созданию.
Для случаев использования, когда необходимо проанализировать исторические журналы, существует база данных, созданная проектом Tor, чтобы определить, работал ли узел Tor на заданном IP-адресе в заданную дату.
