Onderzoekers hebben weer een botnet ontdekt dat via anonimiseringssoftware Tor wordt bestuurd. De besmette machines worden gebruikt voor het berekenen van Bitcoins en het uitvoeren van DDoS-aanvallen tegen websites. Daarnaast worden ook online bankrekeningen bestolen. De botnetbeheerder noemt zijn malware Skynet en haalde in mei al het nieuws toen hij met Reddit-lezers in discussie ging.

De malware verspreidt zich via nieuwsgroepen. "Mensen downloaden software van Usenet en installeren het vaak op kantoor en bij vrienden", aldus botnetbeheerder 'throwaway236236'. Voor het aansturen van de besmette machines wordt anonimiseringssoftware Tor gebruikt. Tor laat het verkeer via verschillende 'tor-nodes' lopen. Daardoor is bijna onmogelijk om de fysieke locatie of de echte identiteit van de gebruiker te achterhalen.

"Tor is behoorlijk veilig, zolang je geen exit-nodes gebruikt, wat ik nooit doe, omdat alles zich in verborgen services bevindt. Een Hidden Service garandeert dat het verkeer alleen op de server leesbaar is", aldus de botnetbeheerder.

Tor hidden services zijn meestal webservers, maar zijn ook voor Internet Relay Chat (IRC), Secure Shell (SSH) en andere servers te gebruiken. De services zijn alleen toegankelijk van binnen het Tor-netwerk door een willekeurig lijkende hostnaam die op .onion eindigt. Het gebruik hiervan door botnets werd vorig jaar al gedemonstreerd.

Verborgen
Alle Skynet Command & Control-servers, waarmee het besmette computers aanstuurt, draaien als Hidden Service. Tevens zijn alle besmette computers zo ingesteld dat ze onderdeel van het Tor-netwerk zijn. Volgens Claudio Guarnieri beveiligingsonderzoeker bij Rapid7 en ontwikkelaar van het Cuckoo Sandbox malware-analysesysteem, heeft dit verschillende voordelen.

Zo is het botnetverkeer versleuteld, wat monitoring bemoeilijkt. Door het gebruik van Hidden Services zijn de locatie en aard van de Command & Control-server verborgen en daardoor niet gevoelig voor opsporingsdiensten die de servers uit de lucht willen halen.

Daarnaast bieden Hidden Services een Tor-specifiek .onion pseudo top-level domein, wat onderzoekers niet kunnen sinkholen. Hierbij zetten onderzoekers een domein op waarmee het botnet verbinding maakt, wat allerlei informatie over het botnet oplevert. Dit is echter niet mogelijk met .onion domeinen.

Nederland
Volgens Guarnieri zou het botnet uit zo'n 12.000 tot 15.000 besmette computers bestaan, waarvan de meesten zich in Nederland en Duitsland bevinden. De onderzoeker stelt dat het botnet bijzonder is door het gebruik van Tor als communicatiekanaal en het gebruik van Hidden Services voor het beschermen van de 'backend' infrastructuur.

"Het is verrassend dat niet meer botnets hetzelfde ontwerp gebruiken, maar waarschijnlijk zullen er meer in de toekomst dit voorbeeld volgen", zo concludeert Guarnieri.