Annonce du 14. septembre 2012

Un serveur de commande dans le réseau anonyme Tor

Les experts du G Data SecurityLabs ont récemment identifié un échantillon de code malveillant qui utilise un niveau avancé de camouflage pour son serveur de commande et contrôle (Serveur C&C). Le propriétaire du Botnet a placé son serveur C&C, qui utilise le protocole commun IRC, dans le réseau internet anonyme Tor.

Un des plus gros challenges des concepteurs de botnets est la protection du trafic et du serveur C&C. Ce serveur est utilisé pour donner des ordres aux PC zombies (les PC infectés). Jusqu’à maintenant, deux solutions étaient utilisées pour le trafic C&C : la liaison classique Internet ou le réseau Peer-to-Peer.

Pourquoi cacher un serveur C&C dans Tor ?

Tor est un réseau Internet dit en Onion, qui offre une anonymité à ses utilisateurs. En intégrant le serveur C&C dans ce réseau, il devient impossible de retrouver l'identité de ce serveur (adresse IP). Ainsi, alors que les autorité pouvaient remonter jusqu'au serveur de C&C le bloquer ou en prendre le contrôle, avec l'utilisation du réseau Tor, la démarche devient plus compliquée.

Ill.1 : Fonctionnement du trafic C&C en mode web classique

 

Ill. 2 : Fonctionnement du trafic C&C avec le réseau Tor

Pour en savoir plus sur cette information, consultez le SecurityBlog G Data

 

 

Annonce du 14. septembre 2012

Contact Presse

G DATA Software France SARL

Jérôme Granger

Public Relations Manager France

2A, rue Danton

92120 Montrouge

Tél: +33 (0)1 41 48 51 46

Mail: Jerome.granger@remove-this.gdata.fr