US-Regierung enthüllt Tricks zur Verteidigung von Cyberangriffen über Tor

Die in den USA ansässige Sicherheitsagentur Cybersecurity and Infrastructure Security Agency (CISA) hat kürzlich einige Tipps für Benutzer herausgegeben, wie sie sich vor Cyberkriminalitätsangriffen schützen können, die über das Tor-Anonymitätsnetzwerk gestartet wurden.

Apropos Tor: Es handelt sich tatsächlich um eine Software, die die Anonymität des Internets ermöglicht, indem die Webanforderungen eines Benutzers automatisch über ein Netzwerk von Tor-Knoten verschlüsselt und umgeleitet werden, das auch als Relay-Layer bezeichnet wird.

Mithilfe der netzwerkbasierten Infrastruktur von Tor verbergen viele Köpfe der Cyberkriminalität ihre Identität und sogar ihren Standort, indem sie ihre reale IP unter dem Schutz des Ausgangsknotens von Tor schützen, während sie an einigen Aktivitäten der Cyberkriminalität beteiligt sind.

Daher wird das neue Advisory öffentlich veröffentlicht und in Zusammenarbeit mit dem FBI über Tor verfasst, damit Benutzer geeignete Maßnahmen ergreifen können, um eingehende oder ausgehende Verbindungen von bekannten Tor-Knoten zu überwachen oder sie einfach zu blockieren.

Wie kann man bösartige Aktivitäten erkennen, die vom Tor-Netzwerk verursacht werden?

Auf der Grundlage der CISA-Empfehlung wird den Organisationen vorgeschlagen, ihre individuellen Risiken zu bestimmen, indem sie die Wahrscheinlichkeit bewerten, mit der ein Akteur der Internetkriminalität auf sein System oder seine Daten abzielt, und die Chance auf den Erfolg des Hackers eine weitere Minderung und Kontrolle bieten. Hier ist die beratende Erklärung, die die obigen Aussagen löscht:

“Bei dieser Bewertung sollten legitime Gründe berücksichtigt werden, aus denen nicht böswillige Benutzer Tor für den Zugriff auf das Netzwerk bevorzugen oder verwenden müssen.”

Um böswillige Aktivitäten zu identifizieren, die auf Assets abzielen, können die Organisationen eine indikatorbasierte Methode verwenden, indem sie in Netflow-, Paketerfassungs- und Webserver-Protokollen nach Hinweisen auf ungewöhnlichen Datenverkehr über Tor-Exit-Knoten suchen, die möglicherweise auf böswillige Ausnutzung oder Datenexfiltration hinweisen wie Verhaltensweisen.

Die Benutzer, die in verteidigenden Netzwerken registriert sind, können auch eine verhaltensbasierte Methode oder einen verhaltensbasierten Ansatz verwenden, bei dem nach bestimmten Betriebsmustern der Tor-Client-Software und -Protokollen gesucht werden muss, z. B. nach einer verstärkten Nutzung der mit Tor verbundenen TCP- oder UDP-Ports. Es kann auch nach der höheren Häufigkeit von DNS-Abfragen für Webdomains gesucht werden, die mit .onion oder torproject.org usw. enden.

Webbasierte Anwendungen, routerbasierte Firewalls und Host-Erkennungssysteme sind tatsächlich die Lösungen, die möglicherweise bereits einige Erkennungsmaßnahmen bieten, um verschiedene Schlüsselindikatoren für böswillige Handlungen zu ermitteln, die durch das Umleiten über das Tor-Netzwerk verursacht werden.

Informationen zu den in der Beratung angebotenen Minderungsmaßnahmen

Gemäß dem Gutachten wird den Organisationen, bei denen das Risiko eines Angriffs besteht, empfohlen, eine Reihe von Maßnahmen zur Abwehr von Maßnahmen zu ergreifen. Diese Maßnahmen können sich jedoch auch auf den Zugriff legitimer Benutzer auswirken, die die Organisation und ihre mit dem Internet verbundenen Ressourcen besuchen möchten. Ihre Privatsphäre wird jedoch von Tor geschützt.

Gemäß den Empfehlungen von CISA kann es hilfreich sein, die unten genannten drei Ansätze zur Minderung von Tor-assoziierten böswilligen Aktivitäten zu verwenden. Die Auswirkungen dieser Ansätze auf legitime Tor-Benutzer können jedoch auch je nach Ansatz variieren. Hier werden die Ansätze diskutiert:

  • Restriktivste Ansätze: Bei dieser Technik wird der gesamte Webverkehr von und zu öffentlichen Tor-Ein- und Ausgangsknoten blockiert.
  • Weniger restriktive Ansätze: Bei dieser Methode wird ein maßgeschneidertes Überwachungssystem implementiert, um den Webverkehr von und zu Tor-Eingangs- / Ausgangsknoten zu analysieren und zu blockieren. Dies ist tatsächlich nützlich für Organisationen, die legitime Tor-Benutzer nicht blockieren möchten.
  • Gemischter Ansatz: Dies ermöglicht es, den gesamten Tor-Verkehr für einige Ressourcen zu blockieren, andere zuzulassen und zu überwachen. Mit dieser Maßnahme müssten die Organisationen daher kontinuierlich neu bewertet werden, da ein Unternehmen seine eigene Risikotoleranz im Zusammenhang mit verschiedenen Anwendungen berücksichtigt. Der Aufwand für die Umsetzung dieses Ansatzes ist daher sehr hoch.