איך לזהות תקשורת תור (TOR) היוצאת מהארגון

Google+ Pinterest LinkedIn Tumblr +

דפדפן תור (TOR – The Onion Router) הוא שירות הגלישה האנונימית הנפוץ ביותר ונקודת גישה למה שמכונה "הרשת האפלה". בנוסף למאפייני האנונימיות שלו, תור נמצא בשימוש נרחב גם עבור פעילות עבריינית וזדונית, כגון מסחר בשוק השחור, חומרי פדופיליה והפעלה של בוטנט (Botnet).

שיטת הזיהוי הברורה ביותר לאיתור פעילות תור היא באמצעות זיהוי נקודת היציאה של TOR על פי כתובת ה- IP שלה. ישנן רשימות זמינות עבור כל נקודות היציאה (כ- 7500 כתובות IP בקירוב בזמן כתיבת הדברים), אבל רשימות אלה מחייבות תחזוקה, אחזור ועדכון באופן שוטף, מאחר ונקודות היציאה מתווספות ומוסרות בתדירות גבוהה. מעבר לכך, כתובות IP אלו יכולות לשמש פעילות שירותים ומטרות לגיטימיים כגון אירוח אתרים, לכן חסימה כוללת שלהן אינה בגדר האפשרי. חייבים לדעת להבדיל בין תעבורת תור לבין סוגים אחרים של תעבורה באותה כתובת IP.

האם יש דרך לזהות תקשורת תור ללא הסתמכות על מודיעין חיצוני (בעיקר כזה המבוסס על מוניטין – reputation)?
במבט ראשון, תקשורת תור נראית כמו חיבור TLS רגיל. אך יש לה מספר מאפיינים ייחודיים. נראה כיצד היא מופיעה וכיצד נזהה אותה.

כך נראית הגדרה של תקשורת תור. אנו מדגישים את האזורים המעניינים, שהם ה- TLS client והודעות ה- hello של השרת. ראו את הרחבת שם שרת ה- TLS ואת החזרת התעודה של השרת:

DETECTING-TOR-COMMUNICATION-1לחץ על התמונה להגדלה

DETECTING-TOR-COMMUNICATION-2
לחץ על התמונה להגדלה

שמתם לב למשהו מוזר בתהליך לחיצת היד (handshake)? גם אנחנו. בואו נבחן מספר ממצאים בתעבורה שיסייעו לנו לזהות את TOR מבין שאר התעבורה. שילוב של כל הממצאים או לפחות רובם, יספק לנו זיהוי וודאי.

כפי שנכתב לעיל, נקודות היציאה של תור (TOR Exit nodes) הן ציבוריות. הן חייבות להיות כאלה על מנת שמשתמשים יתחברו אליהם (Exit nodes == Entry nodes). לכן כל חיבור לכתובת IP ידועה שכזאת יסומן:

DETECTING-TOR-COMMUNICATION-3
לחץ על התמונה להגדלה

בדרך כלל, תור משתמש ב- TLS על גבי TCP כפרוטוקול התקשורת שלו. שער הגישה המוכר של TLS הוא 443. תור משתמש בדרך כלל בפורטים 9001 ו- 9030 עבור תעבורת הרשת ועבור נתוני directory. בדוגמא זו ראינו אותו עושה שימוש בפורט 9001 אבל הוא יעשה שימוש בכל פורט פתוח אם ברירת המחדל חסומה ו/או מוגדרת באופן ידני.

DETECTING-TOR-COMMUNICATION-4
לחץ על התמונה להגדלה

לתור יש מפתח ציבורי ייחודי לאימות הזהות של ה- nodes. התוצאה היא תעודות SSL שנראות מוזר. חלק מהשדה ממולא בשמות דומיין הנראים רנדומליים, שלמעשה אינם קיימים. כחלק מתהליך אימות התעודה, אנו בודקים אם התעודה המוחזרת על ידי השרת היא עבור דומיין תקין ורשום. אם לא, היא מעוררת את החשד שלנו:

DETECTING-TOR-COMMUNICATION-5
לחץ על התמונה להגדלה

בנוסף, ה- TOR client משתמש בשמות דומיין שאינם קיימים בשם שרת ה- TLSהמורחב. כמובן שגם דומיין זה אינו קיים, ושימו לב גם לדבר הבא:

DETECTING-TOR-COMMUNICATION-6
לחץ על התמונה להגדלה

לבסוף, עבור חיבור TLS נורמלי, כאשר נקודת הקצה מבקשת שם דומיין בשם השרת המורחב, היא אמורה לקבל חזרה מהשרת תעודה החתומה עבור הדומיין המבוקש. זה אינו המקרה ב- TOR. כפי שניתן לראות להלן, ההרחבה והדומיין החתום בתעודה החוזרת הם שונים. זו הפרה של פרוטוקול TLS שתור מתעלם ממנה:

DETECTING-TOR-COMMUNICATION-7
לחץ על התמונה להגדלה

כעת אנו יכולים לשלב את כל הממצאים יחדיו כדי לקבל זיהוי וודאי יותר. להלן דוגמא שכזו ממערכת TopSpin:

DETECTING-TOR-COMMUNICATION-8
לחץ על התמונה להגדלה

פוסט זה פורסם בבלוג של TopSpin Security בעלת הפתרון DECOYnet- מערכת משוכללת שפותחה במיוחד לגילוי פולשים למערכות המחשבים של הארגון שהצליחו לחדור את מערכות ההגנה הרגילות (אנטי וירוסים, FIRE WALLS וכדומה).

שתף.

.