如何防御Tor匿名网络攻击 美国CISA与FBI分享防御匿名攻击技巧

频道:DDOS防御 日期: 浏览:363

网络安全与基础设施安全局(CISA)今天发布了有关如何保护网络免受来自Tor匿名网络发起或通过其发起的活动发起的网络攻击的指南。

Tor是一种软件,可通过Tor节点(中继层)网络自动加密和重新路由用户的Web请求,从而实现Internet匿名性。

威胁参与者还使用Tor的基础设施来隐藏其身份和位置,从而在进行恶意网络活动时通过在Tor出口节点的保护下隐藏其真实IP地址。

该咨询是与联邦调查局(FBI)合作编写的,它共享有关威胁行为者如何在恶意活动期间如何使用Tor的软件和网络基础设施进行匿名的技术细节。

AA20-183A警报说:“CISA和FBI建议组织评估自己通过Tor遭受危害的风险,并采取适当的缓解措施,以阻止或密切监视来自已知Tor节点的入站和出站流量。”

Tor辅助的TTP映射到MITER ATT&CK框架(DHS CISA)

检测源自Tor网络的恶意活动

CISA建议组织“通过评估威胁因素将其系统或数据作为目标的可能性以及在当前缓解措施和控制下威胁因素成功的可能性,来确定其个人风险”。

“该评估应考虑非恶意用户可能更喜欢或需要使用Tor来访问网络的正当理由。”

为了检测针对其资产的恶意活动,组织可以使用基于指标的方法来查找网流,数据包捕获(PCAP)和Web服务器日志中可能存在恶意侦察,利用,C2或数据渗漏行为。

网络防御者还可以采用基于行为的方法,该方法需要搜索Tor客户端软件和协议的操作模式,例如增加与Tor(9001、9030、9040、9050、9051和9150)通常关联的TCP和UDP端口的使用率,后缀为.onion或torproject.org的域的DNS查询发生率更高。

Web应用程序和路由器防火墙以及主机/网络入侵检测系统是可以为发现通过Tor网络路由的恶意活动的关键指标提供某种程度的检测能力的解决方案。

CISA建议:“组织应在其现有端点和网络安全解决方案中研究并启用预先存在的Tor检测和缓解功能,因为它们经常采用有效的检测逻辑。”

缓解措施

CISA建议组织在利用Tor网络进行隐瞒的活动中有遭受恶意行为者攻击的组织的隐患,以采取一系列缓解措施作为防御措施。

不幸的是,缓解措施可能还会对合法用户的访问产生影响,这些用户可能希望访问组织的面向Internet的资产,同时其隐私受到Tor的保护。

CISA建议在减轻与Tor相关的恶意活动时采取三种不同的方法,具体取决于它们可能对合法的Tor用户造成的影响:

•限制性最强的方法:阻止所有往返公共Tor入口和出口节点的Web流量(由于并没有公开列出其他Tor网络访问点或网桥,因此不能完全消除使用Tor匿名的恶意行为者的威胁。)•限制较少的方法:量身定制的监视,分析和阻止往返于公共Tor入口和出口节点的Web流量:不想阻止往返于Tor入口/出口节点的合法流量的组织应考虑采用允许网络的做法监视和分析来自那些节点的流量,然后考虑进行适当的阻止。这种方法可能会占用大量资源,但可以提供更大的灵活性和防御能力。合法用法示例:已部署的军队或其他海外选民。•混合方法:阻止所有资源访问某些资源的Tor,禁止其他资源监视(例如,仅允许可能合法使用的特定网站和服务进出Tor的流量,并阻止进出其他所有Tor的流量)流程/服务)。这可能需要进行连续重新评估,因为实体会考虑其自身与不同应用程序相关的风险承受能力。实施此方法的工作水平很高。

虽然阻止进出已知Tor入口节点的入站和出站流量应防止较复杂的参与者,但经验丰富的威胁参与者可以通过使用其他匿名化策略和技术(例如虚拟专用网(VPN))或Tor的功能(例如Tor桥和可插拔)来规避此类缓解措施运输。

CISA总结说:“最终,每个实体在确定与Tor相关的风险缓解方法时必须考虑自己的内部阈值和风险承受能力。”