Владелец одного из ботнетов в недавнем интервью на сайте Reddit говорил, что его боты работают как релеи Tor, помогая другим пользователям, и трафик с командного сервера тоже идёт через сеть анонимайзеров.
Возможно, это именно его ботнет только что обнаружила компания G Data SecurityLabs.
Специалисты G Data SecurityLabs сообщили, что обнаруженный ботнет использует классическую P2P-схему, в которой каждый бот имеет возможность установить прямое соединение с другим ботом. Эти коммуникации тоже осуществляются внутри сети Tor, то есть боты работают как релеи — в точном соответствии с описанием анонимного студента на Reddit.
Владельцам C&C-сервера достаточно отправить команду одному боту в сети — и тот передаст её остальным. Собственно, подобная P2P-схема работы ботнетов используется уже давно, что даёт возможность властям перехватить управление ботнетом.
Использование Tor — следующий шаг в эволюции ботнетов. В данном случае, говорят исследователи G Data SecurityLabs, владельцы спрятали за анонимайзером IRC-сервер, с которого идут команды. Таким образом, они решают сразу несколько проблем: прячут сервер, усложняют перехват управления ботнетом, усложняют блокировку трафика, упрощают задачу по разработке протокола: то есть им вообще не нужно разрабатывать новый зишифрованный протокол, достаточно обычного IRC, который идёт через Tor.
