網絡安全與基礎設施安全局(CISA)今天發布了有關如何保護網絡免受來自Tor匿名網絡發起或通過其發起的活動發起的網絡攻擊的指南。
Tor是一種軟體,可通過Tor節點(中繼層)網絡自動加密和重新路由用戶的Web請求,從而實現Internet匿名性。
威脅參與者還使用Tor的基礎設施來隱藏其身份和位置,從而在進行惡意網絡活動時通過在Tor出口節點的保護下隱藏其真實IP位址。
該諮詢是與聯邦調查局(FBI)合作編寫的,它共享有關威脅行為者如何在惡意活動期間如何使用Tor的軟體和網絡基礎設施進行匿名的技術細節。
AA20-183A警報說:「CISA和FBI建議組織評估自己通過Tor遭受危害的風險,並採取適當的緩解措施,以阻止或密切監視來自已知Tor節點的入站和出站流量。」
檢測源自Tor網絡的惡意活動
CISA建議組織「通過評估威脅因素將其系統或數據作為目標的可能性以及在當前緩解措施和控制下威脅因素成功的可能性,來確定其個人風險」。
「該評估應考慮非惡意用戶可能更喜歡或需要使用Tor來訪問網絡的正當理由。」
為了檢測針對其資產的惡意活動,組織可以使用基於指標的方法來查找網流,數據包捕獲(PCAP)和Web伺服器日誌中可能存在惡意偵察,利用,C2或數據滲漏行為。
網絡防禦者還可以採用基於行為的方法,該方法需要搜索Tor客戶端軟體和協議的操作模式,例如增加與Tor(9001、9030、9040、9050、9051和9150)通常關聯的TCP和UDP埠的使用率,後綴為.onion或torproject.org的域的DNS查詢發生率更高。
Web應用程式和路由器防火牆以及主機/網絡入侵檢測系統是可以為發現通過Tor網絡路由的惡意活動的關鍵指標提供某種程度的檢測能力的解決方案。
CISA建議:「組織應在其現有端點和網絡安全解決方案中研究並啟用預先存在的Tor檢測和緩解功能,因為它們經常採用有效的檢測邏輯。」
緩解措施
CISA建議組織在利用Tor網絡進行隱瞞的活動中有遭受惡意行為者攻擊的組織的隱患,以採取一系列緩解措施作為防禦措施。
不幸的是,緩解措施可能還會對合法用戶的訪問產生影響,這些用戶可能希望訪問組織的面向Internet的資產,同時其隱私受到Tor的保護。
CISA建議在減輕與Tor相關的惡意活動時採取三種不同的方法,具體取決於它們可能對合法的Tor用戶造成的影響:
•限制性最強的方法:阻止所有往返公共Tor入口和出口節點的Web流量
(由於並沒有公開列出其他Tor網絡訪問點或網橋,因此不能完全消除
使用Tor匿名的惡意行為者的威脅。)
•限制較少的方法:量身定製的監視,分析和阻止往返於公共Tor入口和
出口節點的Web流量:不想阻止往返於Tor入口/出口節點的合法流量的
組織應考慮採用允許網絡的做法監視和分析來自那些節點的流量,然後
考慮進行適當的阻止。這種方法可能會占用大量資源,但可以提供更大
的靈活性和防禦能力。合法用法示例:已部署的軍隊或其他海外選民。
•混合方法:阻止所有資源訪問某些資源的Tor,禁止其他資源監視(
例如,僅允許可能合法使用的特定網站和服務進出Tor的流量,並阻止
進出其他所有Tor的流量)流程/服務)。這可能需要進行連續重新評估
,因為實體會考慮其自身與不同應用程式相關的風險承受能力。實施此
方法的工作水平很高。
雖然阻止進出已知Tor入口節點的入站和出站流量應防止較複雜的參與者,但經驗豐富的威脅參與者可以通過使用其他匿名化策略和技術(例如虛擬專用網(VPN))或Tor的功能(例如Tor橋和可插拔)來規避此類緩解措施運輸。
CISA總結說:「最終,每個實體在確定與Tor相關的風險緩解方法時必須考慮自己的內部閾值和風險承受能力。」