Par Bhabesh Raj Rai, Associate Security Analytics Engineer, LogPoint

Le 1er juillet 2020, la Cybersecurity and Infrastructure Security Agency (CISA), avec la contribution du Federal Bureau of Investigation (FBI), a publié un avis mettant en évidence les risques associés à Tor, y compris des détails techniques et des recommandations d’attenuation. La CISA et le FBI recommandent aux entreprises d’évaluer leur risque de compromission via Tor et de prendre les mesures appropriées pour bloquer ou surveiller de près le trafic réseau vers et depuis les nœuds de sortie Tor.

Tor utilise le principe de routage en oignon (Onion Routing Protocol) pour masquer l’identité de l’utilisateur aux yeux de toute personne cherchant à surveiller l’activité en ligne. Tor utilise un réseau composé de milliers de serveurs gérés de manière volontaires et appelés relais Tor, qui masque la source et la destination d’une connexion réseau. Toute personne effectuant une surveillance ou une analyse ne verra que le trafic provenant du nœud de sortie Tor et ne pourra pas déterminer l’adresse IP d’origine de la requête. Tor dispose également d’un navigateur basé sur Firefox ESR qui vise à faire en sorte que tous les utilisateurs se ressemblent, rendant ainsi difficile pour quiconque d’obtenir un fingerprint basé sur les informations de son navigateur et de son appareil.

Bien que l’objectif principal de Tor soit de protéger la vie privée de ses utilisateurs, il est de plus en plus utilisé par des acteurs malveillants pour masquer le trafic réseau de leurs malwares. En 2013, Trend Micro a publié un article de blog concernant le malware Mevede qui utilisait Tor pour masquer ses serveurs C&C. Kaspersky a également noté que plusieurs familles de malwares bancaires, comme le cheval de Troie (Tojan) ZeuS 64 bits, utilisaient des connexions Tor. Il existe également des variantes de ransomware comme Onion qui utilisent Tor pour masquer leurs serveurs C&C. Pour simplifier l’accès des malwares à un site web hébergé par Tor, des services gratuits comme Tor2web permettent à quiconque de se connecter à un site onion avec n’importe quel navigateur classique. Le simple fait d’ajouter l’extension .to à presque n’importe quel lien onion le rend accessible à partir d’internet en clair. De cette façon, le malware n’a pas besoin de toute la complexité d’un client Tor à part entière.

FireEye a observé des attaquants russes de type État-nation, dénommés APT29, utilisant un domain fronting Tor pour obtenir un accès discret aux environnements des victimes du côté APT. Cette tendance croissante des malwares à utiliser Tor signifie que les administrateurs doivent réfléchir à la manière de détecter et, si nécessaire, de bloquer l’utilisation de Tor au sein de leur entreprise.

Tactiques et techniques malveillantes facilitées par Tor

Les adversaires utilisent Tor pour créer une couche d’anonymat afin de dissimuler les activités malveillantes à différentes étapes de la compromission du réseau. Leurs tactiques et techniques comprennent :

LogPoint prend en charge une large gamme d’analyses MITRE ATT & CK. Nous recommandons aux entreprises de se tenir au courant de nos règles d’alerte pour augmenter les capacités de détection des incidents.

LogPoint détecte l’utilisation de Tor

Du côté de la détection, les entreprises peuvent détecter l’utilisation de Tor en exploitant les divers logs du réseau, des endpoints et des appliances de sécurité. Selon la CISA, en utilisant une approche basée sur des indicateurs, les défenseurs du réseau peuvent tirer parti des solutions SIEM ainsi que d’autres plateformes d’analyse de logs pour signaler les activités suspectes impliquant les adresses IP des nœuds de sortie Tor connus. Avec une approche basée sur le comportement, les équipes « Blue Team » peuvent découvrir une activité Tor suspecte en recherchant les modèles et protocoles opérationnels du logiciel client Tor et des protocoles associés, par exemple, l’utilisation des ports communément attribués à Tor.

L’utilisation de Tor, qu’elle soit malveillante ou légitime, est facile à détecter à l’aide de LogPoint. Les pare-feux, les serveurs proxy et les logs des systèmes endpoint peuvent permettre d’identifier à partir de quel endpoint la connexion Tor a été établie.

Détection depuis les firewalls et des serveurs proxy

Au minimum, il est nécessaire de maintenir une liste nommée TOR_ENTRY_IPS, qui contient les adresses IP à jour des nœuds d’entrée Tor connus (également appelés ‘guard’). Une telle liste peut être récupérée périodiquement à partir de nombreux sites avec un filtrage supplémentaire pour sélectionner uniquement les nœuds de type ‘gard’. Une alternative consiste à créer une liste nommée TOR_IPS qui contient toutes les adresses IP du nœud Tor.  Filtrage sortant pour les connexions Tor

source_address IN HOMENET destination_address IN TOR_IPS

Filtrage sortant pour les ports Tor

source_address IN HOMENET destination_address IN TOR_IPS

Détection Tor2web

La requête suivante peut détecter toute utilisation du service Tor2web pour se connecter à des sites onion.

(resource="*.onion.*" OR url="*.onion.*")

Au niveau d’un endpoint Windows, les requêtes DNS peuvent être surveillées pour détecter toute utilisation de Tor2web.

norm_id=WindowsSysmon label=DNS label=Query query="*onion.*"

Détection depuis IDS/IPS

IDS/IPS, tels que Snort ou Suricata, sont également capables de détecter l’utilisation de Tor si les règles requises sont correctement activées.

(norm_id=Snort OR norm_id=SuricataIDS) (message="* Tor *" OR message="* TorRules *")

Détection depuis un ordinateur

L’utilisation du client Tor peut être détectée à partir des logs d’événements Windows ou de Sysmon.

norm_id=WindowsSysmon label="Process" label=Create image="*tor.exe"

L’utilisation du navigateur Tor peut être détectée à partir des mêmes événements.

norm_id=WindowsSysmon label="Process" label=Create image="*\Tor Browser\Browser\firefox.exe"

L’installation du navigateur Tor peut être détectée à partir des logs de registre.

norm_id=WindowsSysmon event_id=13 target_object="*\Root\InventoryApplicationFile\torbrowser*"

Les logs de connexion réseau de Sysmon peuvent détecter l’utilisation de Tor à partir d’un poste de travail.

norm_id=WindowsSysmon label=Network label=Connect destination_port IN [443, 8443] source_address IN HOMENET destination_address IN TOR_IPS

Les logs de la plateforme de filtrage Windows aident également à détecter le proxy http qui scrute les connexions Tor.

norm_id=WinServer event_id=5154 source_port=9050

L’AppLocker natif de Windows peut être utilisé pour bloquer l’utilisation de Tor. Cette requête détectera toute instance d’exécution de Tor bloquée par AppLocker.

norm_id=WinServer event_id=8004 event_source=Microsoft-Windows-AppLocker rule="*tor.exe"

Une variante de ZeuS a conservé un utilitaire tor.exe dans son corps, qu’il injecte ultérieurement dans svchost.exe. Dans la variante ZueS, c’est svchost.exe qui exécute tor.exe. Des comportements similaires peuvent être détectés en examinant l’exécution des processus natifs de Windows qui ont des options de lignes de commande tor.exe.

norm_id=WindowsSysmon label="Process" label=Create image="*svchost.exe" command IN ["*-HiddenServiceDir*", "*-HiddenServicePort*"]

Parfois, des malwares tels que ChewBacca déposent tor.exe dans le répertoire temporaire de l’utilisateur et l’exécutent avec un listing par défaut sur localhost:9050.

norm_id=WindowsSysmon event_id=11 path="*\Temp\" file="tor.exe"

En conclusion

En fin de compte, nous conseillons vivement aux administrateurs d’utiliser les capacités de détection de Tor dans le déploiement de leurs WAF, pare-feux, IPS/IDS, etc. Le sinkholing des requêtes DNS peut être fait pour empêcher l’utilisation de services comme Tor2web. Cependant, les acteurs malveillants chevronnés peuvent tirer parti de technologies d’anonymisation alternatives, telles que les VPN et les ponts Tor, pour contourner la détection et le blocage. En fin de compte, chaque entité doit tenir compte de son propre niveau de tolérance au risque lors de la mise en place de l’approche à utiliser en matière d’atténuation des risques face à Tor.