ToRank - новая система для выявления подозрительных и вредоносных скрытых сервисов Tor

Сеть Tor в настоящее время содержит тысячи скрытых сервисов. Значительная их часть может быть связана с вредоносными действиями. Многие onion-домены были связаны с распространением вредоносных программ. В 2013 году была основана компания Freedom Hosting, которая размещала скрытые сервисы Tor и распространяла вредоносное ПО на все скрытые сервисы, размещенные на его серверах. Было обнаружено, что эта вредоносная программа использует критическую уязвимость, существовавшую в определенных версиях Firefox, включенных в комплект браузера Tor. Это вредоносное ПО деанонимизировало имена хостов и MAC-адреса пользователей Windows, а затем направило эти данные на сервер в Вирджинии, разоблачая реальные IP-адреса пользователей. С тех пор было зарегистрировано несколько подобных инцидентов.

Десятки других скрытых услуг в сети Tor были связаны с содержанием детской порнографии. В течение последних нескольких лет, ФБР совместно с правоохранительными органами из разных стран, удалось уличить десятки операторов в сети Tor, связанных с детской порнографией. Так же, на различных торговых площадках Даркнета, как всем нам известно, предлагается великое множество хакерских услуг. Таким образом, правоохранительные органы во всем мире ищут инновационные средства для наблюдения и расследования преступлений, которым способствуют общедоступные скрытые сервисы Tor.

Совсем недавно исследователями был представлен новый алгоритм, названный ToRank, который способен ранжировать скрытые сервисы Tor гораздо эффективнее, чем известные алгоритмы, обычно используемые для ранжирования веб-сайтов в наземной сети (Clearnet). ToRank способен идентифицировать скрытые сервисы Tor, связанные со злонамеренной и / или подозрительной деятельностью. Так же на обозрение общественности был представлен подробный анализ содержимого, размещенного в сети Tor, включающий в себя подробную базу данных, DUTA-10, содержащий гораздо больше данных, чем в базе данных Darknet Usage Test Address (DUTA).

Помимо этого было представлено количественное сравнение с некоторыми из существующих систем ранжирования, используемых в наземной сети, включая PageRank, Katz и HITS. Результаты исследований доказывают, что ToRank наносит более значительный ущерб надежности сети Tor, чем любая из вышеупомянутых систем ранжирования, что отражает превосходство ToRank. Подход ToRank зависит от пассивного анализа рекурсивных трассировок сетевого трафика, собранных с нескольких ретрансляционных узлов. Практически говоря, датчик развернут перед узлом Tor для мониторинга сетевых запросов, а также ответов, исходящих от пользователей и скрытых сервисов Tor. Полученные данные о скрытых сервисах fast-flux выборочно хранятся в центральном сборщике данных.

Поскольку объем подозрительного трафика в Tor может быть чрезмерным, ToRank использует несколько правил предварительной фильтрации, которые сформулированы для конкретной идентификации сетевых запросов с потенциальными скрытыми службами fast-flux и запрещенным контентом, исключая при этом запросы к законным скрытым службам. Подход ToRank к предварительной фильтрации является довольно консервативным. Однако он способен снизить объем отслеживаемого трафика Tor до разумного уровня, не удаляя данные о скрытых сервисах, которые фактически связаны с подозрительным или вредоносным потоком в сети.

Как только получены данные о потенциальных подозрительных скрытых услугах для определенного временного отрезка (например, 24 часа), выполняется более мелкая форма анализа. Во-первых, подозрительные скрытые сервисы, связанные друг с другом, группируются вместе. Например, система группирует скрытые службы, которые связаны с одной и той же хостинговой службой, связаны с одними и теми же никами администратора или связаны с одним и тем же вредоносным или подозрительным потоком в сети. Как только проанализированные скрытые сервисы сгруппированы, создаются кластеры подозрительных скрытых сервисов. Такой подход к мониторингу позволяет ToRank получать запросы, связанные со скрытыми сервисами внутри сети, которые рекламируются с помощью множества средств, включая, например, форумы даркнета, криптовалюты, доски объявлений и веб-сайты, посвященные темам, связанным с сетью Tor. Кроме того, помимо других систем ранжирования, основанных на активном зондировании, ToRank пассивно отслеживает скрытые сервисы Tor, а также пользователей Tor, при этом сама система не взаимодействует с различными скрытыми сервисами.

Активный поиск скрытых сервисов Tor, связанных с fast-flux, может быть идентифицирован злоумышленником, имеющим возможность управления ретрансляционными узлами, ретранслирующими данные. Сами узлы в свою очередь, связанны со скрытыми сервисами Tor, способствующими передаче fast-flux по сети. Если злоумышленник может успешно определить, что происходит активное зондирование, и он пытается отследить свой злонамеренный поток скрытой службы Tor, он может отреагировать, отказавшись отвечать на сетевые запросы, возникающие из системы зондирования, чтобы избежать раскрытия дополнительной информации и, в конечном итоге, удалить скрытую службу. С другой стороны, ToRank способен скрытно обнаруживать вредоносные и подозрительные скрытые сервисы.

Анализ набора данных DUTA-10K показал, что только 20% скрытых сервисов Tor, которые являются общедоступными, связаны с подозрительными или злонамеренными действиями. Интересно, что ToRank доказал, что 48% всех скрытых сервисов в сети Tor связаны с легальным, безвредным контентом, что, безусловно, противоречит общественному убеждению, которое постулирует, что большая часть контента в сети Tor либо нелегальна, либо несет злонамеренный или другой подозрительный характер. ToRank также показал, что большинство onion-доменов, связанных с подозрительной или злонамеренной деятельностью, обычно представляют собой несколько клонов, размещенных под разными onion-адресами, которые можно использовать в качестве дополнительного пункта для их идентификации.

TorRank - это программное обеспечение с открытым исходным кодом, которое было сделано публично доступным его разработчикам, так что каждый может извлечь из этого пользу и даже внести свой вклад в его дальнейшее улучшение.

ToRank является революционной системой ранжирования для подозрительных или вредоносных скрытых сервисов Tor, которая намного эффективнее, чем ранее разработанные системы. ToRank привел к добавлению значительного количества данных в последний набор данных Darknet Usage Test Address (DUTA). Самое главное - ToRank доказал, что 48% всех скрытых сервисов Tor являются легальными и не наносят вреда. ToRank содержит в себе улучшенную базу данных Darknet Usage Test Address (DUTA), а результаты, полученные с помощью анализа, выполненного через ToRank, чрезвычайно полезны для правоохранительных органов, пытающихся предотвратить различные преступные действия, совершаемые в сети Tor.