TorNet 后门：利用 TOR 网络的威胁

具有隐形功能的后门

一个以经济为目的的网络犯罪集团涉嫌参与正在进行的网络钓鱼活动，该活动主要针对波兰和德国的用户。自 2024 年 7 月以来，此行动已导致多个恶意负载的传播，包括Agent Tesla 、 Snake Keylogger和另一个名为 TorNet 的后门。这个后门因使用 TOR 匿名网络而得名，它允许攻击者在逃避检测的同时与受感染的系统保持谨慎的通信。

TorNet 后门如何入侵系统

该活动依靠伪装成金融交易确认或订单收据的欺骗性电子邮件。这些邮件冒充金融机构、物流公司和制造公司，使其看起来合法。在电子邮件中，收件人会发现“.tgz”格式的压缩附件——这可能是一种绕过安全过滤器的策略。

提取后，这些文件会执行一个基于 .NET 的加载程序，该加载程序旨在部署著名的混淆工具PureCrypter 。然后，PureCrypter 会继续加载 TorNet 后门，但在此之前会执行多种安全规避技术。这些技术包括反调试、反虚拟机检测和反恶意软件扫描，确保传统防御措施无法检测到攻击。

TorNet 后门想要做什么

TorNet 的主要目标是建立对受害系统的持久访问，并促进进一步的恶意活动。为了维持这一立足点，它会创建一个 Windows 计划任务，确保即使系统重新启动或电池电量不足也能执行该任务。此外，它会在部署其有效载荷之前断开受影响机器与网络的连接，仅在安装后重新建立连接。此过程可防止基于云的安全工具检测或阻止入侵。

安装后，TorNet 会通过 TOR 网络与命令和控制 (C2) 服务器建立通信。这种加密连接使攻击者能够发出远程命令，直接在内存中下载和执行其他 .NET 程序集，并扩大攻击面以进一步攻击。这种方法不仅增强了隐蔽性，还减少了受感染机器上留下的痕迹，使取证分析变得复杂。

TorNet 部署的影响

TorNet 在组织网络中的存在带来了一些安全隐患。通过利用 TOR 网络，攻击者可以获得额外的匿名性，使归因和追踪变得更加困难。此外，无需将文件写入磁盘即可在内存中执行任意代码的能力使他们能够绕过许多传统的检测机制。

另一个令人担忧的方面是这个后门的灵活性。由于攻击者可以随时推送新的有效载荷，受感染的系统可能被用于各种目的，包括数据窃取、凭证收集，甚至对其他目标发起额外攻击。隐身性、持久性和模块化的结合使 TorNet 成为网络犯罪分子手中的强大工具。

电子邮件威胁的广泛趋势

TorNet 的出现正值使用复杂规避技术的电子邮件威胁激增之际。最近的研究强调，人们越来越依赖“隐藏文本加盐”，这是一种操纵 HTML 格式以绕过电子邮件过滤机制的方法。通过在电子邮件文本中插入视觉上不明显的字符，攻击者可以欺骗依赖基于关键字的检测的垃圾邮件过滤器和安全工具。

随着网络钓鱼活动变得越来越先进，组织必须实施强大的安全措施。增强电子邮件过滤技术以检测隐藏的文本加盐并分析邮件内容是否存在不寻常的 HTML 属性，可以显著提高检测率。此外，采用视觉相似性检测方法可以帮助识别旨在模仿合法通信的欺诈性电子邮件。

加强对 TorNet 及类似威胁的防御

虽然 TorNet 对 TOR 网络的依赖对传统安全工具提出了挑战，但组织可以采取主动措施来降低风险。加强端点检测和响应 (EDR) 解决方案、监控异常网络流量以及限制对 TOR 等匿名服务的访问可以降低受到攻击的可能性。

用户意识在防御中也起着至关重要的作用。应培训员工识别网络钓鱼电子邮件，特别是那些包含意外附件或紧急金融交易请求的电子邮件。实施结合行为分析、异常检测和高级威胁情报的多层安全策略可以帮助组织领先于不断演变的网络威胁。

最后的想法

TorNet Backdoor 代表了以经济为目的的网络犯罪的令人担忧的发展，它利用 TOR 实现隐蔽性和持久性。通过网络钓鱼活动将自身嵌入系统并采用规避技术，它为攻击者提供了执行恶意操作的隐蔽渠道。随着电子邮件威胁不断发展，企业和个人都必须保持警惕并采取全面的安全措施，以保护其数字环境免受新兴威胁的侵害。