TorNet 後門：利用 TOR 網路的威脅

具有隱形能力的後門

一個出於經濟動機的網路犯罪團夥與正在進行的網路釣魚活動有關，該活動主要針對波蘭和德國的用戶。至少自 2024 年 7 月起，此操作已導致多個惡意負載的分發，包括Agent Tesla 、 Snake Keylogger和另一個名為 TorNet 的後門。該後門因其使用 TOR 匿名網路而得名，允許攻擊者在逃避檢測的同時與受感染的系統保持謹慎的通訊。

TorNet 後門如何影響系統

該活動依賴偽裝成金融交易確認或訂單收據的欺騙性電子郵件。這些消息冒充金融機構、物流公司和製造公司，以顯得合法。在電子郵件中，收件者會發現「.tgz」格式的壓縮附件，這種策略可能用於繞過安全過濾器。

提取後，這些檔案將執行基於 .NET 的載入程序，該程式旨在部署PureCrypter（一種著名的混淆工具）。 PureCrypter 隨後會繼續載入 TorNet 後門，但在此之前會執行多種安全規避技術。其中包括反調試、反虛擬機器偵測和反惡意軟體掃描，確保傳統防禦措施無法偵測到攻擊。

TorNet 後門想要什麼

TorNet 的主要目標是建立對受害者係統的持久存取並促進進一步的惡意活動。為了保持這一立足點，它創建了一個 Windows 計劃任務，即使系統重新啟動或電池電量不足也能確保其執行。此外，它會在部署其有效負載之前將受影響的電腦與網路斷開連接，僅在安裝後重新建立連接。此過程可防止基於雲端的安全工具偵測或阻止入侵。

安裝後，TorNet 將透過 TOR 網路與命令與控制 (C2) 伺服器建立通訊。這種加密連接使攻擊者能夠發出遠端命令、直接在記憶體中下載和執行其他 .NET 組件，並擴大攻擊面以進行進一步的攻擊。這種方法不僅增強了隱蔽性，還減少了受感染機器上留下的痕跡，使取證分析變得複雜。

TorNet 部署的影響

TorNet 在組織網路中的存在會帶來一些安全性問題。透過利用 TOR 網絡，攻擊者可以獲得額外的匿名層，從而使歸因和追蹤變得更加困難。此外，無需將檔案寫入磁碟即可在記憶體中執行任意程式碼的能力使它們能夠繞過許多傳統的偵測機制。

另一個令人擔憂的方面是該後門的靈活性。由於攻擊者可以隨時推送新的有效負載，因此受感染的系統可能會用於各種目的，包括資料竊取、憑證收集，甚至對其他目標發動額外的攻擊。隱蔽性、持久性和模組化的結合使 TorNet 成為網路犯罪分子手中的強大工具。

基於電子郵件的威脅的更廣泛趨勢

TorNet 的出現正值使用複雜規避技術的電子郵件威脅激增之際。最近的研究強調了對「隱藏文字加鹽」的日益依賴，這是一種操縱 HTML 格式以繞過電子郵件過濾機制的方法。透過在電子郵件文字中插入視覺上不易察覺的字符，攻擊者可以欺騙依賴關鍵字檢測的垃圾郵件過濾器和安全工具。

隨著網路釣魚活動變得更加先進，組織必須實施強大的安全措施。增強電子郵件過濾技術來偵測隱藏文字加鹽並分析郵件內容以尋找異常 HTML 屬性可以顯著提高偵測率。此外，採用視覺相似性偵測方法可以幫助識別旨在模仿合法通訊的詐騙電子郵件。

加強對 TorNet 和類似威脅的防禦

雖然 TorNet 對 TOR 網路的依賴給傳統安全工具帶來了挑戰，但組織可以採取主動措施來降低風險。加強端點檢測和回應 (EDR) 解決方案、監控異常網路流量以及限制對 TOR 等匿名服務的存取可以減少受到損害的機會。

使用者意識在防禦中也起著至關重要的作用。應訓練員工識別網路釣魚電子郵件，特別是那些包含意外附件或緊急財務交易請求的電子郵件。實施結合了行為分析、異常偵測和高階威脅情報的多層安全策略可以幫助組織領先於不斷變化的網路威脅。

最後的想法

TorNet 後門代表了以經濟為動機的網路犯罪的令人擔憂的發展，利用 TOR 來實現隱蔽性和持久性。透過網路釣魚活動將自身嵌入到系統中並採用規避技術，它為攻擊者提供了執行惡意操作的隱藏通道。隨著電子郵件威脅的不斷發展，企業和個人都必須保持警惕，並採取全面的安全措施來保護其數位環境免受新出現的威脅。