ランサムウェアはどのようにTorディープウェブに接続しますか?
ランサムウェアやマルウェアの多くは、ディープウェブサービスを使用してキーを取得しています。誰もがTorをシステムにインストールしているとは思えないので、Torブラウザーを携帯しているのか、それとも他の手法を使用しているのかと思いました。
TorネットワークのWebサイトにアクセスする必要があるマルウェアは、しばしば Tor2web サービスを使用します。
これらの無料サービスでは、通常のブラウザでタマネギのサイトに接続できます。 HTTPまたはHTTPSを介してTorネットワークへのゲートウェイを提供し、Torに接続します。このように、マルウェアは本格的なTorクライアントに付属している必要はありません。
最も人気のあるTor2webドメインの1つはonion.toです。基本的に、.to拡張をほとんどすべてのオニオンリンクに追加して、クリアネットからアクセスできます。たとえば、 The Hidden Wiki のミラーには、次の方法でアクセスできます。
https://zqktlwi4fecvo6ri.onion。に/wiki/index.php/Main_Page
Tor2webは簡単ですが、ランサムウェアが被害者にTorブラウザを手動でダウンロードするように促し、一部のマルウェアが実際のTorコンポーネントを使用してC&C通信を不明瞭にする場合もあります。
マルウェアは、Torを他の誰と同じように簡単に使用できます。 2013年の後半には、ネットワークトラフィックを隠すためにマルウェアを利用するマルウェアが増えました。 9月に、バックアップコマンドアンドコントロール(C&C)通信用のTorコンポーネントをダウンロードしたMevadeマルウェアについてブログを書きました。 2013年10月、オランダの警察は、C&C通信にもTorを使用したマルウェアファミリーであるTorRATマルウェアの背後で4人を逮捕しました。 [...]
2013年の最後の週に、身代金を支払うときにTorブラウザ(Tor用に事前設定されたブラウザバンドル)を使用するように被害者に明示的に要求するCryptorbitと呼ばれるランサムウェアの亜種が見つかりました。