s0183-tor - RunkIntel

# Tor > [!warning] Ferramenta Dual-Use - Anonimização de C2 > Rede de anonimato usada por jornalistas, ativistas e defensores de privacidade - mas também amplamente adotada por grupos APT e operadores de ransomware para ocultar infraestrutura de comando e controle. Identificado no advisory CISA AA20-183A como vetor de anonimização de atividade maliciosa. ## Visão Geral **Tor** (The Onion Router) é uma rede de anonimato de código aberto mantida pelo Tor Project. Opera via uma rede de mais de 7.000 nós voluntários (relays) ao redor do mundo, roteando o tráfego através de múltiplos saltos com criptografia em camadas - cada camada é removida em cada salto, como as camadas de uma cebola, até o destino final. Do ponto de vista legítimo, o Tor protege a privacidade de jornalistas, ativistas e cidadãos em regimes autoritários. Do ponto de vista ofensivo, é usado para anonimizar infraestrutura de C2, hospedar serviços .onion inacessíveis via Internet convencional e contornar bloqueios geográficos de IPs de ataque. Grupos como [[g0007-apt28|APT28]], [[g0016-apt29|APT29]] e operadores de ransomware como [[g1032-inc-ransom|INC Ransom]] usam Tor para dificultar rastreamento e atribuição. **Plataformas:** Linux, Windows, macOS ## Como Funciona O Tor implementa o protocolo **Onion Routing**: 1. O cliente Tor baixa uma lista de nós disponíveis do servidor de diretório (porta 9030) 2. Constrói um circuito de 3 nós: Guard (entrada) → Middle → Exit 3. Cifra o tráfego em 3 camadas usando chaves assimétricas (RSA/Curve25519) 4. Cada nó decifra apenas sua camada, conhecendo somente o nó anterior e o próximo 5. O nó de saída (Exit) realiza a requisição final para o destino **Serviços .onion:** Permitem hospedagem de servidores C2 sem endereço IP público. O servidor nunca se expõe na Internet convencional - todo tráfego passa pela rede Tor. Isso torna bloqueios por IP/domínio ineficazes. **Portas padrão:** 9001 (OR), 9030 (Directory), 9050 (SOCKS proxy local), 9150 (Tor Browser SOCKS) ## Uso Ofensivo ```mermaid graph TB A["🖥️ Vítima comprometida Implante instalado"] --> B["🔌 Conexão SOCKS5 porta 9050 local"] B --> C["🌐 Guard Node Entrada na rede Tor"] C --> D["🔀 Middle Node Relay intermediário"] D --> E["🚪 Exit Node / .onion Saída ou Hidden Service"] E --> F["📡 Servidor C2 .onion - sem IP exposto"] F --> G["📤 Comandos Exfiltração de dados"] ``` **Ransomware - uso típico de .onion para negociação:** ```mermaid graph TB A["💥 Ransomware executado Criptografia concluída"] --> B["📝 Ransom note Link .onion"] B --> C["🧅 Portal .onion Página de negociação"] C --> D["💬 Chat vítima-atacante Anônimo via Tor"] D --> E["💰 Pagamento Bitcoin Carteira anônima"] E --> F["🔑 Chave de descriptografia Entregue via .onion"] F --> G["📁 Restauração dados se pago"] ``` ## Timeline | Ano | Evento | |-----|--------| | 2002 | Primeiro código Tor lançado por Roger Dingledine, Nick Mathewson e Paul Syverson (DARPA/NRL) | | 2006 | Tor Project fundado como organização sem fins lucrativos | | 2013 | Snowden usa Tor para comúnicações com jornalistas; notoriedade global | | 2016 | [[g0007-apt28\|APT28]] documentado usando Tor para operações na eleição americana | | 2019 | CISA emite advisory sobre uso malicioso do Tor por atores de ransomware | | 2020 | CISA pública AA20-183A: "Malicious Actors Abuse Tor for Malicious Activity" | | 2022 | [[g0016-apt29\|APT29]] detectado usando Tor para exfiltração em campanhas SolarWinds follow-on | | 2023 | [[g1032-inc-ransom\|INC Ransom]] e [[g1015-scattered-spider\|Scattered Spider]] usam .onion para portais de vazamento | ## TTPs | ID | Nome | Uso com Tor | |----|------|------------| | [[t1573-002-asymmetric-cryptography\|T1573.002]] | Asymmetric Cryptography | Criptografia RSA/Curve25519 em múltiplas camadas | | [[t1090-003-multi-hop-proxy\|T1090.003]] | Multi-hop Proxy | Circuito de 3 nós para anonimizar origem | ## Atores que Utilizam - [[g0007-apt28|APT28]] - anonimização de operações de espionagem e interferência eleitoral - [[g0016-apt29|APT29]] - exfiltração de dados e C2 em campanhas de espionagem - [[g0065-leviathan|Leviathan]] - ocultação de infraestrutura de coleta - [[g1015-scattered-spider|Scattered Spider]] - comúnicações de grupo e portais de extorsão - [[g1032-inc-ransom|INC Ransom]] - portal .onion de negociação de resgaté - [[g1050-water-galura|Water Galura]] - operações na Ásia com C2 anônimo ## Relevância LATAM/Brasil O Tor é amplamente usado por grupos de ransomware que operam no Brasil para hospedar portais de negociação e páginas de vazamento de dados (.onion). Grupos como [[g1015-scattered-spider|Scattered Spider]] e operadores do [[g1032-inc-ransom|INC Ransom]] utilizam endereços .onion que são inacessíveis a rastreamento convencional de IP - dificultando ações legais e takedowns. Para organizações brasileiras, o impacto mais concreto é a impossibilidade de bloquear endereços IP de servidores C2 baseados em .onion: o tráfego de malware que usa Tor como canal de comunicação não pode ser bloqueado por listas negras de IP tradicionais. A detecção requer monitoramento comportamental - detectar o processo Tor em execução ou conexões à rede de Guard Nodes conhecidos. O Tor também é vetor de acesso de atacantes em ambientes onde o acesso direto à Internet é monitorado: ao rotear o tráfego via SOCKS5 do Tor local, malware consegue contornar proxies corporativos que inspecionam tráfego HTTP/HTTPS convencional. ## Detecção **Indicadores de comprometimento:** - Processo `tor.exe` ou `tor` em execução em hosts que não deveriam usar Tor - Conexões de saída para IPs conhecidos de Guard Nodes do Tor (listas públicas disponíveis) - Porta local 9050/9150 aberta em escuta (SOCKS proxy) - Conexões TCP para porta 9001 (OR port) ou 9030 (Directory port) - Domínios `.onion` em logs de DNS (indicam tentativa de resolução via Tor) **Fontes de dados recomendadas:** - **Sysmon Event ID 3 (NetworkConnect):** Conexões para Tor Guard Nodes (blocklists do Tor Project) - **Sysmon Event ID 1 (ProcessCreaté):** Detecção de `tor.exe`, `Tor Browser.exe` em sistemas corporativos - **Firewall/Proxy:** Bloqueio de portas 9001/9030 de saída; bloquear IPs de Guard Nodes conhecidos - **NetFlow:** Padrão de tráfego cifrado em múltiplos saltos com TTL variável **Regras de detecção:** - Sigma: `net_connection_win_tor.yml` - detecta conexões a Guard Nodes conhecidos do Tor - Sigma: `proc_creation_win_tor.yml` - detecta execução do processo Tor em sistemas Windows - Listas: Tor Project pública lista atualizada de Exit Nodes e Guard Nodes para bloqueio ## Referências - [1](https://attack.mitre.org/software/S0183) MITRE ATT&CK - S0183 Tor (2024) - [2](https://www.cisa.gov/news-events/cybersecurity-advisories/aa20-183a) CISA - AA20-183A: Malicious Actors Abuse Tor to Conduct Cyber Operations (2020) - [3](https://www.torproject.org/about/history/) The Tor Project - History of Tor (2024) - [4](https://www.mandiant.com/resources/blog/using-tor-hidden-service-protocol) Mandiant - Using the Tor Hidden Service Protocol (2024) - [5](https://thedfirreport.com/2022/08/08/bumblebee-roasts-its-way-to-domain-admin/) The DFIR Report - Campaigns using Tor for C2 (2022)