保證僵尸網(wǎng)絡(luò)的C&C中心服務(wù)器在線是僵尸制造者的基本職責(zé)，這樣才能更好的利用那些被控制的機(jī)器。但是那些網(wǎng)絡(luò)安全公司以及法律執(zhí)行機(jī)構(gòu)正盡其所能的讓那些C&C服務(wù)器下線。網(wǎng)絡(luò)罪犯?jìng)冃枰獙ふ乙环N新的方式保持他們的僵尸網(wǎng)絡(luò)不被破壞。

這些方法中***的是將僵尸網(wǎng)絡(luò)的通信設(shè)施分散化，使其能夠點(diǎn)對(duì)點(diǎn)的通信。但是另外一種選擇是將C&C隱藏在TOR網(wǎng)絡(luò)之后。

TOR受到了網(wǎng)絡(luò)罪犯的萬般寵愛，通過它能夠隱藏他們自己僵尸網(wǎng)絡(luò)C&C服務(wù)器的真實(shí)位置，而且目前已經(jīng)在網(wǎng)絡(luò)空間中發(fā)現(xiàn)了使用這一方法的僵尸網(wǎng)絡(luò)。

其他的僵尸管理者顯然被這個(gè)主意吸引住了。ESET的研究人員***披露了他們分析過的兩個(gè)不同的基于TOR的僵尸網(wǎng)絡(luò)。

其中一個(gè)僵尸網(wǎng)絡(luò)在構(gòu)建它的時(shí)候，僵尸管理者使用了一種老式的木馬，這個(gè)木馬最近被分析出能夠在TOR網(wǎng)絡(luò)中使用它來隱藏自身和C&C管理面板通信的服務(wù)協(xié)議。

另外一個(gè)更有意思一些，它是在最近一個(gè)月內(nèi)被制造出來的。

使用了Atrax木馬作為一個(gè)后門，竊取信息，還能夠下載額外的惡意文件或插件到宿主，最神的是還可以在宿主機(jī)中安裝一個(gè)TOR客戶端。

“當(dāng)和C&C服務(wù)器***次通信的時(shí)候，Atrax.A向TOR網(wǎng)絡(luò)中的一個(gè)IP地址發(fā)送它收集到的信息”研究人員解釋道“想查找到使用TOR通信的C&C的真實(shí)IP地址或主機(jī)名是不可能的，但可以利用它在TOR中的IP地址進(jìn)行分析”

他們這樣做了并且發(fā)現(xiàn)了一個(gè)C&C服務(wù)器的管理面板。

研究人員指出，“Win32/Atrax.A是一個(gè)基于TOR的有意思的例子，它使用了AES來加密它的插件，而密鑰是根據(jù)被控制機(jī)器的硬件信息來生成的”，他們也會(huì)繼續(xù)跟蹤這一僵尸網(wǎng)絡(luò)的活動(dòng)。