Bár nem új a történet, a magyar weben még nem nagyon láttam cikkeket a témában: Egy újdonsült botnet a szokásos IRC csatornák helyett új felületet választott a vezérlőközpont(okk)al (C&C szerverekkel) való kapcsolattartásra - a parancsok és frissítések a Twitterre és más mikroblog szolgáltatásokra csiripelődnek ki.
Szerencsére a hálózat gazdája nem használt kifinomult eszközöket a vezérlés megvalósításakor, így többen vették a fáradtságot, és nekiálltak utánajárni, hogy mit is csinálnak az élőhalott madárkák. A beszámolók szerint Twitterre kiposztolt üzenetek mind base64-el illetve bizonyos URL-rövidítő szolgáltatásokat vannak kódolva, így elolvasásuk nem jelent különösebb problémát. A bit.ly statisztikái szerint néhány száz gép lehet megfertőzve, nagyrészt Brazíliában. A bejegyzések ezután online vágólap szolgáltatásokhoz (pl. az Ubuntuéhoz vagy a Debianéhoz) vezetnek, ahol szintén base64 kódolású adatokat találunk. Rövid ügyeskedés után kiderül, hogy ezek az adatok ZIP-pel tömörített fájlokat rejtenek, melyeket nem véd jelszó. Kicsomagolás után DLL és EXE formátumú frissítéseket találunk az erdeti kártevőhöz, melyeket a VirusTotalnak odaadva elég siralmas eredményeket kapunk (20-47%, AV gyárók, szevasztok!). Az egyelőre nem világos, hogy a különböző komponensek pontosan milyen funkciót látnak el.
A mikroblog szolgáltatások ilyen célú használata érdekes ötlet: mivel gyakorlatilag mindegyikük felajánl valamilyen weben keresztül elérhető API-t, nem kell külön IRC klienst írni a botnet kliensekbe, valamint a böngészőn keresztüli tunelezéssel sem kell külön foglalkozni (mivel a böngészőt általában minden otthoni tűzfal alkalmazás kiengedi, sok kártevő ezeket a mindenhol meglévő eszközöket használja kommunikációra). A fenti hálózat esete azonban jól mutatja, hogy mivel a felhasznált online szolgáltatásokat jóval szigorúbban monitorozzák, mint az IRC-t, csak rövid ideig lehet rajtuk keresztül megbízhatóan kommunikálni.
s t y x 2009.08.17. 11:03:46
;>
|Z| 2009.08.17. 11:06:03
A 20-47% már egész jó, múltkor volt nálam egy aranyos darab, 0/40 volt a végeredmény. Pár napra rá 2/40.
Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2009.10.01. 16:30:11
Mi volt az a hacktool? Megirnad a nevet?