Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Web 2.0-es botnet - C&C a Twitteren

2009.08.17. 10:10 | buherator | 3 komment

Bár nem új a történet, a magyar weben még nem nagyon láttam cikkeket a témában: Egy újdonsült botnet a szokásos IRC csatornák helyett új felületet választott a vezérlőközpont(okk)al (C&C szerverekkel) való kapcsolattartásra - a parancsok és frissítések a Twitterre és más mikroblog szolgáltatásokra csiripelődnek ki. 

Szerencsére a hálózat gazdája nem használt kifinomult eszközöket a vezérlés megvalósításakor, így többen vették a fáradtságot, és nekiálltak utánajárni, hogy mit is csinálnak az élőhalott madárkák. A beszámolók szerint Twitterre kiposztolt üzenetek mind base64-el illetve bizonyos URL-rövidítő szolgáltatásokat vannak kódolva, így elolvasásuk nem jelent különösebb problémát. A bit.ly statisztikái szerint néhány száz gép lehet megfertőzve, nagyrészt Brazíliában. A bejegyzések ezután online vágólap szolgáltatásokhoz (pl. az Ubuntuéhoz vagy a Debianéhoz) vezetnek, ahol szintén base64 kódolású adatokat találunk. Rövid ügyeskedés után kiderül, hogy ezek az adatok ZIP-pel tömörített fájlokat rejtenek, melyeket nem véd jelszó. Kicsomagolás után DLL és EXE formátumú frissítéseket találunk az erdeti kártevőhöz, melyeket a VirusTotalnak odaadva elég siralmas eredményeket kapunk (20-47%, AV gyárók, szevasztok!). Az egyelőre nem világos, hogy a különböző komponensek pontosan milyen funkciót látnak el. 

A mikroblog szolgáltatások ilyen célú használata érdekes ötlet: mivel gyakorlatilag mindegyikük felajánl valamilyen weben keresztül elérhető API-t, nem kell külön IRC klienst írni a botnet kliensekbe, valamint a böngészőn keresztüli tunelezéssel sem kell külön foglalkozni (mivel a böngészőt általában minden otthoni tűzfal alkalmazás kiengedi, sok kártevő ezeket a mindenhol meglévő eszközöket használja kommunikációra). A fenti hálózat esete azonban jól mutatja, hogy mivel a felhasznált online szolgáltatásokat jóval szigorúbban monitorozzák, mint az IRC-t, csak rövid ideig lehet rajtuk keresztül megbízhatóan kommunikálni.

Címkék: twitter botnet

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

s t y x 2009.08.17. 11:03:46

"Via bit.ly, some statistics that suggest the malcode has infected a couple hundred PCs, mostly in Brazil."
;>

|Z| 2009.08.17. 11:06:03

AV gyártókról annyit, hogy most próbáltam egy hacktoolt, AV riasztott rá, átírtam hexa editorral 1-2 sztringet a binárisban (usernek szánt output sztringeket), és máris nem jelez az AV, a hacktool meg működik. Szignatúra keresés FAIL :)

A 20-47% már egész jó, múltkor volt nálam egy aranyos darab, 0/40 volt a végeredmény. Pár napra rá 2/40.

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2009.10.01. 16:30:11

Szia asdfqwert!

Mi volt az a hacktool? Megirnad a nevet?