Botnet 2.0 con Twitter

-
Perché ostinarsi con i canali IRC? Oramai con il Web 2.0 anche le botnet devono essere più "trendy" (e anche più furbe). E quindi il "Command & Control" è facilmente attuabile da cellulari, smartphone, portatili, desktop lasciati incustoditi, e tanto altro. In questo modo potrete comandare la vostra botnet direttamente dalla spiaggia! Questo spostamento di protocollo di trasmissione da IRC al caro e "offuscante" HTTP non è ovviamente un caso, ma una opportunità!

Il video (Symantec) mi sembra molto eloquente:




Allego qui di seguito il bel post dell'amico Maddler sull'argomento:

Uno dei problemi principali nella realizzazione di una botnet è sicuramente legato alla necessità di poter contattare i PC infetti per poter inviar loro i comandi di gestione. La tecnica più diffusa, almeno sino ad ora, era di utilizzare IRC a tale scopo. Gli zombie si connettono ad un server, entrano in un canale e restano in attesa che il master invii loro i comandi. Dal punto di vista della difesa si tratta però di una tecnica facilmente neutralizzabile, utilizzando soluzioni di firewalling e/o proxy. Ma si sa, viviamo in un mondo in continua evoluzione ed era inevitabile che anche le botnet arrivassero al 2.0 e per farlo quale migliore soluzione che utilizzare uno dei siti 2.0 per definizione? Twitter!

Rispetto all’impiego di IRC i vantaggi sono immediati. Nella stragrande maggioranza delle reti “aziendali” IRC è bloccato e in ogni caso una connessione verso un server ad alta frequentazione come è Twitter dà sicuramente molto meno nell’occhio di quanto non possa accadere per una connessione verso lkjawer.da.ru.

La tecnica resta sostanzialmente invariata. Il PC infetto si connette tramite web e segue il feed dell’account Twitter del master e, come avviene per IRC, resta in attesa delle istruzioni da seguire. In alcuni casi i comandi venivano inviati “in chiaro”, rendendo di fatto facilmente tracciabili gli account utilizzati per il controllo delle botnet. Nelle versioni più recenti del tool i comandi sono invece offuscati, rendendo di fatto più difficile la caccia.

Il master può utilizzare sia tweets in chiaro

che offuscati per comunicare con gli zombie

Il messaggio in BASE64 nell’immagine sopra contiene il link di malware da scaricare sulle macchine controllate.

$ echo "aHR0cDovL2JpdC5seS9SNlNUViAgaHR0cDovL2JpdC5seS8yS29Ibw==" 
  \  |openssl base64 -d   hxxp://bit.ly/R6STV  hxxp://bit.ly/2KoHo

In questo momento la ricerca per “.REMOVEALL” non restituisce alcun risultato. E` improbabile che ciò indichi che tutte le twitter botnet siano state identificate e bloccate, molto più probabile invece che si sia diffusa la variante più recente, con l’invio di comandi offuscati.

La neutralizzazione di questo tipo di botnet risulta sicuramente più complessa di quanto non possa essere per l’IRC. Di fatto l’unica soluzione efficace è rappresentata dall’adozione di un buon antivirus in grado di bloccare sia il vettore di contaggio (tipicamente contenuto in attachment ricevuti via email) sia l’esecuzione di software scaricati successivamente dal bot.

Commenti

  1. Anonimo31 maggio 2010 alle ore 02:53

    Ciao,
    Giusto per divertimento mi son messo a giocare con le twitcurl, solamente che ho problemi di compilazione: http://code.google.com/p/twitcurl/issues/detail?id=4
    Ti va di provarle e mi dici se sei riuscito ad ottenere la twitCurl.lib per poi programmare?
    Grazie

    RispondiElimina

Posta un commento

Post popolari in questo blog

Exploit: icsploit o espluà?

-
Immagine
Non ce la faccio più! Continuo a sentir pronunciare " exploit ", nel senso di " sfruttamento di una vulnerabilità informatica ", in francese: espluà ! E' quasi un pugno nello stomaco! Sebbene il termine inglese derivi dal francese, quando si usa nel contesto della sicurezza informatica, la pronuncia è in inglese, ovvero " ecsploit "o " icsploit " (a seconda che sia un sostantivo o un verbo). E poi visto che la consuetudine è quella di usare termini inglesi nel contesto informatico, e per amore di un unico e non ambiguo vocabolario, usiamo i termini inglesi quando ci riferiamo a cose ben specifiche  e relative all'informatica. Per essere estremamente chiari, se dobbiamo parlare di "SQL Injection" non è che possiamo tradurla come "inoculazione di sequenze maliziose in una istruzione del linguaggio SQL". Non si capisce nulla! Altrimenti torniamo al caro professore che insisteva nel tradurre "Computer" in "...
Continua a leggere

TrueCrypt 5.0: nuova release

-
E' uscita la nuova versione di TrueCrypt 5.0 (ricordo che è Free e Open Source). Importanti le novità: Features : permette di cifrare una intera partizione del disco con un'autenticazione pre-boot; inserita una pipeline per le operazioni di read/write che migliorano le prestazioni fino al 100% su Windows; nuova versione per Mac OS X; GUI per TrueCrypt su Linux; utilizzo di XTS - approvato recentemente come standard IEEE 1619 - per la protezione crittografica di device per lo storage a blocchi; sostituzione dello SHA1 con il più sicuro SHA-512. Bug fix : versione su Linux completamente ridisegnata per sopperire ai problemi dovuti all'aggiornamento del kernel; correzioni di bug e falle di sicurezza. Ho provato la nuova versione sia su Windows XP che su Vista Home Premium. Su XP Professional o Home nessun problema. Potete addirittura non disinstallare la vecchia versione, reinstallando tutto sopra. In Vista consiglio di disinstallare la vecchia versione, riavviare e poi ins...
Continua a leggere

ING Direct: ancora con il PAD numerico rotante!

-
Immagine
Quanti anni saranno che ING Direct ci propina il suo sistema di autenticazione? Avete presente il PAD numerico in cui ogni volta che si accede vengono cambiate le posizioni dei numeri sul tastierino? Negli anni avranno sicuramente cambiato la tecnologia sottostante e le tecniche di sicurezza, tanto è vero che alcuni script client-side inclusi nella pagina, con un breve giro con Firebug, sono generati server-side con URL randomiche (solo nell'ultima parte) e Firebug non riesce a mostrarli. Ma a parte la loro bravura nell'offuscare il codice, perché di offuscamento si tratta, quando si decideranno ad utilizzare un meccanismo di autenticazione a 2 fattori? Una cosa che tu sai + Una cosa che tu hai Potrei suggerire uno degli innumerevoli Token OTP che ormai molte banche danno ai loro correntisti e che li tranquillizzano non poco nell'accesso ai propri conti on-line. Provate a chiedere ad un utente se è più o meno tranquillo con un Token fisico che solo lui detiene e che ogni 30...
Continua a leggere