Hakerzy wykorzystują Twittera do zarządzania botnetami

Andrzej Biernacki

14.08.2009 12:42

Jose Nazario - ekspert do spraw bezpieczeństwa IT, pracownik firmy Arbor Networks - ustalił, że hakerzy wykorzystują Twittera do przesyłania komend zainfekowanym przez złośliwe oprogramowanie komputerom. W ten sposób sterują botnetami.

Nazario znalazł w Twitterze konto o nazwie "upd4t3". Publikowano tam z pozoru bezsensowne ciągi liter i cyfr. Po ich rozszyfrowaniu okazało się, że we wpisach ukryto linki, które zarażone pecety wykorzystywały do aktualizowania zainstalowanych w nich koni trojańskich i innych robaków.

Nazario dokonał konwersji jednego postu w oparciu o kod base64, który służy do zapisywania ciągu bajtów za pomocą liczb od 0 do 63. Ciąg "aHR0cDovL2JpdC5seS9SNlNUViAgaHR0cDovL2JpdC5seS8yS29Ibw==" przyjął postać "hxxp://bit.ly/R6STV hxxp://bit.ly/2KoHo" (NSFW).

Inny wpis udało się odczytać w ten sposób:

[cytat]$ unzip out.qqq

Archive: out.qqq

inflating: gbpm.dll

inflating: gbpm.exe

$ openssl md5 gbpm.*

MD5(gbpm.dll)= ceb8d7fd74da0a187cc39ced4550ddb4

MD5(gbpm.exe)= a5cc8140e783190efb69d38c2be4393f[/cytat]

Nazario rozpakował plik gbpm.dll i otrzymał następujący rezultat:

[cytat]$ upx2 -d gbpm.dll.upx

Ultimate Packer for eXecutables

UPX 2.02 Markus Oberhumer, Laszlo Molnar & John Reiser Aug 13th 2006

File size Ratio Format Name

263680 [/cytat]

Ustalił na tej podstawie, że celem aplikacji jest kradzież prywatnych danych i przesłanie ich na kilka wyszczególnionych przez hakera serwerów. Ekspert ostrzegł, że tylko co drugi program antywirusowy rozpoznaje oprogramowanie botnetowe, aktualizacje jest w stanie wykryć jedynie 22% aplikacji.

Widać więc, że hakerzy polubili Twittera. Dlaczego? Bo jest to wygodne, tanie i bezpieczne narzędzie do kontrolowania botnetów. Zapewnia anonimowość, większość użytkowników serwisu i tak nie zorientuje się, że dane konto jest źródłem złośliwego kodu.

Źródło: Arbor Networks