Botnet controlat prin Twitter
3In domeniul securitatii, toata lumea e sigura de un singur lucru : tehnologia avansata reduce numarul oamenilor care pot produce daune virtuale/materiale cu ajutorul internetului. De mult a apus era in care puteai gasi vulnerabilitati RFI ca si cum ai merge la piata sau blocarea unui server prin diverse atacuri de tip DDOS. Inca imi aduc aminte aplicatiile cu care puteai linisti un server singur. Acum ai nevoie de o intreaga armata de calculatoare controlate si nici atunci nu este totul sigur.
O idee descoperita de Bogdan Botezatu la Malware City mi-a atras atentia. Este vorba despre crearea unui client folosind o aplicatie foarte simpla care va permite posibilitatea de a urmari un cont de Twitter dorit. Pe acest cont sunt date diverse mesaje de hacker, mesaje ce sunt citite de toate computerele infectate. In functie de comanda oferita, computerul victimei actioneaza.
Cateva exemple de comenzi, alaturi de functiile ce le indeplinesc :
1. Comanda .VISIT accepta 2 parametri separati prin * astfel : .VISIT*URL*1 sau .VISIT*URL*0. Comanda va face robotul sa viziteze o pagina web specificata de parametrul URL. Ultimul parametrul spune botului daca va vizita pagina intr-un window vizibil(1) sau ascuns (0).
2. Comanda .SAY are un singur parametru si va initializa motorul Microsoft Text-To-Speech pentru a citi paramatrul respectiv.
Aceste doua comenzi sunt aparent, inutile si nu prea periculoase. Introducerea urmatoarelor doua comenzi schimba parerea :
3. Comanda .DOWNLOAD are primul parametrul URL-ul catre fisierul ce doreste hackerul sa-l descarce pe computerul victimei, urmat de al doilea parametru ce poate avea valoarea 0 sau 1, spunand botului daca va trebui sau nu sa execute fisierul respectiv.
Exemplu : .DOWNLOAD*URL/fisier.exe*1(0)
4. Comanda .DDOS*IP*PORT va declansa un atac UDP impotriva IP-ului indicat prin portul specificat in mesajul de pe Twitter. Aceasta comanda ridica gradul de risc si potentialul criminalistic al acestei aplicatii.
Mai exista doua comenzi pentru terminarea operatiunilor in curs : .STOP si .REMOVEALL
Impotriva acestei probleme, Bitdefender deja a actionat, lansand un mic patch.
Avantajele lucrului cu diverse sisteme ce au implementate API-uri pentru comunicarea cu aplicatiile third-party (in cazul nostru Twitter) ofera un avantaj gigantic la crearea unui server care sigur nu va crapa la un numar mare de roboti. Un alt avantaj este ca hackerul nu va mai avea nevoie de un server puternic pentru a tine aplicatie care controleaza toti botii. Pot spune ca din acest moment retelele botnet se fac mult mai usor, in special aplicatiile de comunicare/executie. Totusi, exista un dezavantaj puternic : o data detectata reteaua, aceasta poate fi anihilata in cateva secunde daca este blocat contul care actioneaaz ca server. Totusi, acest impiediment poate fi depasit daca se face un algoritm de generare care functioneaza intr-un mod similar cu Torpig.
Si eu care credeam ca s-a dus vremea prostiilor de genul asta.
Oricum… neinspirata idee! Eu as fi facut sa fie comandati cu Yahoo Messenger, pentru a putea fi controlati pe rand sau la gramada.
I know.. I’m evil!
Da, tu asta ai fi facut, dar e ceva mai greu de folosit Y! Messenger cu toata documentatia lor. Ce a vrut sa se sugereze, cel putin pentru mine, este ca inca se pot face aplicatii de hackeri wannabe cu cunostinte aproape nule despre domeniu ceea ce nu este fair play nici in legea hackerilor profesionisti pentru ca unii pierd foarte multa vreme incercand sa faca ceva cu adevarat bun iar astia (asta) reusesc sa faca o chestie bunicica. Oricum se vede ca „programatorul” e vai de capul lui daca nu a fost capabil macar sa-si cripteze putin aplicatia. 🙂
http://pandalabs.pandasecurity.com/zunker/ 🙂