Управление ботсетью с мобильного телефона уже давно стало реальностью — нам уже встречались случаи управления ботнетом и через jabber. А несколько лет назад для этих целей пользовался большой популярностью у злоумышленников протокол IRC. На прошлой неделе нам попалась на глаза любопытная программа генерации ботов MSIL/Twebot.A, которая «привязывает» их к командному центру в виде твиттер-аккаунта, через который ведется все управление ботсетью.
Update:
Добавлено описание MSIL/Twebot.B.
Управление ботнетом через твиттер — идея не новая, и прошлым летом она уже была реализована в виде концепта, но в нынешнем случае авторы пошли дальше и развили ее в нечто большее. Набор управляющих команд довольно разнообразен:
.VISIT (.VISIT*link.com*) – позволяет посетить указанный URL. Если в конце стоит 1, тогда окно браузера будет видимым, а если 0 — окно будет невидимым.
.DDOS (.DDOS*IP*PORT) – осуществляет атаку UDP-flood на указанный адрес и порт.
.SAY (.SAY*any text) – позволяет произнести на подконтрольном компьютере указанную фразу с использованием технологии Microsoft Text-To-Speech Engine.
.DOWNLOAD (.DOWNLOAD*link.com/malware.exe*) – если в конце стоит 1 — скачивает и запускает файл по указанному URL, если 0 — файл не запускается.
.STOP — останавливает активность ботов в независимости от текущих заданий.
.REMOVEALL – заставляет ботов прекратить любую активность и не обращаться к командному центру до следующей перезагрузки.
Генератор ботов реализован на Visual Basic .NET и требует установленного .NET Framework для своего выполнения.
Для противодействия обратному анализу генератор ботов и сами сгенерированные боты обфусцированы.
В секции ресурсов генератора бота можно увидеть интересную информацию, которая идентифицирует псевдоним автора Korrupt.
Еще интереснее тот факт, что в каждом сгенерированном боте существует жестко прошитая учетная запись @Korrupt, которая тоже может управлять ботами, несмотря на другие командные центры, указанные при генерации.
На данный момент бот может привязываться только к публичным твиттер-акаунтам, которые доступны в поиске через стандартный интерфейс. Так как команды никак не маскируются, их легко обнаружить.
На сегодняшний день, это тоже некоторый концепт, но с уже явно вредоносным потенциалом. Такой подход к управлению ботнетом удобен для злоумышленников по многим причинам, но главное — это маскировка бота под работу твиттер-клиента и мобильность.
Update:
Вчера вечером у нас появилась новая модификация данного троянца — MSIL/Twebot.B. На этот раз автор добавил перед запуском генератора ботов вывод лицензионного соглашения, в котором он явно дает понять то, что перед пользователем концепт, и разработчик не несет ответственности за его использование.
Также автором был в значительной степени был переработан графический интерфейс генератора ботов. Теперь можно изменить гораздо больше параметров, отвечающих за взаимодействие комадного центра и самого бота.
Update:
Добавлено описание MSIL/Twebot.B.
Управление ботнетом через твиттер — идея не новая, и прошлым летом она уже была реализована в виде концепта, но в нынешнем случае авторы пошли дальше и развили ее в нечто большее. Набор управляющих команд довольно разнообразен:
.VISIT (.VISIT*link.com*) – позволяет посетить указанный URL. Если в конце стоит 1, тогда окно браузера будет видимым, а если 0 — окно будет невидимым.
.DDOS (.DDOS*IP*PORT) – осуществляет атаку UDP-flood на указанный адрес и порт.
.SAY (.SAY*any text) – позволяет произнести на подконтрольном компьютере указанную фразу с использованием технологии Microsoft Text-To-Speech Engine.
.DOWNLOAD (.DOWNLOAD*link.com/malware.exe*) – если в конце стоит 1 — скачивает и запускает файл по указанному URL, если 0 — файл не запускается.
.STOP — останавливает активность ботов в независимости от текущих заданий.
.REMOVEALL – заставляет ботов прекратить любую активность и не обращаться к командному центру до следующей перезагрузки.
Генератор ботов реализован на Visual Basic .NET и требует установленного .NET Framework для своего выполнения.
Для противодействия обратному анализу генератор ботов и сами сгенерированные боты обфусцированы.
В секции ресурсов генератора бота можно увидеть интересную информацию, которая идентифицирует псевдоним автора Korrupt.
Еще интереснее тот факт, что в каждом сгенерированном боте существует жестко прошитая учетная запись @Korrupt, которая тоже может управлять ботами, несмотря на другие командные центры, указанные при генерации.
На данный момент бот может привязываться только к публичным твиттер-акаунтам, которые доступны в поиске через стандартный интерфейс. Так как команды никак не маскируются, их легко обнаружить.
На сегодняшний день, это тоже некоторый концепт, но с уже явно вредоносным потенциалом. Такой подход к управлению ботнетом удобен для злоумышленников по многим причинам, но главное — это маскировка бота под работу твиттер-клиента и мобильность.
Update:
Вчера вечером у нас появилась новая модификация данного троянца — MSIL/Twebot.B. На этот раз автор добавил перед запуском генератора ботов вывод лицензионного соглашения, в котором он явно дает понять то, что перед пользователем концепт, и разработчик не несет ответственности за его использование.
Также автором был в значительной степени был переработан графический интерфейс генератора ботов. Теперь можно изменить гораздо больше параметров, отвечающих за взаимодействие комадного центра и самого бота.
