mboost-dp1

flickr - jose_

Botnet styres via Twitter

- Via Arbor Networks - , redigeret af Pernicious

Jose Nazario, en sikkerhedsekspert hos firmaet Arbor Networks, har gjort lidt af en opdagelse, da han undersøgte et botnet i sømmene – han fandt ud af, at botnettet styres via Twitter-beskeder.

Gennem Twitter-beskeder på en bestemt konto får de enkelte bots kommandoer, de skal udføre, f.eks. hvilke data de skal sende tilbage, eller programmer de skal hente og køre.

Nazario fulgte de links, den oprindeligt installerede bot prøvede at tilgå. Dette førte til en DLL-fil med en ny virus, som prøvede at stjæle bankinformationer og sende dem tilbage til bagmændene, som formodes at være af brasiliansk oprindelse, da det var banker fra Brasilien, virussen prøvede at opsnappe informationer om.

Twitter-kontoen med kommandoerne kører stadig, men er nu under overvågning af Twitter.





Gå til bund
Gravatar #1 - webwarp
14. aug. 2009 07:00
Det er da vist kun for pral at det løses sådan :=)
Gravatar #2 - TuxDK
14. aug. 2009 07:02
#1

At hvad løses hvordan?
Gravatar #3 - Kan.Du.Huske.Hvem.Jeg.Var
14. aug. 2009 07:09
Update:
http://twitter.com/suspended skrev:
Sorry, the account you were headed to has been suspended due to strange activity. Mosey along now, nothing to see here.
Gravatar #4 - arrogant
14. aug. 2009 07:10
Det ligner base64 kodning på det SS, så det burde vel ikke være så svært at oversætte det til noget brugbart.

Hvis jeg læser den ene linje korrekt (aHR0CDovL2JpdC5seS83UGFEQQ==) bliver den oversat til htt://bit.ly/7PaDA, så jeg har nok ikke læst den linje korrekt, (nogen som har et SS, hvor man faktisk kan læse det hele?) men det giver da et klart indtryk af hvilken kommandoer de har fået.
Gravatar #5 - arrogant
14. aug. 2009 07:14
Meh, havde ikke lige fuldt kilden og set det var oversat :P
Men det var jo også kun base64, det kan enhver nørd med 2 sekunder finder en decoder til på google.

/offtopic:
Er der andre som ikke kan rette deres indlæg, når de bruger chrome? det virker desværre ikke for mig, selvom jeg burde have 7 minutter endnu.

dobbelt offtopic:
Kan åbenbart godt rette dette indlæg, så jeg er vist bare stiv!
ses på havnen
Gravatar #6 - Zeales
14. aug. 2009 07:58
Der har da også været Bot Net's det er blevet kontrolleret fra MySpace kontoer, så det kommer ikke som en overraskelse, desværre.
Gravatar #7 - salva
14. aug. 2009 08:01
#4 arrogant skrev:
Hvis jeg læser den ene linje korrekt (aHR0CDovL2JpdC5seS83UGFEQQ==) bliver den oversat til htt://bit.ly/7PaDA, så jeg har nok ikke læst den linje korrekt,


bit.ly er en tjeneste til at forkorte længere internetadresser, så man kan skrive dem i korte beskedtjenester som fx Twitter.

http://bit.ly/7PaDA er så en kommendo, til at aktivere et eller anden lang internetadresse - men jeg vil sku ikke trykke :-)
Gravatar #8 - eliassorensen
14. aug. 2009 08:08
I kan se cache her: http://209.85.229.132/search?q=cache:b4n8OT6ilREJ:... :)

*edit*
Og det sidst postede tweet er et bit.ly link der linker til en .txt fil med en masse kode i som nok kan behandles af botten :)
Gravatar #9 - thorjak
14. aug. 2009 08:21
#7
http://bit.ly/info/7PaDA
Statestic på linket, og hvor det fører hen.
bare rolig i kommer selvfølgelig ikke hen hvor bit.ly linket peger på, men i kan se hvor mange der har været der på osv.
Gravatar #10 - eliassorensen
14. aug. 2009 08:25
Indholdet af bit.ly linket er endnu noget base64-encoded kode som når bliver decoded ligner noget compilet kode som kan behandles af botten ;)
Gravatar #11 - Y-Ninja
14. aug. 2009 09:19
Jeg har sat min facebookprofil op til automatisk at fjerne "venner" der skriver ting ala "/me skal ud i køkkenet for at hente kaffe" eller "/me er tilbage fra køkkenet med nylavet kaffe"... Så der er ikke langt endnu før jeg har mit eget botnet der sletter alle brugers venner fra facebook juleaften. Muhaha!
Gravatar #12 - Trogdor
14. aug. 2009 12:31
Det er da totalt upraktisk og nemt at lukke ned.
Gravatar #13 - rmariboe
14. aug. 2009 20:21
#12 << Medmindre den har tusindemillioner Twitterkonti at lure på - og hele tiden får nye :)
Gravatar #14 - jeppester
14. aug. 2009 21:33
Kunne være fedt hvis de brugte twittersiden til at kommandere botnettet til at fjerne sig selv :D
Gravatar #15 - sseleman
14. aug. 2009 21:51
Twitter-kontoen med kommandoerne kører stadig, men er nu under overvågning af Twitter


Hvad hjælper det? Hvis det er posted som en nyhed her, så ved bagmændene synsynligvis at deres botnet er busted og de har nulstillet al forbindelse.
Gravatar #16 - ysangkok
15. aug. 2009 12:16
#9, du er vist lidt paranoid. Følg linket, det er ganske uskadeligt. På Twitter info siden kan du jo se hvilket domæne det er, og du kan google det og se at det ikke er evil. Med en ordentligt browser burde det alligevel ikke gøre nogen forskel om du klikkede linket. Desuden er adresserne jo bare instruktioner, og ikke virusser i sig selv.

#10, som du kan se af de forrige posts er det en Base64-encoded URL og ikke andet.

#14, præcis. Dette er jo oplagt. Jeg gad godt vide hvorfor de ikke gjorde det fra Twitters side af.
Gravatar #17 - thorjak
15. aug. 2009 15:40
#16
Er ikke paranoid, sad på arbejdet så havde ikke lyst til at prøve lykken.
Havde ikke læst kilden, da jeg var på arbejde, og kun til information til de der gerne ville se mere.

Adressen kunne indeholde hvad som helst, hvis bagmanden kunne ændre det i takt med at flere og flere blev intraseret.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login