Na przestrzeni ostatnich kilku lat na swoich prelekcjach dotyczących sieci botnet opowiadaliśmy o sposobie komunikacji botnetu opartej o topologię przyszłości, czyli taką, która wykorzystuje dostępne systemy informacyjne i komunikacyjne. Udaje użytkowników rozmawiających za pomocą komunikatorów, wysyła komentarze do blogów i działa w taki sposób aby jak najbardziej przypominać działanie zwykłego użytkownika. Jak się okazuje, został odkryty botnet wykorzystujący do komunikacji największy na świecie serwis mikroblogerski – Twitter.
Jose Nazario z firmy Arbor opisał na swoim blogu jak wpadł na trop takiej komunikacji. Samo działanie bota było proste. Za pomocą funkcjonalności RSS pobierał informacje na temat najnowszych poleceń i danych. Polecenia te, zakodowane były za pomocą algorytmu BASE64, który po odkodowaniu odnosił się do linku w serwisie skracającym bit.ly, aby następnie kierować do serwisu umożliwiającego wklejanie treści tekstowych pastebin.com. Drugi zakodowany za pomocą BASE64 link zawierał archiwum PKZIP, które zawierało spakowane za pomocą pakera UPX pliki, które okazały się być trojanem wykradającym informacje z systemów zarażonych użytkowników.
Bot był wykrywany (przed rozpakowaniem) w serwisie VirusTotal na poziomie 19/41 (46.34%), a po rozpakowaniu na poziomie 9/41 (21.95%). Okazało się także, że bot wykorzystywał inny serwis do komunikacji jaiku.com. Statystyki serwisu Twitter dla tego profilu wykazały, że strona została odwiedzona kilkaset razy, głównie z terenu Brazylii. Jest pięknie :]
Jeden komentarz do
21 sierpnia, 2009 o godzinie 14:17
Tylko patrzeć, jak boty zaczną sobie zakładać konta na n-k. ;)