Twitter als Command-and-Control-Server eines Botnets

Ein Botnet über ein Handy steuern ist schon längst Realität. Es gibt auch Fälle, bei denen ein Botnet über Jabber gesteuert wurde. Vor einigen Jahren war es bei den Übeltätern beliebt zu diesem Zweck das IRC-Protokoll zu verwenden. Vor Kurzem hat der Antivirus-Hersteller Eset ein interessantes Programm entdeckt, der Bot-Generator MSIL/Twebot.A. Dieses Programm verlinkt die Bots mit einem Botnet-Operator über ein Twitter-Account, von dem aus das Botnet gesteuert wird.



Beschreibung...

Die Idee ein Botnet über Twitter zu steuern ist nicht neu, sie wurde schon letzten Sommer als Konzept realisiert. Diesmal gingen die Entwickler weiter, da die Steuerungsbefehle um einiges vielseitiger programmiert wurden:

.VISIT (.VISIT*link.com*) - Erlaubt es die betreffende URL zu öffnen. Wenn am Ende eine 1 steht, dann wird das Browserfenster sichtbar, falls eine 0 am Ende steht, dann wird das Fenster versteckt.

.DDOS (.DDOS*IP*PORT) - Führt einen UDP-Flood-Angriff auf die angegebene Adresse und Port aus.

.SAY (.SAY*any text) - Damit wird der angegebene Text mithilfe von Microsoft Text-To-Speech Engine ausgesprochen

.DOWNLOAD (.DOWNLOAD*link.com/malware.exe*) - Wenn am Ende eine 1 steht, dann wird die betreffende Anwendung heruntergeladen und ausgeführt, falls 0 am Ende steht, dann nur heruntergeladen

.STOP - Beendet die Bot-Aktivität unabhängig von den laufenden Aufgaben

.REMOVEALL – lässt die Bots jegliche Aktivität einstellen und unterbindet den Kontakt zum Command-and-Control-Server bis zum nächsten Neustart.

Der Bot-Generator wurde mit Visual Basic .NET entwickelt und es ist .NET Framework notwendig um den zu starten.



Um der rückwärtigen Analyse entgegenzutreten bedienen sich die generierten Bots, sowie der Generator selbst, eines Obfuscators.



Unter den Eigenschaften des Generators verbirgt sich eine interessante Information, nämlich das Pseudonym des Programmierers: Korrupt.



Interessant ist außerdem, dass in jedem Bot ein Login @Korrupt programmiert wurde, über den man ebenfalls den Bot steuern kann, unabhängig von den anderen Command-and-Control-Servern. Zur Zeit kann der Bot nur mit einem öffentlichen Twitter-Account verlinkt werden und da die Befehlszeilen sichtbar sind, lassen sich solche Bots einfach über die Suchfunktion im Standard-Interface des Twitters entdecken.



Zu diesem Zeitpunkt ist es eines von vielen Konzepten, jedoch schon jetzt mit einem offensichtlich gefährlichen Potential. So eine Steuerung eines Botnets ist für Übeltäter aus vielen Gründen vorteilhaft, hauptsächlich durch die Tarnung der Bots als Twitter-Client (Firewalls können ausgetrickst werden) und durch die Mobilität.

Es ist bereits eine neue Modifikation dieses Trojaners entdeckt worden, nämlich MSIL/Twebot.B. Diesmal hat der Programmierer vor der Inbetriebnahme des Generators eine Lizenzvereinbarung eingefügt, mit der er deutlich zu verstehen gibt, dass es nur ein Konzept ist und, dass der Entwickler keine Verantwortung für die Folgen der Benutzung trägt.



Des weiteren wurde das UI des Bot-Generators erheblich überarbeitet. Jetzt kann man viel mehr Parameter einstellen, die das Zusammenwirken zwischen Bots und dem Generator beeinflussen.