Sikkerhedseksperter advaret af en farlig ny infektion metode kendt som Twittersploit Attack. I centrum af det hele er brugen af flere malware instanser, der bruger Twitter sociale netværkstjeneste som en C&C (kommando og kontrol) server grænseflade. Analytikerne bemærker, at et komplekst adfærdsmønster bliver eksekveret på infektionstidspunktet.
Den Malware Bag Twittersploit Attack
En af de første ondsindede instanser, der bruges i angrebene kaldes CozyCar (også kendt som CozyDuke). Det blev brugt primært af APT hacking kollektive fra 2015 til 2015 og repræsenterer en modulær ramme, der kan tilpasses i henhold til de unikke egenskaber ved de igangværende mål. Et af højdepunkterne bag det er, at det dropper bruges af denne malware udfører en stealth beskyttelse modul, som vil skanne den inficerede computer til enhver sikkerhedssoftware og tjenester, der kan forstyrre dens korrekte udførelse. Den CozyCar trussel ser for anti-virus programmer eller sandkasse miljø, og hvis der findes nogen angrebet vil skjule sig selv og stoppe med at køre. Dette gøres for at undgå systemadministratorer fra at finde ud af, at der har været en svaghed i systemet.
Hovedmotoren er korrumperet med en roterende cipher som gør det meget svært at identificere infektioner. Den dropper anvender også en ondsindet af rundll32.exe systemets tjeneste med henblik på at udføre den vigtigste komponent. Det er også automatisk i gang når computeren starter, dette sker via Registry Windows ændringer. Det ligger som en planlagt service og en planlagt opgave. Den vigtigste metode til overføring til hacker-kontrollerede server er via en normal tilslutning eller en sikker grænseflade. Den CozyCar malware tillader hackere at udføre vilkårlige kommandoer. Den anden farlig modul forbundet med det er brugen af en informations stjæler mekanisme. Det kan høste både legitimationsoplysninger gemt i operativsystemet og visse applikationer og tjenester, der er installeret af brugerne.
Den næste malware brugt i angrebet kaldes HAMMERTOSS og er lavet af den samme kollektive. En af de unikke funktioner bag det er, at det henter de tilknyttede moduler fra forskellige web ressourcer såsom Twitter og GitHub. Den vigtigste binære indeholder en funktion, genererer en anden Twitter håndtag for de udførte kontroller. Den dropper bruger en sikker forbindelse for at forbinde til hacker-kontrollerede tjenester. Ligesom den tidligere instans det obfuscates sig i billedfiler. I stedet for den fælles cmd.exe køre kommandoer HAMMERTOSS udnytter PowerShell, tillader hackere bag angrebene til at udføre komplekse scripts. Sikkerheden analyse har identificeret, at motoren bruger en brugerdefinerede krypteringsprotokol. Eventuelle tilfangetagne filer først uploadet til hacker-kontrollerede (eller kapret) web cloud storageplatforme. Derfra på de kan hente det senere.
Den MiniDuke malware anvendes af APT i perioden 2010-2015 består primært af downloaders og bagdør komponenter. Det er et effektivt værktøj til at udsende en række trusler - fra ransomware til trojanere og rootkits. Dens interessant at bemærke, at den implementerer en fallback kanal anvendes til at identificere C&C-servere. Hvis dem, der hostes på Twitter ikke reagerer så MiniDuke malware automatisk udløse en Google-søgning forespørgsel ved hjælp af specifikke indhold, der kan identificere dem. Dette gør Twittersploit angreb særligt effektivt. Når du henter bagdøre til de inficerede systemer, de er krypterede i GIF-filer.
Det sidste modul anvendes i angrebene kaldes OnionDuke, det blev brugt som en primær nyttelast under flere kampagne forekommer i 2013-2015. De krypterede forbindelser samt downloade forskellige nyttelaster til maskinerne. Den malware er i stand til at sende beskeder i en automatiseret måde til VKontakte sociale medier websted. Det er vigtigste funktion er at udtrække legitimationsoplysninger og private oplysninger.
Konsekvenser af Twittersploit Attack
En af de vigtigste grunde til, at Twittersploit angreb er særlig effektive til at forårsage mange infektioner. Fremgangsmåden overvinder de traditionelle sortlister af hacker-kontrollerede URL'er. For effektivt at blokere angreb fra forekommende de netværksadministratorer bliver nødt til at blokere adgangen til Twitter sociale netværk.
Krypteret kommunikation er vanskelige at spore og analysere. Den omstændighed, at Twitter-kommunikation kan bruge flere håndtag viser, at et kompleks motor er blevet programmeret. Kommunikation følger normalt en etableret model af tovejs kommandoer. En fælles taktik er at først rapportere infektion og derefter lytte i for eventuelle kommandoer. En proof-of-concept-kode viser, at en implementering ved hjælp af disse værktøjer er enkelt at gøre og mulig af ondsindede aktører på enhver sværhedsgrad, så længe de har adgang til de APT værktøjer.
Den Twittersploit angreb er en effektiv løsning til udførelse af komplekse infektioner. Det faktum, at alle de vigtigste værktøjer bliver brugt af APT gruppe viser, at der er klar kriminelle hensigter i deres brug. Uden hensyn til den oprindelige netværk levering en succesfuld indtrængen kan bruges til at trænge hele netværk på én gang. kan bruges I betragtning af de tilgængelige ressourcer og funktioner brug af de forskellige malware til udvinding af følsomme oplysninger og implementering andre vira.
Martin Beltov
Martin dimitterede med en grad i Publishing fra Sofia Universitet. Som en cybersikkerhed entusiast han nyder at skrive om de nyeste trusler og mekanismer indbrud.
Følg mig: