Los expertos en seguridad alertados de una nueva metodología infección peligrosa conocida como el Ataque Twittersploit. En el centro de todo esto es el uso de varios casos de malware que utilizan el servicio de red social Twitter como C&C (mando y control) interfaz de servidor. Los analistas señalan que un patrón de comportamiento complejo se está ejecutando en el momento de la infección.
El malware detrás del ataque Twittersploit
Uno de los primeros casos maliciosos que se utilizan en los ataques se llama CozyCar (también conocido como CozyDuke). Fue utilizado principalmente por el colectivo de piratería APT 2015 a 2015 y representa un marco modular que se puede personalizar de acuerdo con las características únicas de los objetivos en curso. Uno de los aspectos más destacados detrás de esto es el hecho de que el gotero utilizado por este malware lleva a cabo una la protección de sigilo módulo que va a escanear el ordenador infectado por cualquier software y servicios de seguridad que puede interferir con su correcta ejecución. La amenaza CozyCar busca programas anti-virus o entorno de pruebas y si se encuentra el ataque ocultarse y dejar de correr. Esto se hace con el fin de evitar los administradores de sistemas se entere de que ha habido una debilidad en el sistema.
El motor principal está ofuscado con un sistema de cifrado de rotación que hace que sea muy difícil identificar las infecciones. El gotero también utiliza una maliciosa del servicio del sistema rundll32.exe con el fin de ejecutar el componente principal. Tambien es inicie automáticamente una vez que se inicia el equipo, esto se hace a través de Registro de Windows cambios. Se establece como un servicio programado y una tarea programada. El principal método de comunicación con el servidor pirata informático controlado es a través de una conexión normal o una interfaz segura. El software malicioso CozyCar permite al hackers para ejecutar comandos arbitrarios. El otro módulo peligroso asociado a él es el uso de una robo de información mecanismo. Se puede cosechar ambas credenciales almacenadas en el sistema operativo y ciertas aplicaciones y servicios instalados por los usuarios.
El siguiente software malicioso utilizado en el ataque se llama HAMMERTOSS y está hecho por el mismo colectivo. Una de las características únicas detrás de él es que descarga sus módulos asociados de varias fuentes web como Twitter y GitHub. El binario principal contiene una función que genera un mango Twitter diferente para las comprobaciones realizadas. El gotero utiliza una conexión segura con el fin de conectarse a los servicios de hackers controlado. Al igual que el caso anterior se ofusca en sí en los archivos de imagen. En lugar de la carrera cmd.exe común comandos utiliza HAMMERTOSS Potencia Shell, permitiendo que los hackers detrás de los ataques a ejecutar scripts complejos. El análisis de la seguridad se ha identificado que el motor utiliza una protocolo de encriptación personalizada. Todos los archivos capturados se cargan primero en Hacker-controlados (o secuestrado) plataformas de almacenamiento nube web. A partir de ahí se puede recuperar más tarde.
El MiniDuke el malware utilizado por APT en el período 2010-2015 consiste principalmente de los descargadores y componentes de puerta trasera. Es una herramienta eficaz para la implementación de una variedad de amenazas - de ransomware a troyanos y rootkits. Es interesante observar que implementa una canal de retorno utilizado para identificar el C&Servidores C. Si los alojados en Twitter no responden a continuación, el malware MiniDuke se disparará automáticamente una consulta de búsqueda de Google con contenido específico que pueda identificarlos. Esto hace que el ataque Twittersploit particularmente eficaz. Cuando la descarga de puertas traseras en los sistemas infectados están cifradas en archivos GIF.
El último módulo utilizado en los ataques se llama OnionDuke, fue utilizado como una carga útil primaria durante varias campañas que ocurre en 2013-2015. Las conexiones cifradas, así como la descarga de diversas cargas útiles de las máquinas. El malware es capaz de publicar los mensajes de manera automática al sitio de medios de comunicación social VKontakte. Su función principal es la de extraer las credenciales y la información privada.
Consecuencias del ataque Twittersploit
Una de las principales razones por las cuales el ataque Twittersploit es particularmente eficaz en la causa de muchas infecciones. El método supera las listas negras tradicionales de URLs de hackers controlado. Para bloquear de manera efectiva los ataques se producen a partir de los administradores de la red tendrá que bloquear el acceso a la red social Twitter.
comunicaciones cifradas son difíciles de rastrear y analizar. El hecho de que las comunicaciones de Twitter pueden utilizar varios mangos muestra que un motor complejo ha sido programada. Comunicaciones por lo general sigue un modelo establecido de comandos bidireccionales. Una táctica común es dar a conocer por primera vez la infección y luego escuchar en cualquier orden para. Un código de prueba de concepto que muestra una implementación uso de estas herramientas es fácil de hacer y es posible por actores maliciosos en cualquier nivel de habilidad, siempre y cuando tengan acceso a las herramientas APT.
El ataque Twittersploit es una solución eficaz para llevar a cabo las infecciones complejas. El hecho de que todas las herramientas principales están siendo utilizados por el grupo APT muestra que no hay intención criminal claro en su uso. Sin tener en cuenta la red de entrega inicial una intrusión exitosa se puede utilizar para entrometerse redes enteras a la vez. Teniendo en cuenta los recursos y utilizar las funciones de los diversos programas maliciosos disponibles se pueden utilizar para extraer información sensible y el despliegue de otros virus.
Martin Beltov
Martin se graduó con un título en Edición de la Universidad de Sofía. Como un entusiasta de la seguridad cibernética que le gusta escribir sobre las últimas amenazas y mecanismos de intrusión.
Sígueme: