Gli esperti di sicurezza avvisato di una nuova metodologia pericolosa infezione conosciuta come l'attacco Twittersploit. Al centro di tutto questo è l'uso di diversi casi di malware che utilizzano il servizio di social network Twitter come C&C (comando e controllo) interfaccia del server. Gli analisti notare che un modello di comportamento complesso viene eseguito sul momento dell'infezione.
Il malware dietro l'attacco Twittersploit
Uno dei primi casi maligni che vengono utilizzati negli attacchi si chiama CozyCar (conosciuto anche come CozyDuke). E 'stato utilizzato in primo luogo dal collettivo di hacking per APT 2015 a 2015 e rappresenta una struttura modulare che può essere personalizzata in funzione delle caratteristiche uniche dei bersagli in corso. Uno dei punti forti dietro di esso è il fatto che il contagocce usato da questo malware esegue una protezione invisibile Modulo che la scansione del computer infetto per qualsiasi software e dei servizi di sicurezza che possono interferire con la sua corretta esecuzione. La minaccia CozyCar cerca i programmi anti-virus o ambiente sandbox e se ne trova l'attacco sarà nascondere se stessa e smettere di correre. Questo viene fatto al fine di evitare agli amministratori di sistema da scoprire che v'è stata una debolezza nel sistema.
Il motore principale è offuscato con un cifrario rotante che rende molto difficile identificare le infezioni. Il contagocce utilizza anche un dannoso del servizio di sistema rundll32.exe al fine di eseguire il componente principale. È altresì avviato automaticamente una volta che il computer si avvia, questo viene fatto tramite Registro di Windows i cambiamenti. E 'impostato come un servizio di linea e un'operazione pianificata. Il principale metodo di comunicazione con il server degli hacker-controllato è tramite una connessione normale o un'interfaccia sicura. Il malware CozyCar permette al hacker di eseguire comandi arbitrari. L'altro modulo pericoloso associato con esso è l'uso di un informazioni rubare meccanismo. Può raccogliere entrambe le credenziali memorizzate nel sistema operativo e alcune applicazioni e servizi installati da parte degli utenti.
Il malware prossimo utilizzata durante l'attacco si chiama HAMMERTOSS ed è realizzato dalla stessa collettiva. Una delle caratteristiche uniche dietro di esso è che venga scaricato i suoi moduli associati da varie risorse web come Twitter e GitHub. Il binario principale contiene una funzione che genera una diversa maniglia Twitter per i controlli effettuati. Il contagocce utilizza una connessione protetta al fine di collegare ai servizi di hacker-controllato. Come la precedente istanza esso si offusca in file di immagini. Invece dal comune cmd.exe comandi utilizza HAMMERTOSS PowerShell, permettendo gli hacker dietro gli attacchi di eseguire script complessi. L'analisi della sicurezza ha identificato che il motore utilizza un protocollo di cifratura su misura. Tutti i file catturati vengono prima caricati degli hacker-controllati (o dirottato) piattaforme di storage di cloud web. Da lì si può recuperare in un secondo momento.
Il MiniDuke malware utilizzato da APT nel periodo 2010-2015 costituita principalmente da downloader e componenti backdoor. Si tratta di uno strumento efficace per la distribuzione di una vasta gamma di minacce - dal ransomware a trojan e rootkit. La sua interessante notare che implementa un canale di fallback utilizzato per identificare la C&Server C. Se quelli ospitati su Twitter non rispondono quindi il malware MiniDuke attiverà automaticamente una query di ricerca Google utilizzando contenuti specifici che possono identificare. Questo rende l'attacco Twittersploit particolarmente efficace. Quando si scaricano backdoor ai sistemi infetti vengono crittografati in file GIF.
L'ultimo modulo utilizzato negli attacchi si chiama OnionDuke, è stato usato come un carico utile primario durante vari verificano in campagna 2013-2015. Le connessioni crittografate così come il download vari carichi utili alle macchine. Il malware è in grado di inviare messaggi in modo automatico al sito di social media VKontakte. La sua funzione principale è quella di estrarre le credenziali e le informazioni private.
Conseguenze della attacco Twittersploit
Uno dei motivi principali per cui l'attacco Twittersploit è particolarmente efficace nel causare molte infezioni. Il metodo supera le liste nere tradizionali di URL di hacker controllata. Per bloccare in modo efficace gli attacchi che si verificano gli amministratori di rete dovranno bloccare l'accesso al social network Twitter.
comunicazioni cifrate sono difficili da rintracciare e analizzare. Il fatto che le comunicazioni di Twitter possono utilizzare più maniglie mostra che un motore complesso è stato programmato. Comunicazioni di solito segue un modello stabilito di comandi bidirezionali. Una tattica comune è quello di riferire prima l'infezione e poi ascoltare a tutti i comandi. Un codice proof-of-concept dimostra che un'implementazione utilizzo di questi strumenti è semplice da fare e possibile da attori maligni a qualsiasi livello di abilità, purché abbiano accesso agli strumenti APT.
L'attacco Twittersploit è una soluzione efficace per l'esecuzione infezioni complesse. Il fatto che tutti i principali strumenti vengono utilizzati dal gruppo APT dimostra che esiste dolo chiari nel loro uso. Senza riguardo alla rete di distribuzione iniziale di un'intrusione di successo può essere usato per introdursi in reti intere in una sola volta. Date le risorse e le funzioni d'uso del malware vari disponibili possono essere utilizzati per l'estrazione di informazioni sensibili e la distribuzione di altri virus.
Martin Beltov
Martin si è laureato con una laurea in Pubblicazione da Università di Sofia. Come un appassionato di sicurezza informatica si diletta a scrivere sulle ultime minacce e meccanismi di intrusione.
Seguimi: