セキュリティの専門家は、Twittersploit攻撃として知られる危険な新しい感染方法について警告しました. その中心にあるのは、TwitterソーシャルネットワークサービスをCとして使用するいくつかのマルウェアインスタンスの使用です。&C (コマンドと制御) サーバーインターフェース. アナリストは、感染時に複雑な行動パターンが実行されていることに注目しています.
Twittersploit攻撃の背後にあるマルウェア
攻撃で使用される最初の悪意のあるインスタンスの1つはと呼ばれます CozyCar (CozyDukeとしても知られています). これは主にAPTハッキング集団によって使用されました 2015 に 2015 進行中のターゲットの固有の特性に応じてカスタマイズできるモジュラーフレームワークを表します. その背後にあるハイライトの1つは、このマルウェアによって使用されるドロッパーが ステルス保護 感染したコンピューターをスキャンして、正しい実行を妨げる可能性のあるセキュリティソフトウェアやサービスを探すモジュール. CozyCarの脅威は、ウイルス対策プログラムまたはサンドボックス環境を探します。見つかった場合、攻撃はそれ自体を隠して実行を停止します。. これは、システム管理者がシステムに弱点があったことに気付かないようにするために行われます。.
メインエンジンは回転暗号で難読化されているため、感染を特定するのは非常に困難です。. ドロッパーは、主要コンポーネントを実行するために、悪意のあるrundll32.exeシステムサービスも使用します. それも 自動的に開始 コンピュータが起動したら, これは経由で行われます Windowsレジストリ 変更. スケジュールされたサービスとスケジュールされたタスクとして設定されます. ハッカーが制御するサーバーとの主な通信方法は、通常の接続または安全なインターフェースを介したものです。. CozyCarマルウェアは 任意のコマンドを実行するハッカー. それに関連する他の危険なモジュールは、 情報を盗む 機構. オペレーティングシステムに保存されている資格情報と、ユーザーがインストールした特定のアプリケーションやサービスの両方を収集できます。.
攻撃で使用される次のマルウェアは ハンマートス 同じ集団によって作られています. その背後にあるユニークな機能の1つは、TwitterやGitHubなどのさまざまなWebリソースから関連するモジュールをダウンロードすることです。. メインバイナリには、次のような関数が含まれています 実行されたチェックに対して異なるTwitterハンドルを生成します. ドロッパーは、ハッカーが制御するサービスに接続するために、セキュリティで保護された接続を使用します. 前の例のように、それは画像ファイルでそれ自体を難読化します. 一般的なcmd.exe実行コマンドの代わりに、HAMMERTOSSは パワーシェル, 攻撃の背後にいるハッカーが複雑なスクリプトを実行できるようにする. セキュリティ分析により、エンジンが カスタム暗号化プロトコル. キャプチャされたファイルは、最初にハッカーが管理するファイルにアップロードされます (またはハイジャックされた) Webクラウドストレージプラットフォーム. そこから、後で取得できます.
The MiniDuke 期間中にAPTによって使用されたマルウェア 2010-2015 主にダウンローダーとバックドアコンポーネントで構成されています. ランサムウェアからトロイの木馬やルートキットまで、さまざまな脅威を展開するための効率的なツールです。. それが実装していることに注意するのは興味深いです フォールバックチャネル Cを識別するために使用&Cサーバー. Twitterでホストされているものが応答しない場合、MiniDukeマルウェアはそれらを識別できる特定のコンテンツを使用してGoogle検索クエリを自動的にトリガーします. これにより、Twittersploit攻撃が特に効果的になります. 感染したシステムにバックドアをダウンロードすると、GIFファイルで暗号化されます.
攻撃で使用された最後のモジュールはと呼ばれます オニオンデューク, で発生したいくつかのキャンペーン中にプライマリペイロードとして使用されました 2013-2015. 暗号化された接続と、さまざまなペイロードをマシンにダウンロードする. このマルウェアは、VKontakteソーシャルメディアサイトに自動化された方法でメッセージを投稿することができます. 主な機能は クレデンシャルと個人情報を抽出する.
Twittersploit攻撃の結果
Twittersploit攻撃が多くの感染を引き起こすのに特に効果的である主な理由の1つ. この方法は、ハッカーが制御するURLの従来のブラックリストを克服します. 攻撃の発生を効果的にブロックするには、ネットワーク管理者はTwitterソーシャルネットワークへのアクセスをブロックする必要があります.
暗号化された通信は、追跡および分析が困難です. Twitter通信が複数のハンドルを使用できるという事実は、複雑なエンジンがプログラムされていることを示しています. 通信は通常、双方向コマンドの確立されたモデルに従います. 一般的な戦術は、最初に感染を報告してから、コマンドをリッスンすることです。. 概念実証コードは、これらのツールを使用した実装が簡単に実行でき、あらゆるスキルレベルの悪意のある攻撃者によって可能であることを示しています。, APTツールにアクセスできる限り.
Twittersploit攻撃は、複雑な感染を実行するための効果的なソリューションです. すべての主要なツールがAPTグループによって使用されているという事実は、それらの使用に明確な犯罪的意図があることを示しています. 最初の配信ネットワークに関係なく、成功した侵入を使用して、ネットワーク全体に一度に侵入することができます. 利用可能なリソースと機能を考えると、さまざまなマルウェアの使用を使用して、機密情報を抽出したり、他のウイルスを展開したりできます。.
マーティン・ベルトフ
マーティンはソフィア大学で出版の学位を取得して卒業しました. サイバーセキュリティ愛好家として、彼は侵入の最新の脅威とメカニズムについて書くことを楽しんでいます.
フォローしてください: