Security experts gewaarschuwd van een gevaarlijke nieuwe infectie methodologie die bekend staat als de Twittersploit Attack. In het midden van dit alles is het gebruik van verschillende malware exemplaren dat de Twitter sociale netwerkdienst te gebruiken als een C&C (commando en controle) server-interface. De analisten er rekening mee dat een complex gedragspatroon wordt uitgevoerd op het moment van de infectie.
De Malware Achter de Twittersploit Attack
Een van de eerste kwaadaardige exemplaren die worden gebruikt bij de aanslagen wordt genoemd CozyCar (ook bekend als CozyDuke). Het werd voornamelijk gebruikt door de APT hacking collectief uit 2015 aan 2015 en vertegenwoordigt een modulaire structuur die kan worden aangepast aan de unieke kenmerken van de huidige doelen. Een hoogtepunt erachter is dat de druppelaar die door dit malware voert een stealth bescherming module die de geïnfecteerde computer voor eventuele beveiligingssoftware en diensten scant die kunnen interfereren met de correcte uitvoering. De CozyCar bedreiging ziet voor anti-virus programma's of sandbox-omgeving en als ze gevonden worden zal de aanval zelf verbergen en stoppen. Dit wordt gedaan om systeembeheerders te voorkomen van het vinden dat er een zwakke plek in het systeem is.
De hoofdmotor wordt versluierd met een roterende cipher waardoor het zeer moeilijk om de infectie te identificeren. De pipet gebruikt ook een kwaadwillige van de rundll32.exe systeemdienst teneinde de hoofdcomponent te voeren. Het is ook automatisch gestart zodra de computer wordt opgestart, Dit gebeurt via Windows-register veranderingen. Het ligt als een lijndienst en een geplande taak. De belangrijkste methode van communicatie naar de hacker gecontroleerde server via een normale verbinding of een beveiligde interface. De CozyCar malware kan de hackers om willekeurige commando's. De andere gevaarlijke module die ermee verbonden zijn is het gebruik van een informatie stelen mechanisme. Het kan zowel referenties opgeslagen in het besturingssysteem en bepaalde toepassingen en diensten door de gebruikers geïnstalleerd oogsten.
De volgende malware gebruikt bij de aanval heet HAMMERTOSS en wordt gemaakt door dezelfde collectieve. Eén van de unieke kenmerken erachter is dat het downloadt de bijbehorende modules uit verschillende bronnen op het web, zoals Twitter en GitHub. De belangrijkste binaire bevat een functie genereert een andere Twitter handvat voor de uitgevoerde controles. De druppelaar maakt gebruik van een beveiligde verbinding om verbinding te maken met de hacker gecontroleerde diensten. Net als de vorige instantie is verduistert zich in beeldbestanden. In plaats van de gemeenschappelijke cmd.exe run commando HAMMERTOSS maakt gebruik PowerShell, zodat de hackers achter de aanslagen om complexe scripts. De beveiliging heeft uitgewezen dat de motor maakt gebruik van een custom encryptieprotocol. Elke vastgelegde bestanden worden eerst geüpload naar hacker-gecontroleerde (of gekaapt) web cloud storage platforms. Vanaf dat moment kunnen ze het later op te halen.
Het MiniDuke malware gebruikt door APT in de periode 2010-2015 bestaat voornamelijk uit downloaders en achterdeur componenten. Het is een efficiënt hulpmiddel voor het inzetten van een verscheidenheid van bedreigingen - van ransomware naar Trojaanse paarden en rootkits. Het is interessant om op te merken dat het implementeert een fallback kanaal gebruikt voor het identificeren C&C-servers. Als degenen die gehost wordt op Twitter niet reageert vervolgens zal de MiniDuke malware automatisch leiden tot een Google Search query met behulp van specifieke inhoud die hen kunnen identificeren. Dit maakt de Twittersploit aanslag bijzonder effectief. Bij het downloaden van backdoors om de geïnfecteerde systemen ze versleuteld zijn in GIF-bestanden.
De laatste module gebruikt bij de aanslagen wordt genoemd OnionDuke, het werd gebruikt als een primaire payload gedurende meerdere campagne die zich in 2013-2015. De versleutelde verbindingen evenals het downloaden van diverse ladingen naar de machines. De malware is in staat om het plaatsen van berichten op een geautomatiseerde manier om de VKontakte social media site. Het belangrijkste functie is om extraheren geloofsbrieven en prive-informatie.
Gevolgen van de Twittersploit Attack
Een van de belangrijkste redenen waarom de Twittersploit aanval is bijzonder effectief in het veroorzaken van vele infecties. De werkwijze ondervangt de traditionele zwarte lijsten hacker-gecontroleerde URL. Om effectief te blokkeren de aanvallen te voorkomen de netwerkbeheerders zal moeten toegang tot de Twitter sociaal netwerk te blokkeren.
Versleutelde communicatie zijn moeilijk op te sporen en te analyseren. Het feit dat de Twitter communicatie meerdere handgrepen kunt gebruiken laat zien dat een complex motor is geprogrammeerd. Communications volgt meestal een vast model van de bi-directionele commando's. Een veelgebruikte tactiek is om eerst de infectie te melden en dan luisteren naar commando's. Een proof-of-concept code toont aan dat een implementatie met behulp van deze tools is eenvoudig te doen en mogelijk door kwaadwillende actoren op elk niveau, zolang ze toegang tot de APT instrumenten hebben.
De Twittersploit aanval is een effectieve oplossing voor het uitvoeren van complexe infecties. Het feit dat alle belangrijke instrumenten worden gebruikt door de APT groep toont aan dat er duidelijk criminele bedoelingen in het gebruik ervan. Zonder te letten op de eerste levering netwerk van een succesvolle inbraak kan worden gebruikt om hele netwerken dringen in een keer. Gezien de beschikbare middelen en functies gebruik van de verschillende malware kan worden gebruikt voor het extraheren van gevoelige informatie en het inzetten van andere virussen.