Especialistas em segurança alertados sobre uma nova metodologia de infecção perigosa, conhecida como Twittersploit Attack. No centro de tudo está o uso de várias instâncias de malware que usam o serviço de rede social do Twitter como um C&C (comando e controle) interface do servidor. Os analistas observam que um padrão de comportamento complexo está sendo executado no momento da infecção.
O malware por trás do ataque do Twittersploit
Uma das primeiras instâncias maliciosas que são usadas nos ataques é chamada CozyCar (também conhecido como CozyDuke). Foi usado principalmente pelo coletivo de hackers APT de 2015 para 2015 e representa uma estrutura modular que pode ser personalizada de acordo com as características únicas dos alvos em andamento. Um dos destaques por trás disso é o fato de que o conta-gotas usado por este malware realiza um proteção discrição módulo que fará a varredura do computador infectado por qualquer software de segurança e serviços que possam interferir em sua execução correta. A ameaça CozyCar procura programas antivírus ou ambiente sandbox e, se algum for encontrado, o ataque se ocultará e parará de funcionar. Isso é feito para evitar que os administradores de sistema descubram que existe uma fraqueza no sistema.
O motor principal é ofuscado por uma cifra giratória que torna muito difícil identificar as infecções. O dropper também usa um serviço malicioso do sistema rundll32.exe para executar o componente principal. Isso é também iniciado automaticamente uma vez que o computador inicializa, isso é feito via Registro do Windows alterar. É definido como um serviço agendado e uma tarefa agendada. O principal método de comunicação com o servidor controlado por hacker é por meio de uma conexão normal ou uma interface segura. O malware CozyCar permite que hackers para executar comandos arbitrários. O outro módulo perigoso associado a ele é o uso de um roubo de informação mecanismo. Ele pode colher as credenciais armazenadas no sistema operacional e certos aplicativos e serviços instalados pelos usuários.
O próximo malware usado no ataque é chamado HAMMERTOSS e é feito pelo mesmo coletivo. Um dos recursos exclusivos por trás dele é que ele baixa seus módulos associados de vários recursos da web, como Twitter e GitHub. O binário principal contém uma função que gera um identificador de Twitter diferente para as verificações realizadas. O dropper usa uma conexão segura para se conectar aos serviços controlados por hackers. Como na instância anterior, ele se ofusca em arquivos de imagem. Em vez do cmd.exe comum, execute comandos que o HAMMERTOSS utiliza PowerShell, permitindo que os hackers por trás dos ataques executem scripts complexos. A análise de segurança identificou que o mecanismo usa um protocolo de criptografia personalizado. Todos os arquivos capturados são enviados primeiro para um computador controlado por hacker (ou sequestrado) plataformas de armazenamento em nuvem da web. A partir daí, eles podem recuperá-lo mais tarde.
o MiniDuke malware usado pela APT no período 2010-2015 consiste principalmente em downloaders e componentes backdoor. É uma ferramenta eficiente para implantar uma variedade de ameaças - de ransomware a Trojans e rootkits. É interessante notar que ele implementa um canal de reserva usado para identificar o C&servidores C. Se os hospedados no Twitter não responderem, o malware MiniDuke acionará automaticamente uma consulta de pesquisa do Google usando conteúdo específico que pode identificá-los. Isso torna o ataque Twittersploit particularmente eficaz. Ao baixar backdoors para os sistemas infectados, eles são criptografados em arquivos GIF.
O último módulo usado nos ataques é chamado OnionDuke, foi usado como carga útil primária durante várias campanhas ocorrendo em 2013-2015. As conexões criptografadas, bem como o download de várias cargas úteis para as máquinas. O malware é capaz de postar mensagens de maneira automatizada no site de mídia social VKontakte. Sua principal função é extrair credenciais e informações privadas.
Consequências do ataque Twittersploit
Uma das principais razões pelas quais o ataque do Twittersploit é particularmente eficaz em causar muitas infecções. O método supera as listas negras tradicionais de URLs controlados por hackers. Para bloquear efetivamente a ocorrência de ataques, os administradores de rede terão que bloquear o acesso à rede social Twitter.
As comunicações criptografadas são difíceis de rastrear e analisar. O fato de que as comunicações do Twitter podem usar vários identificadores mostra que um mecanismo complexo foi programado. As comunicações geralmente seguem um modelo estabelecido de comandos bidirecionais. Uma tática comum é primeiro relatar a infecção e, em seguida, escutar quaisquer comandos. Um código de prova de conceito mostra que uma implementação usando essas ferramentas é simples de fazer e possível por agentes mal-intencionados em qualquer nível de habilidade, contanto que eles tenham acesso às ferramentas APT.
O ataque Twittersploit é uma solução eficaz para a realização de infecções complexas. O fato de todas as ferramentas principais estarem sendo usadas pelo grupo APT mostra que há uma clara intenção criminosa em seu uso. Sem considerar a rede de distribuição inicial, uma invasão bem-sucedida pode ser usada para invadir redes inteiras de uma vez. Dados os recursos e funções disponíveis, o uso de vários malwares pode ser usado para extrair informações confidenciais e implantar outros vírus.
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: