وجد أحد الباحثين شبكة آلية تستخدم توتير كمركز سيطرة و تحكم. تقوم هذه الشبكة باستخدام حالة الرسائل Status Message في ارسال مجموعة من العناوين إلى المتصل . هذه العناوين تحتوي على أوامر جديدة أو برامج تشغيلية للتحميل والتشغيل في عملية سرقة للمعلومات.
الحساب المشبوه على توتير
كما هو واضح في الصورة أعلاه. ملف عادي لعضو في توتير. ولكن الغير العادي هو الرموز التي تحتويها صفحة العضو. لنلقي نظرة على تفسير هذه الرموز. من الواضح أن الترميز المستخدم هو base64 لفك الترميز نقوم بالآتي:
$ echo "aHR0cDovL2JpdC5seS9SNlNUViAgaHR0cDovL2JpdC5seS8yS29Ibw==" | openssl base64 -d
hxxp://bit.ly/R6STV hxxp://bit.ly/2KoHo
الوصلتان أعلاه لا تعملان الآن ولكن قبل أن تتوقفا عن العمل كانت إحداهما تظهر نص مرمّز بالكامل باستخدام base64. باستخدام الطريقة أعلاه ولكن على ملف يظهر ملف مضغوط PKZIP نقوم بتخزين الملف بأي امتداد الباحث اختار الامتداد .qqq بعدها نقوم بمحاولة فك الضغط والتي اسفرت عن الآتي:
$ unzip out.qqq
Archive: out.qqq
inflating: gbpm.dll
inflating: gbpm.exe
$ openssl md5 gbpm.*
MD5(gbpm.dll)= ceb8d7fd74da0a187cc39ced4550ddb4
MD5(gbpm.exe)= a5cc8140e783190efb69d38c2be4393f
الملف ذو الامتداد dll هو ملف مغلّف بواسطة upx يمكن فك تغليف باستخدام upx كالآتي:
$ upx -d gbpm.dll.upx
Ultimate Packer for eXecutables
Copyright (C) 1996 - 2008
UPX 3.03 Markus Oberhumer, Laszlo Molnar & John Reiser Apr 27th 2008
.
File size Ratio Format Name
-------------------- ------ ----------- -----------
263680 <- 103424 39.22% win32/pe gbpm.dll.upx
.
Unpacked 1 file.
الملف يبدو أنّه سارق للمعلومات يمكن الاستدلال على ذلك من خلال احتواءه على قائمة بالعناوين التي يقوم بالارسال إليها
hxxp://64.79.197.110/friends/alert/new.php
hxxps://www2.bancobrasil.com.br/aapf/login.jsp?aapf.IDH=sim
hxxp://64.79.197.110/friends/post.php
hxxps://www2.bancobrasil.com.br/aapf/
hxxps://www2.bancobrasil.com.br/aapf/
تحذير: بعض هذه العناوين لا تعمل الان. لا تحاول زيارة هذه العناوين إذا كنت لا تدري ما الذي تريده من زيارتها لأنها قد تسبب في تحميل برمجيات ضارة على حاسوبك أو في بعض الأحيان إلى اطلاق هجمة حجب خدمة على العنوان الذي قدمت منه (حصلت مع عدّة أشخاص في حالات أخرى لذلك اقتضى التنويه).
الملف ذو الامتداد التشغيل exe تم تغليف باستخدام حزمة تغليف أخرى, قابيلة اكتشاف برامج مكافحة الفيروسات له ضعيفة كما هو واضح في هذا التقرير.
العضو نفسه صاحب الحساب المشبوه قام بانشاء حسابات أخرى للغرض نفسه على شبكات أخرى.
حساب آخر مشبوه على شبكة أخرى
المصدر
http://asert.arbornetworks.com/2009/08/twitter-based-botnet-command-channel/
فعلاً
قمة في الدهاء !!!!!!!!!!
بارك الله بك على التحليل الرائع !!! جميل جداً
حيّاك الله أخي GNOM ومرحباً بك في المدونة.
موفق في التحليل اخي العزيز ,
صادفت الكثير من الاكواد المشفرة على موقع توتير , والان عرفت ماهي تلك الاكواد ألخبيثة
حيّاك الله أخي الكريم.
خذ حذرك في التّصفح سواء في توتير أو فايس بوك فالشبكات الإجتماعية كهذه هي حالياً في دائرة الاستهداف.
الله يعطيكم العافيه على المعلومات القيمه
الله يعافيك أخي mrloong
شكرا يا باحث فعلا أنت رائع ,, أخوك الصغير (أنا) رجع للسكيورتي الحمدلله بعد غياب طويل أنساني كل شئ
إضافة أرجو أن تتقبلها مني
http://www.darknet.org.uk/2009/08/twitter-being-used-as-botnet-command-channel/
حيّاك الله أخي الغالي صبري… يا رجل لا غنى لك عن السكيورتي حتى لم تتخصص فيها. فأنت تدير شبكة وتحتاج إلى معرفة كيف تحميها. اليوم أكثر الهجمات تأتي عبر ال client وليس عبر الاستهداف المباشر للخوادم وهذه في حدّ ذاتها وجع رأس.
إغلاق المنافذ وحده لن يكفي…أعطيك مثال تخيّل أنّك تمسح لرسائل icmp بالدخول إلى الشبكة لديك والخروج منها. أي حركة icmp ستبدو لك طبيعة ماذا لو استغل أحدهم ذلك في تمرير حركة مثل استغلال للثغرات أو بوابة خلفية؟ سوف تحتاج إلى معرفة ذلك.
قرأت بعض كتابتك حول ال IDS و IPS وأعجبت جدّاً بمقالتك في مجلة المجتمع لم أقرأها بالتفصيل ولكن سأفعل ذلك إن شاء الله. كذلك اعجبت بتدويناتك حول ال md5 وبعض خوارزميات التشفير جهد رائع حقيقة فلا تحرمنا منه.
أخيراً جزاك الله خيراً كثيراً على الرابط.