Botnet a través de Twitter
mayo 14, 2010 3:24 pmA lo largo del tiempo se han conocido muchos casos e incidentes de seguridad donde los actores principales son las botnets, y cuyo proceso de reclutamiento de equipos infectados centra sus esfuerzos en explotar las tecnologías con mayor popularidad, entre las que hemos destacado las redes sociales.
Incluso casos donde la comunicación entre el botmaster y los zombis (C&C) se realiza a través de la red de microblogging más conocida: Twitter. A lo que cabe la pregunta ¿cómo logran los delincuentes automatizar este proceso?
En las últimas horas hemos detectado una aplicación que se encuentra in-the-wild, desarrollada para automatizar la creación de botnets a través de la popular red social. A continuación podemos observar una imagen del constructor detectado por ESET NOD32 como MSIL/Agent.NBW:
Esta es una aplicación muy sencilla diseñada para automatizar la creación de troyanos del tipo bot: el desarrollo de estos programas buscan ser lo más intuitivo posible y crear aplicaciones para principiantes (point-and-clic), como esta, que solo requiere registrar un perfil en Twitter que será utilizado en forma dañina para lanzar los comandos al equipo infectado.
Para construir el malware, el atacante sólo debe indicar el nombre de usuario que mandará las instrucciones a los equipos zombis. El malware que se genera a través de dicho constructor es el código malicioso que, al infectar un sistema, recibirá los comandos lanzados a través del perfil en la red social. Es decir, el atacante podrá controlar los equipos infectados a través de los contenidos que escriba en su perfil de Twitter.
El bot creado posee una serie de comandos básicos que permiten al botmaster interactuar con las computadoras comprometidas. Por ejemplo, entre muchos otros:
- el comando .DDOS*IP*PUERTO realiza un Ataque de Denegación de Servicio Distribuida (DDoS)
- con .DOWNLOAD*ENLACE/MALWARE.EXE se descarga otro código malicioso
- .VISIT*ENLACE abre el enlace en el navegador del usuario
- el comando .REMOVEALL elimina automáticamente la información de la botnet y el perfil de Twitter
Al analizar el código y ver su comportamiento, queda en evidencia que el creador del malware ha cometido algunos errores como publicar su cuenta de Twitter o generar un archivo corrupto dadas ciertas circunstancias. Esto demuestra que esta es una versión que será mejorada en el futuro cercano, abriendo la posibilidad de nuevos tipos de amenazas.
Para graficar mejor el proceso, hemos desarrollado un video educativo donde podrán observar todo el proceso, desde la creación del malware por parte del atacante, la infección en el sistema de la víctima y el envío de instrucciones para la realización de un Ataque de Denegación de Servicio Distribuido. En el video podrán observar todas las explicaciones paso a paso del proceso de ataque:
Es interesante mencionar que este bot abre una nueva puerta no considerada hasta el momento, la posibilidad de controlar una botnet a través de cualquier tipo de dispositivo que tenga acceso a Twitter o a sus APIs (actualmente cualquier tipo de teléfono por ejemplo) ya que el comando en el sistema infectado será ejecutado sin importar de donde provenga el mismo.
Vale mencionar que los usuarios de cualquiera de los productos de ESET pueden estar tranquilos con la seguridad de sus sistemas ya que esta amenaza es detectada de forma proactiva a través de su motor ThreatSense.
Actualización 22:00: ya podemos ver en Twitter que existen usuarios que están creando sus propias botnets y además el autor de la herramienta ha lanzado una nueva versión del constructor.
Jorge Mieres, Sebastián Bortnik
Analistas de Seguridad
Promedio: 5
8-7-2010 a las 5:26 pm
[...] el atacante puede enviar otros comandos muy similares a los utilizados en botnets a través de Twitter, [...]
7-6-2010 a las 12:43 pm
[...] Toda la información sobre el caso, incluyendo un video explicativo sobre el funcionamiento de la amenaza informática, se encuentra publicada en nuestro Blog de Laboratorio: http://blogs.eset-la.com/laboratorio/2010/05/14/botnet-a-traves-twitter/ [...]
2-6-2010 a las 1:02 pm
Hola Luis
El video sigue allí. Si no lo ves puedes hacerlo en nuestro canal de ESET en YouTube.
Cristian
2-6-2010 a las 10:57 am
Por que quitaron el video de este post,me gustaria verlo ya que siempre es bueno conocer los pasos que ha seguido el creador.
Saludos
Luis
2-6-2010 a las 8:22 am
[...] Toda la información sobre el caso, incluyendo un video explicativo sobre el funcionamiento de la amenaza informática, se encuentra publicada en nuestro Blog de Laboratorio: http://blogs.eset-la.com/laboratorio/2010/05/14/botnet-a-traves-twitter/ [...]
1-6-2010 a las 4:58 pm
[...] y las aplicaciones diseñadas para automatizar la creación de amenazas. En este caso, para crear botnets a través de Twitter, la conocida red de microblogging. ESET NOD32 detecta el código malicioso de forma proactiva bajo [...]
20-5-2010 a las 3:25 pm
[...] no queremos dejar de invitarlos a que visiten el post del Blog de Laboratorio de ESET donde podrán informarse más sobre esta amenaza y muchas [...]
18-5-2010 a las 10:53 am
[...] unos días ESET latinoamérica alertó en su blog oficial sobre un aplicación que genera botnets que pueden controlar remotamente una máquina registrando [...]
17-5-2010 a las 3:52 pm
Hola Luis,
El bot escucha instrucciones simplemente leyendo los contenidos de un usuario de Twitter, por lo que en la teoría podría existir una regla de bloqueo, vale mencionar que en la práctica la mejor solución es la prevención, es decir, no infectarse.
Sebastián
16-5-2010 a las 11:13 pm
[...] La información exclusiva se encuentra publicada en el blog de ESET para Latinoamérica [...]
16-5-2010 a las 7:48 pm
Estimado Sr.
Sabemos que su mercado apunta a soluciones antivirus, habra algun control a nivel de IPS que evite este palyload/comando sobre el servicio twitter??
Saludos
Luis Hidalgo
16-5-2010 a las 1:57 pm
[...] Latin America have just blogged about an interesting botnet creation tool: the original blog is at http://blogs.eset-la.com/laboratorio/2010/05/14/botnet-a-traves-twitter/, by Jorge Mieres and Sebastián Bortnik, Security Analysts. (Mistakes in interpretation are, as [...]
15-5-2010 a las 10:39 pm
[...] Botnet a través de Twitter (…) hemos detectado una aplicación que se encuentra in-the-wild, desarrollada para automatizar la creación de botnets a través de la popular red social… [...]
15-5-2010 a las 10:19 am
[...] Latin America have just blogged about an interesting botnet creation tool: the original blog is at http://blogs.eset-la.com/laboratorio/2010/05/14/botnet-a-traves-twitter/, by Jorge Mieres and Sebastián Bortnik, Security Analysts. (Mistakes in interpretation are, [...]
15-5-2010 a las 9:31 am
Interesante confirmación de que las redes sociales, se están convirtiendo en el foco de infecciones masivo más atractivo para los atacantes y fabricantes de malware. Felicitaciones por eta información amigos de ESET Latam., y gracias por informar a la comunidad, sobre estos tipos de ataques e infecciones.
14-5-2010 a las 8:34 pm
[...] ESET Latinoamérica [...]
14-5-2010 a las 6:41 pm
[...] Latin America have just blogged about an interesting botnet creation tool: the original blog is at http://blogs.eset-la.com/laboratorio/2010/05/14/botnet-a-traves-twitter/, by Jorge Mieres and Sebastián Bortnik, Security [...]
14-5-2010 a las 6:34 pm
Yo ya había visto algunos de estos, solo que eran experimentos, vamos, que ya se sabía que esto pasaría. Salu2.
14-5-2010 a las 6:07 pm
[...] información en: Laboratorio Eset para latinoamerica Tags: antivirus, botnet, ESET, Nod32, twitter, virus, [...]