Español | English
rss facebook linkedin Twitter

Pasando desapercibido...

Hace ya unos meses Asier nos trajo al blog el hecho de que una botnet utilizaba Twitter para enviar comandos a los clientes infectados.

Esta técnica puede servir principalmente para introducir una capa pública que separe lógicamente clientes y servidor, o poder prescindir de ella si no se tienen recursos. Si, por ejemplo, los clientes obtienen los comandos a ejecutar mediante una red social, y el envio de credenciales se realiza por correo electrónico, dispondremos de una separación lógica entre los bots y el panel de control, a costa de confiar en dos servicios gratuitos en vez de en un servidor a prueba de balas.

En el caso que comentamos, me resultó realmente curioso que se utilizara una cuenta upd4t3, y los comandos estuvieran codificados en base64.



Una cuenta de este estilo, sea la que sea, será detectada cuando se analice una pieza de malware que la utilice, pero me resultaría mucho más coherente ver que la cuenta twitter se llama paranoias y los mensajes no saltan con un mínimo análisis sintáctico/semántico de la web. Por ejemplo, cuatro entradas de paranoias podrían ser:
  • dos ideas teoricas ilustran www.tupagina.com
  • mi gato grita lallallaal
  • solo versos imaginativamente narrados merecen escucha
  • un optimista redomado subasta monstruosos relojes
¿Qué comandos se han enviado? ;)

Mikel Gastesi
S21sec e-crime

2 comentarios:

Juan Carlos dijo...

Yo diría que ddos www.tupagina.com, mail, search y update...
¿A que sí?
Pues la verdad, tal y como lo planteas es muy fácil pasar desapercibido...

S21sec e-crime dijo...

Premio!!!

Mikel,


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login