На Хабре было уже много топиков, посвящённых техническим аспектам работы ботнетом. Как известно, стандартный ботнет состоит из заражённых компьютеров (зомби) и управляющих серверов (C&C). Связь между ними поддерживается по самым разным протоколам: от IRC до P2P и HTTP. Однако на последней хакерской конференции Defcon был продемонстрирован ещё один интересный способ управления ботнетом — через твиттер.
Концепция проста до гениальности. Создаётся аккаунт на твиттере (новые аккаунты могут создаваться постоянно по заданному алгоритму, чтобы избежать блокировки) и твиттербот, который подписывается на него и воспринимает все твиты как команды на исполнение. Например, твит “cmd: look at 1.2.3.4” может запускать DDoS-атаку на адрес 1.2.3.4.
На Defcon'е был продемонстрирован в действии твиттербот KreiosC2, который реально может использоваться для управления ботнетом. Среди поддерживаемых фич — динамическое изменение языка управления (чтобы избежать фильтрации в твиттере), отсылка команд в закодированном (base64) и/или зашифрованном виде.
Это отличный вариант, потому что запускать атаки теперь легко и удобно прямо с мобильника, а доступ к твиттеру провайдеры никогда не заблокируют, как доступ к управляющим серверам другого типа. И хостинг-провайдера закрыть не смогут.
Пару дней назад на твиттере нашли и заблокировали первый аккаунт, который де-факто использовался для управления ботнетом. То ли ещё будет.
Исходный код программы KreiosC2 можно скачать здесь. Ниже демонстрационное видео с конференции Defcon.
Концепция проста до гениальности. Создаётся аккаунт на твиттере (новые аккаунты могут создаваться постоянно по заданному алгоритму, чтобы избежать блокировки) и твиттербот, который подписывается на него и воспринимает все твиты как команды на исполнение. Например, твит “cmd: look at 1.2.3.4” может запускать DDoS-атаку на адрес 1.2.3.4.
На Defcon'е был продемонстрирован в действии твиттербот KreiosC2, который реально может использоваться для управления ботнетом. Среди поддерживаемых фич — динамическое изменение языка управления (чтобы избежать фильтрации в твиттере), отсылка команд в закодированном (base64) и/или зашифрованном виде.
Это отличный вариант, потому что запускать атаки теперь легко и удобно прямо с мобильника, а доступ к твиттеру провайдеры никогда не заблокируют, как доступ к управляющим серверам другого типа. И хостинг-провайдера закрыть не смогут.
Пару дней назад на твиттере нашли и заблокировали первый аккаунт, который де-факто использовался для управления ботнетом. То ли ещё будет.
Исходный код программы KreiosC2 можно скачать здесь. Ниже демонстрационное видео с конференции Defcon.