Pull to refresh

Управление ботнетом через Твиттер

Reading time1 min
Views1.9K
На Хабре было уже много топиков, посвящённых техническим аспектам работы ботнетом. Как известно, стандартный ботнет состоит из заражённых компьютеров (зомби) и управляющих серверов (C&C). Связь между ними поддерживается по самым разным протоколам: от IRC до P2P и HTTP. Однако на последней хакерской конференции Defcon был продемонстрирован ещё один интересный способ управления ботнетом — через твиттер.

Концепция проста до гениальности. Создаётся аккаунт на твиттере (новые аккаунты могут создаваться постоянно по заданному алгоритму, чтобы избежать блокировки) и твиттербот, который подписывается на него и воспринимает все твиты как команды на исполнение. Например, твит “cmd: look at 1.2.3.4” может запускать DDoS-атаку на адрес 1.2.3.4.

На Defcon'е был продемонстрирован в действии твиттербот KreiosC2, который реально может использоваться для управления ботнетом. Среди поддерживаемых фич — динамическое изменение языка управления (чтобы избежать фильтрации в твиттере), отсылка команд в закодированном (base64) и/или зашифрованном виде.



Это отличный вариант, потому что запускать атаки теперь легко и удобно прямо с мобильника, а доступ к твиттеру провайдеры никогда не заблокируют, как доступ к управляющим серверам другого типа. И хостинг-провайдера закрыть не смогут.

Пару дней назад на твиттере нашли и заблокировали первый аккаунт, который де-факто использовался для управления ботнетом. То ли ещё будет.

Исходный код программы KreiosC2 можно скачать здесь. Ниже демонстрационное видео с конференции Defcon.

Tags:
Hubs:
Total votes 81: ↑73 and ↓8+65
Comments27

Articles