英國安全研究人員paul amar打造出一款工具,能夠利用推特(twitter)私信(dms)操控僵屍網絡。
這款工具名為twittor。該工具僅僅是一套簡單的python腳本,其能夠利用twitter api以及相關服務選項引導受害者向其他使用者發出消息。這款工具可以使得僵屍網絡營運者對自己的基礎設施加以管理,且不必将行為暴露在其twitter頁面當中。
軟體工作原理
twittor允許黑客們建立twitter賬戶,設定twitter應用并擷取api證書,并将這一切納入到一套惡意python腳本當中。該腳本則可以在部署完成之後操縱僵屍網絡向主twitter賬戶送出請求,或者向僵屍網絡中的殭屍電腦裝置發送請求。這樣黑客就可以擷取成千上萬的使用者資料資訊。
twitter方面于今年8月解除了私信長度不得超過140個字元的限制,是以惡意人士能夠在無需向同一殭屍電腦目标發送多條私信的前提下傳輸更為複雜的控制程式。
據統計twitter為每個賬号設定了每天1000條私信的數量上限,是以犯罪分子隻能通過少數由twittor支援的主賬戶對成千上萬殭屍電腦用戶端進行控制。
該種情況不是第一次
但 這已經不是我們第一次聽聞twitter被用于管理僵屍網絡的消息了。今年7月,曾有媒體報道過apt29網絡攻擊事件,該組織通過hammertoss惡意軟體利用twitter賬戶控制整套僵屍網絡體系的運作。
有安全人員表示:
“惡意攻擊者可以使用的私人賬号進行惡意攻擊,網上已經出現了該惡意軟體工具包。”
而作為相當少見的特殊情況,黑客們甚至使用了公開推文進行惡意活動。如果twittor當時就已經出現,那麼該組織的犯罪行為将很難被檢測出來,因為他們不需要以公開方式發送相關控制程式。
apt29及hammertoss相關資料
有網絡安全專家分析稱該組織為一個俄羅斯或與俄羅斯有關的黑客組織,原因是它僅在莫斯科時間的正常工作日活躍,而且它在俄羅斯節假日期間并不活躍。apt 29的主要專注于攻陷政府組織機構,并收集與俄羅斯相關的地理政治資訊,由此專家認為apt 29是一個受政府支援的黑客組織。
apt 29過去曾使用的一款惡意軟體名稱為hammertoss,hammertoss執行一種每天可生成新推文的算法,通過這種方式指令和控制伺服器就能夠通過使用由apt 29管理的具體推特賬戶與hammertoss通信。之後hammertoss可以通過推特、github以及雲存儲服務傳達指令并從被攻陷網絡中提取資料。
作者:親愛的兔子
來源:51cto