Pasando desapercibido…

By
In Sin categoría
Hace ya unos meses Asier nos trajo al blog el hecho de que una botnet utilizaba Twitter para enviar comandos a los clientes infectados.
Esta técnica puede servir principalmente para introducir una capa pública que separe lógicamente clientes y servidor, o poder prescindir de ella si no se tienen recursos. Si, por ejemplo, los clientes obtienen los comandos a ejecutar mediante una red social, y el envio de credenciales se realiza por correo electrónico, dispondremos de una separación lógica entre los bots y el panel de control, a costa de confiar en dos servicios gratuitos en vez de en un servidor a prueba de balas.
En el caso que comentamos, me resultó realmente curioso que se utilizara una cuenta upd4t3, y los comandos estuvieran codificados en base64.


Una cuenta de este estilo, sea la que sea, será detectada cuando se analice una pieza de malware que la utilice, pero me resultaría mucho más coherente ver que la cuenta twitter se llama paranoias y los mensajes no saltan con un mínimo análisis sintáctico/semántico de la web. Por ejemplo, cuatro entradas de paranoias podrían ser:
  • dos ideas teoricas ilustran www.tupagina.com
  • mi gato grita lallallaal
  • solo versos imaginativamente narrados merecen escucha
  • un optimista redomado subasta monstruosos relojes

¿Qué comandos se han enviado? 😉

Mikel Gastesi
S21sec e-crime
Recommended Posts
Showing 2 comments

Leave a Comment