| شبكة botnet آلية بقناة تحكم تعتمد على تويتر |
| الكاتب باحث عن المعرفة |
| الأحد, 16 أغسطس 2009 16:44 |
|
وجد أحد الباحثين شبكة آلية تستخدم توتير كمركز سيطرة و تحكم بالـ botnet. تقوم هذه الشبكة باستخدام حالة الرسائل Status Message في ارسال مجموعة من العناوين إلى البوت المتصل. هذه العناوين تحتوي على أوامر جديدة أو برامج تشغيلية تستخدم في عملية سرقة للمعلومات أو اطلاق هجمات حجب الخدمة DoS.
كما هو واضح في الصورة أعلاه, ملف عادي لعضو في توتير ولكن الغير العادي هو الرموز التي تحتويها صفحة العضو. لنلقي نظرة على تفسير هذه الرموز, من الواضح أن الترميز المستخدم هو base64 ولفك الترميز نقوم بالآتي: $ echo "aHR0cDovL2JpdC5seS9SNlNUViAgaHR0cDovL2JpdC5seS8yS29Ibw==" | openssl base64 -dhxxp://bit.ly/R6STV hxxp://bit.ly/2KoHo الوصلتان أعلاه لا تعملان الآن ولكن قبل أن تتوقفا عن العمل كانت إحداهما تظهر نص مرمّز بالكامل باستخدام base64. باستخدام الطريقة أعلاه ولكن على ملف يظهر ملف مضغوط PKZIP نقوم بتخزين الملف بأي امتداد الباحث اختار الامتداد .qqq بعدها نقوم بمحاولة فك الضغط والتي اسفرت عن الآتي: $ unzip out.qqqArchive: out.qqq inflating: gbpm.dll inflating: gbpm.exe $ openssl md5 gbpm.* MD5(gbpm.dll)= ceb8d7fd74da0a187cc39ced4550ddb4 MD5(gbpm.exe)= a5cc8140e783190efb69d38c2be4393f الملف ذو الامتداد dll هو ملف مغلّف بواسطة upx يمكن فك تغليف باستخدام upx كالآتي: $ upx -d gbpm.dll.upxUltimate Packer for eXecutables Copyright (C) 1996 - 2008 UPX 3.03 Markus Oberhumer, Laszlo Molnar & John Reiser Apr 27th 2008 . File size Ratio Format Name -------------------- ------ ----------- ----------- 263680 <- 103424 39.22% win32/pe gbpm.dll.upx . Unpacked 1 file. الملف يبدو أنّه سارق للمعلومات يمكن الاستدلال على ذلك من خلال احتواءه على قائمة بالعناوين التي يقوم بالارسال إليها: hxxp://64.79.197.110/friends/alert/new.phphxxps://www2.bancobrasil.com.br/aapf/login.jsp?aapf.IDH=sim hxxp://64.79.197.110/friends/post.php hxxps://www2.bancobrasil.com.br/aapf/ hxxps://www2.bancobrasil.com.br/aapf/ تحذير: بعض هذه العناوين لا تعمل الان. لا تحاول زيارة هذه العناوين إذا كنت لا تدري ما الذي تريده من زيارتها لأنها قد تتسبب في تحميل برمجيات ضارة على حاسوبك أو في بعض الأحيان إلى اطلاق هجمة حجب خدمة على العنوان الذي قدمت منه (حصلت مع عدّة أشخاص في حالات أخرى لذلك اقتضى التنويه).
الملف ذو الامتداد التشغيل exe تم تغليف باستخدام حزمة تغليف أخرى, قابيلة اكتشاف برامج مكافحة الفيروسات له ضعيفة كما هو واضح في هذا التقرير.
بعد البحث اكتشف أن العضو نفسه صاحب الحساب المشبوه قام بانشاء حسابات أخرى للغرض نفسه على شبكات أخرى.
المصدر: Arbor Networks عن الكاتب:
التعليقات (4)
  أرسلت بواسطة: Zeyad في August 17, 2009
مركز تحكم و ادارة ، مجاني و غير قابل للكشف يسهولة
والله الأفكار الذكية تستحق الاحترام (أقصد الفكرة و ليس الغاية )
 أرسلت بواسطة: باحث عن المعرفة في August 18, 2009
لاحظو إخواني أن هذا ما تم اكتشافه فقط. فهناك العديد من امثال هذه الأفكار على مواقع مثل facebook و myspace وغيرها ولكن هناك ما يكتشف لحظة ظهوره وهناك ما يكتشف بعد فترة.
المحترفون يستخدمون botnets صغيرة الحجم حتى لا يسهل اكتشافها وتتبعها. في حين المبتدئون يستخدمون botnet كبيرة الحجم فتتجه جميع الانظار إليها. وما خفي كان أعظم.
أضف تعليق
يجب عليك الاشتراك بالموقع لتتمكن من كتابة التعليقات, الاشتراك مجاني ويستغرق بضع ثوان فقط!
اذا كنت مشترك مسبقا في الموقع فضلاً قم بتسجيل الدخول. |
ويمكن من خلالها تكبير BotNet لحجم كبير جداً. لان حسب الكلام ان العملية تشتغل مع اكثر من شبكة اجتماعية وليس فقط تويتر.