وجد أحد الباحثين شبكة آلية تستخدم توتير كمركز سيطرة و تحكم بالـ botnet. تقوم هذه الشبكة باستخدام حالة الرسائل Status Message في ارسال مجموعة من العناوين إلى البوت المتصل. هذه العناوين تحتوي على أوامر جديدة أو برامج تشغيلية تستخدم في عملية سرقة للمعلومات أو اطلاق هجمات حجب الخدمة DoS.

 

twitter botnet channel

 

كما هو واضح في الصورة أعلاه, ملف عادي لعضو في توتير ولكن الغير العادي هو الرموز التي تحتويها صفحة العضو. لنلقي نظرة على تفسير هذه الرموز, من الواضح أن الترميز المستخدم هو base64 ولفك الترميز نقوم بالآتي:

$ echo “aHR0cDovL2JpdC5seS9SNlNUViAgaHR0cDovL2JpdC5seS8yS29Ibw==” | openssl base64 -d
hxxp://bit.ly/R6STV hxxp://bit.ly/2KoHo

الوصلتان أعلاه لا تعملان الآن ولكن قبل أن تتوقفا عن العمل كانت إحداهما تظهر نص مرمّز بالكامل باستخدام base64. باستخدام الطريقة أعلاه ولكن على ملف يظهر ملف مضغوط PKZIP نقوم بتخزين الملف بأي امتداد الباحث اختار الامتداد .qqq بعدها نقوم بمحاولة فك الضغط والتي اسفرت عن الآتي:

$ unzip out.qqq
Archive: out.qqq
inflating: gbpm.dll
inflating: gbpm.exe
$ openssl md5 gbpm.*
MD5(gbpm.dll)= ceb8d7fd74da0a187cc39ced4550ddb4
MD5(gbpm.exe)= a5cc8140e783190efb69d38c2be4393f

الملف ذو الامتداد dll هو ملف مغلّف بواسطة upx يمكن فك تغليف باستخدام upx كالآتي:

$ upx -d gbpm.dll.upx
Ultimate Packer for eXecutables
Copyright (C) 1996 – 2008
UPX 3.03 Markus Oberhumer, Laszlo Molnar & John Reiser Apr 27th 2008
.
File size Ratio Format Name
——————– —— ———– ———–
263680 <- 103424 39.22% win32/pe gbpm.dll.upx
.
Unpacked 1 file.

الملف يبدو أنّه سارق للمعلومات يمكن الاستدلال على ذلك من خلال احتواءه على قائمة بالعناوين التي يقوم بالارسال إليها:

hxxp://64.79.197.110/friends/alert/new.php
hxxps://www2.bancobrasil.com.br/aapf/login.jsp?aapf.IDH=sim
hxxp://64.79.197.110/friends/post.php
hxxps://www2.bancobrasil.com.br/aapf/
hxxps://www2.bancobrasil.com.br/aapf/

تحذير: بعض هذه العناوين لا تعمل الان. لا تحاول زيارة هذه العناوين إذا كنت لا تدري ما الذي تريده من زيارتها لأنها قد تتسبب في تحميل برمجيات ضارة على حاسوبك أو في بعض الأحيان إلى اطلاق هجمة حجب خدمة على العنوان الذي قدمت منه (حصلت مع عدّة أشخاص في حالات أخرى لذلك اقتضى التنويه).

 

الملف ذو الامتداد التشغيل exe تم تغليف باستخدام حزمة تغليف أخرى, قابيلة اكتشاف برامج مكافحة الفيروسات له ضعيفة كما هو واضح في هذا التقرير.

 

بعد البحث اكتشف أن العضو نفسه صاحب الحساب المشبوه قام بانشاء حسابات أخرى للغرض نفسه على شبكات أخرى.

 

Other botnet channel

 

المصدر: Arbor Networks

عن الكاتب:


باحث عن المعرفة, طالب ماجستير باحث في أمن المعلومات و مدوّن يهتم في العديد من الجالات المتعلّقة بالشبكات, الحماية والأنظمة المفتوحة المصدر.

Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedIn