安全研究人员发现了一个自动化工具包,能使攻击者利用微博平台Twitter作为其僵尸网络指挥和控制平台,从而建立一个僵尸网络。
过去,攻击者已经使用Twitter向僵尸网络发布命令。Arbor网络公司的安全研究人员发现了一种僵尸网络,它利用Twitter作为指挥和控制服务器。Twitter的安全团队已经关闭了许多具有可疑信息的账户,这些账户可能向僵尸电脑发出过命令。新的工具包,称为TwitterNET Builder,将代码写作知识运用到指挥和控制服务中。
BitDefender在新闻发布会上说,“为了创建自己的定制僵尸,攻击者只需启动SDK,输入一个Twitter用户名,就可作为一个指挥和控制中心,修改所产生的僵尸的名字和图标,以配合其分配方法。”
反恶意软件厂商BitDefender称,它们已经发布更新,检测从Twitter获取命令的恶意软件。赛门铁克公司发布了一个视频,展示了TwitterNet Builder如何工作。
“创作者没有花太多的精力来保护来自逆向工程或检测和终端的僵尸,但这一缺陷并不能阻止他们危害普通计算机用户。”
该工具会得到广泛使用是不太可能的,因为此方法有一个很大的缺点:一旦帐户被删除,整个僵尸网络将被拆除。尽管如此,BitDefender认为,通过在移动电话或Twitter的客户端Tweeting个帐号,攻击者可以在几秒钟内传播恶意软件或发布分布式拒绝服务(DDoS)。
安全厂商Sunbelt软件公司的高级威胁研究员Chris Boyd,称新TwitterNET工具很“圆滑”,但是试图使用Twitter僵尸网络攻击方法的人很容易暴露出来。
Boyd在Sunbelt的博客中写道,“如果有人控制了僵尸,但想隐瞒在Twitter页面的命令,这是不可能的。”
Boyd表示,Twitter应该能够跟踪并阻止企图利用该服务发布命令的行为。
僵尸转向基于云的方法
随着云计算在企业中越来越重要,网络罪犯也渐渐转向基于Web的平台(而不是物理服务器),向大量僵尸感染的计算机发送命令。去年夏天,Arbor网络公司的僵尸网络专家Jose Nazario说,Arbor发现越来越多的网络罪犯正试图利用云服务提供的免费存储空间和带宽。
当时,Arbor跟踪被僵尸牧人利用的谷歌AppEngine应用程序,发现僵尸牧人用它们来给僵尸电脑发布命令。该现象已迫使社交网站(如Twitter和Facebook)加强内容过滤,以检测指向托管恶意软件的服务器的可执行文件和链接。
赛门铁克也发现了类似的方法,用Facebook作为命令和控制服务器。去年检测到在Facebook的移动版中有Whitewell Trojan木马,它们在转发到Web服务器之前接收配置数据,下载恶意软件。
【编辑推荐】
