Cuando un sistema es infectado, generalmente es controlado remotamente recibiendo comandos a trav\u00e9s de canales de IRC, P2P \u00f3 HTTP. Jos\u00e9 Nazario (Arbor Networks) en cambio, encontr\u00f3 un interesante ejemplo de un botnet activa y real que hac\u00eda uso de Twitter como panel control.<\/p>\n
Nada nuevo<\/p>\n
Durante una de las presentaci\u00f3n en Defcon 17, Tom Eston y Kevin Johnson mostraron una prueba de concepto de un bot llamado KreiosC2, cuyo funcionamiento es bastante sencillo, solo hay que crear una cuenta en Twitter y configurar el bot para que la siga (follow); cuando queremos que el bot haga algo solo basta con enviar una actualizaci\u00f3n en dicha cuenta de Twitter. Ejemplo: \u201ccmd: look at 128.47.220.51\u201d har\u00e1 que ejecute el comando ping a la direcci\u00f3n IP 128.47.220.51.<\/p>\n
Debido a que Twitter cuenta con la habilidad de detectar y filtrar texto entre las actualizaciones enviadas por sus usuarios, es posible modificar el lenguaje de los comandos din\u00e1micamente as\u00ed como tambi\u00e9n utilizar codificaci\u00f3n Base64 y\/o alg\u00fan tipo de encriptaci\u00f3n.<\/p>\n
Es interesante ver como ya hay alguien haciendo uso de esta prueba de concepto para actividades fraudulentas; en este caso la botnet descubierta habr\u00eda estado siendo utilizada por un troyano bancario cuyo objetivo serian entidades brasileras, Banco do Brasil seria una de ellas.<\/p>\n
Actualizaci\u00f3n: Kaspersky Lab y Jose Nazario publican una entrada en su blog en donde muestran capturas y m\u00e1s informaci\u00f3n sobre este malware que tambi\u00e9n estar\u00eda haciendo uso de Jaiku, adem\u00e1s de Twitter.<\/p>\n
Fuente: Martin Aberastegue y SeguInfo<\/p>\n","protected":false},"excerpt":{"rendered":"
Cuando un sistema es infectado, generalmente es controlado remotamente recibiendo comandos a trav\u00e9s de canales de IRC, P2P \u00f3 HTTP. Jos\u00e9 Nazario (Arbor Networks) en cambio, encontr\u00f3 un interesante ejemplo de un botnet activa y real que hac\u00eda uso de Twitter como panel control. Nada nuevo Durante una de las presentaci\u00f3n en Defcon 17, Tom […]<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"","_et_pb_old_content":"","_et_gb_content_width":"","footnotes":""},"categories":[1],"tags":[],"class_list":["post-574","post","type-post","status-publish","format-standard","hentry","category-profesional"],"_links":{"self":[{"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/posts\/574","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/comments?post=574"}],"version-history":[{"count":1,"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/posts\/574\/revisions"}],"predecessor-version":[{"id":575,"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/posts\/574\/revisions\/575"}],"wp:attachment":[{"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/media?parent=574"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/categories?post=574"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/tags?post=574"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}